Lekkage case study 1: “Vanille” lekken

“Vanille” -lekken treden op wanneer de IP-adressen, DNS-aanvragen of zelfs webverkeer van een gebruiker niet worden beschermd door hun VPN, zelfs tijdens normaal gebruik onder stabiele netwerken en systeemomgevingen. Indien aanwezig, vormen ze een ernstig privacy- en beveiligingsrisico.

Deze case study van ons Privacy Research Lab beschrijft de soorten vanillelekken waar u op moet letten en hoe u deze kunt testen met de ExpressVPN Lektesttools.

Soorten vanillelekken

Er zijn drie categorieën vanillelekken om op te testen:

Publieke IP-adres lekt

Geen enkele website of app zou ooit uw openbare IP-adressen moeten kunnen zien.

DNS-lekken

DNS-lekken kunnen worden ingedeeld in verschillende categorieën met verschillende ernst:

DNS-aanvragen gaan niet door de VPN-tunnel EN gaan naar een DNS-server van derden

Dit is het ernstigste type lek. Het betekent dat alle DNS-aanvragen van de gebruiker zichtbaar zijn voor elke Man in the Middle (MitM) en voor de derde partij die de DNS-server beheert, zoals hun ISP. Bovendien komen deze verzoeken van het IP-adres van de gebruiker en kunnen dus gemakkelijk rechtstreeks aan die persoon worden gekoppeld.

DNS-aanvragen gaan niet door de VPN-tunnel EN gaan naar de VPN DNS-server

Dit lek is iets minder ernstig dan het vorige, omdat de DNS-server als betrouwbaar wordt beschouwd. Aangezien de DNS-aanvragen echter buiten de VPN-tunnel worden gedaan, zijn ze niet-gecodeerd en eventuele MitM, b.v. de ISP, kon luisteren en de DNS-aanvragen opnemen. Degenen die de DNS-verzoeken van een gebruiker waarnemen, kunnen deze ook aan die persoon koppelen op basis van hun IP-adres.

DNS-aanvragen gaan via de VPN-tunnel EN gaan naar een DNS-server van derden

Dit type lek is het minst ernstig. De DNS-aanvragen worden helemaal naar de VPN-server gecodeerd, waardoor MitM de DNS-aanvragen niet kan afluisteren en zien. Dit maakt het effectief onmogelijk om te bepalen welke persoon een bepaald DNS-verzoek heeft verzonden. In een zeer gerichte aanval kunnen er echter complexe methoden zijn die een aanvaller kan gebruiken om deze informatie over de afzender te bepalen.

(Houd er rekening mee dat deze beschrijvingen ervan uitgaan dat de DNS-servers die door de VPN-providers worden beheerd, zowel logloos als veilig zijn. Dit is een belangrijk aspect van de bescherming van elke VPN-provider, maar valt buiten het bestek van deze lekkageanalyse.)

IP-verkeer lekt

Dit betekent dat willekeurig verkeer het apparaat buiten de VPN-tunnel verlaat. Als dergelijke lekken optreden, betekent dit dat DNS-lekken waarschijnlijk ook optreden, omdat dit meer algemene lekken zijn dan DNS-lekken. Als dit soort lekken zich voordoen bij een bepaalde VPN-service, is het in termen van privacy en beveiligingsbescherming weinig beter dan helemaal geen VPN ingeschakeld te hebben.

Testen op lekken

Handmatig testen

Testen op IP-lekken en DNS-lekken kan gedeeltelijk online worden gedaan met de volgende webgebaseerde tools:

  • IP-lektest
  • DNS-lektest

Merk op dat de IP-lektest momenteel niet controleert op IPv6-lekken, maar de WebRTC-lektest kan even goed worden gebruikt om dit te testen.

De DNS-lektest kan niet controleren of DNS-aanvragen daadwerkelijk via de VPN-tunnel zijn verlopen. Het testen hiervan is veel complexer, dus we raden aan om de hieronder vermelde lektesthulpmiddelen te gebruiken om dit te testen.

Testen met de ExpressVPN Lektesttools

De ExpressVPN Lektesttools zijn een uitbreidbaar pakket open-source Python-tools ontworpen voor zowel handmatige als geautomatiseerde lektesten van VPN-applicaties. Raadpleeg onze inleiding tot de tools voor instructies over het downloaden en instellen van de tools.

Nadat u de tools hebt ingesteld, moet u zich in de root-directory van de tools bevinden en uitvoeren:

./run_tests.sh -c configs / case_studies / vanilla_leaks.py

Met deze opdracht worden verschillende testgevallen uitgevoerd die controleren op basislekken van vanille.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map