Stoppa DNS läckor

DNS läckage är ett stort integritetsproblem när man använder VPN, och man ska inte underskatta risken och möjligheten för att man lider av detta även om man inte har märkt av något. När du slår in en webbadress såsom t.ex. www.aftonbladet.se så skickas en DNS query (förfrågan) till DNS servern. Då ser servern att du vill till aftonbladet.se, men adressen säger inget. Den adressen är för att vi människor ska kunna komma ihåg det lättare. DNS serverns jobb är då att kolla i sitt register om aftonbladet.se finns där, och då undersöka vad för IP-adress aftonbladets egna server har.

När den hittar den IP adressen så skickas du automatiskt dit. Finns inte något IP associerat med aftonbladet.se så får du felmeddelande. Kika på bilden ovanför som är taget ifrån min egna kontroll på http://www.whoer.net så står det i klartext vilka mina DNS servrar är.

Varför är detta då ett säkerhetsproblem? När du skickar en DNS query så finns det två säkerhetsaspekter man bör hålla koll på.

1.ISP DNS & Öppna DNS servrar
Din Internetleverantör har en DNS server som du använder som standard, och dessa loggar alla förfrågningar eller uppslag som dom kan kallas. Om internetleverantören får anledning att kontrollera på vilka sidor du rör dig på, så kan dom gå tillbaka och kolla vilka sidor du har besökt ett visst datum, under ett spann eller sannolikt hela din historik.

Öppna DNS serverar är en joker. Man kringgår Internetoperatörens loggning av DNS uppslag, men det finns ingen garanti att inte den öppna DNS servern heller loggar vilka sidor du skriver in adressen till eller klickar dig fram på.

Hur skyddar man sig ifrån DNS läckor?
Det finns flera sätt att skydda sig emot DNS läckage och att använda en säker DNS server. Det första man måste göra är att hitta en säker DNS server. Många VPN leverantörer har DNS servrar som man skickar uppslag till per automatik när man använder deras VPN. Hos en del VPN leverantörerna så är dock DNS servrarna öppna så vem som helst kan använda dessa till uppslag, kund eller ej. Surfa in på deras sidor och leta efter DNS server adresser och skriv ned dom i exempelvis notepad.

Sedan går du till egenskaper för din ethernetadapter, och klickar på IPv4 och / eller IPv6 och trycker på egenskaper. Då får du upp denna ruta. Här skriver du in DNS adresserna och trycker på OK. Varje gång du skriver in en adress eller klickar på en länk, så kommer dina DNS uppslag nu att skickas till den här DNS servern även om din VPN anslutning går ner och du riskerar inte att blotta dig för Internetoperatören. DNS adresserna i bilden till vänster är till OVPN’s IPv4 DNS servrar som är öppna för alla att använda.

Samma process kan upprepas på dom flesta routrar som har stöd för ”Custom DNS”, det vill säga att man manuellt kan ange vilken DNS server man vill använda. Jag rekommenderar varmt att du kontrollerar möjligheten till att ange DNS adressen på router nivå, för då kommer alla uppslag att skickas till den servern, oavsett vilken enheter man använder så länge den ansluter till internet igenom just den routern.

Den andra säkerhetsaspekten
Den andra säkerhetsaspekten man måste ta i beaktande är risken för DNS Hijacking (DNS kapning). I normala fall skickas alla DNS uppslag ifrån din enhet till den mottagande servern i klartext. Skulle en oärlig person ha möjlighet att avlyssna ditt DNS uppslag mellan din dator och DNS servern, så ser den personen i klartext vilka sidor du besöker. Det gillar vi inte. Inte det allra minsta. Men det finns skydd. Det finns ett oerhört smidigt litet program som heter DNScrypt som krypterar DNS uppslaget innan det lämnar din dator, och skickar det krypterat till DNS servern som avkrypterar det och gör det den ska. Då kan du inte avlyssnas på DNS nivå.

DNScrypt kan laddas ned här