Proton VPN-hjemmeside

DNS-lækager ved brug af en VPN

Læsetid
8 min
Kategori
Forbindelse

Alle Proton VPN-apps inkluderer beskyttelse mod DNS-lækage, der er designet til at forhindre websteder og lignende, som De besøger på internettet, i at identificere Deres rigtige DNS-adresse. Der er dog visse begrænsede omstændigheder, der tillader Deres computer at omgå disse beskyttelser, hvilket kan resultere i, at tredjeparter kan se IP-adressen på den DNS-server, De rent faktisk bruger.

I denne artikel forklarer vi, hvad DNS er, hvordan det fungerer, og hvorfor manuel konfiguration af Deres DNS-indstillinger kan forhindre vores beskyttelse mod DNS-lækage i at fungere korrekt.

Hvad er DNS?

Enhver forbindelse til internettet tildeles en unik numerisk identifikator kendt som en internetprotokol-adresse (IP-adresse). Den menneskelige hjerne er ikke designet til at huske lange rækker af tal, så vi identificerer internetressourcer (såsom websteder og spilservere) ved hjælp af mere menneskevenlige tekststrenge kendt som domænenavne.

Domain Name System (DNS) fungerer som en global telefonbog, der oversætter menneskevenlige URL-adresser til de IP-adresser, som computere bruger.

Så hvis for eksempel URL’en example.com har IP-adressen 123.456.789.012, vil indtastning af 123.456.789.012 i din browsers adresselinje føre dig til example.com. (I praksis kan en IP-adresse pege på flere websteder, og et enkelt domæne kan pege på flere IP-adresser. Men i bund og grund er det det, DNS gør.)

DNS og privatliv

DNS-opløsning er processen med at oversætte et domæne til dets tilsvarende IP-adresse. Den udføres af DNS-servere, som som standard drives af Deres internetudbyder (ISP).

Næsten alle internetudbydere i verden fører logfiler over DNS-forespørgsler foretaget af deres kunder, hvilket giver dem mulighed for at kende Deres browserhistorik. Selvom internetudbydere kan spore Deres internetaktivitet på andre måder, begrænser de fleste sig til blot at gemme DNS-logfiler.

Selvom det normalt ikke sker som standard, er det muligt for websteder, som De besøger, at se IP-adressen på den DNS-server, der bruges til at behandle den DNS-forespørgsel, der sender Dem til deres websted. Rustet med denne viden kan de (eller enhver anden, der overvåger webstedet) derefter henvende sig til Deres internetudbyder og bede om at få oplyst IP-adressen på den kunde, der foretog DNS-forespørgslen.

Da DNS-opløsning udføres af Deres internetudbyder, gør kendskab til IP-adressen på den DNS-server, De brugte, det muligt for websteder at identificere, hvilket land De befinder Dem i. Hvis De bruger en VPN(nyt vindue) eller proxy til at skjule Deres rigtige IP-adresse, men Deres internetudbyders DNS-servers IP-adresse er eksponeret, kan dette misforhold afsløre over for websteder, at De forsøger at maskere Deres sande identitet.

DNS, Proton VPN og beskyttelse mod DNS-lækage

Proton VPN imødegår denne trussel ved at køre vores egne DNS-servere. Som med al anden internettrafik dirigeres DNS-forespørgsler gennem VPN-tunnellen for at blive behandlet på vores servere.

For omverdenen vil Deres DNS-adresse være anderledes end Deres VPN-servers IP-adresse, men den vil tilhøre det samme datacenter. Den vil derfor ligge meget tæt på VPN-serverens fysiske placering. (Bemærk, at IPv6-forbindelser simpelthen blokeres på nuværende tidspunkt, hvilket ikke har nogen indflydelse på Deres internetoplevelse.)

Proton VPN logger ikke DNS-forespørgsler, og kan ifølge schweizisk lovgivning ikke tvinges til at begynde at logge dem. Vi logger heller ikke vores brugeres IP-adresser.

Få mere at vide om Proton VPN’s trusselsmodel

Alle vores apps implementerer beskyttelse mod DNS-lækage ved hjælp af firewallregler og andre platformsspecifikke teknikker for at sikre, at ingen internettrafik – herunder DNS-forespørgsler – kan trænge ind i eller forlade Deres enhed uden om VPN-grænsefladen.

Der er dog et begrænset antal omstændigheder, hvor DNS-forespørgsler kan blive dirigeret uden om VPN-tunnellen.

Tredjeparts DNS-tjenester

Manuel konfiguration af Deres enheds globale DNS-indstillinger til at bruge en tredjeparts DNS-tjeneste, såsom Google Public DNS, Cloudflare, eller OpenNIC, øger risikoen for, at noget går galt, da det er muligt, at de brugerdefinerede indstillinger vil tilsidesætte vores foranstaltninger mod DNS-lækage.

Vi anbefaler derfor på det kraftigste imod at bruge tredjeparts DNS-tjenester med Proton VPN. Nedenfor finder De vejledninger til at deaktivere brugerdefinerede DNS-konfigurationer på alle større platforme.

Windows 10

1. Gå til StartIndstillingerNetværk og internet → Deres netværksgrænseflade (f.eks. WiFi eller Ethernet) → Relaterede indstillingerRediger indstillinger for netværkskort.

2. Højreklik på Deres netværksgrænseflade → Egenskaber → Internetprotokol version 4 (TCP/IPv4)Egenskaber.

Windows IPv4-indstilling

3. Sørg for, at Hent automatisk DNS-serveradresse er valgt, og klik derefter på OK.

Aktivér Hent automatisk DNS-serveradresse

4. Hvis De har en IPv6-forbindelse (or hvis De ikke er sikker på, om De har), skal De gentage trin 2 og 3 for Internetprotokol version 6 (TCP/IPv6).

macOS

Åbn appen Indstillinger og gå til Netværk → vælg Deres netværksgrænseflade (f.eks., WiFi eller Ethernet) → Detaljer… → fanen DNS. Vælg eventuelle tredjeparts-DNS-servere (hvis der er nogen), og klik derefter på knappen for at fjerne dem. Klik på OK, når De er færdig.

Rediger IP-indstillinger manuelt

Linux

Hver enkelt Linux-distribution og hvert skrivebordsmiljø tilbyder en forskellig (omend ofte meget lignende) brugergrænseflade til ændring af DNS-indstillinger. I Ubuntu GNOME for eksempel:

1. Gå til Vis programmerAlleIndstillingerNetværk, og klik på tandhjulsikonet ud for Deres netværksgrænseflade.

Find Deres netværksforbindelse

2. Gå til fanerne IPv4 og IPv6. Under DNS skal De sørge for, at kontakten Automatisk er slået til, og slette alle DNS-poster, De ser. Klik på Anvend, når De er færdig.

Aktivér automatisk DNS

Android 9+

Android 9+ tilbyder Privat DNS, en systemomfattende funktion, der automatisk beskytter forbindelsen til Deres internetudbyders DNS-servere ved hjælp af DoT (hvis dette understøttes af Deres internetudbyder – se nedenfor for flere detaljer), eller som giver Dem mulighed for at angive en brugerdefineret DNS-udbyder. Sådan deaktiveres Privat DNS:

1. Åbn appen Indstillinger og gå til ForbindelserFlere forbindelsesindstillingerPrivat DNSFra.

Slå Privat DNS-tilstand fra i Android

Chrome OS

Gå til Indstillinger → vælg Deres netværksgrænseflade (f.eks. WiFi eller Ethernet. Hvis De bruger WiFi, skal De også vælge et kendt netværk) → Avanceret → Navneservere og sørg for, at Automatiske navneservere er valgt.

Vælg automatiske navneservere på Chromebooks

iOS og ældre versioner af Android

Den eneste måde at ændre de globale DNS-indstillinger på i iOS/iPadOS og Android-versioner før Android 9 Pie er at bruge en tredjepartsapp, der opretter en dummy-VPN-grænseflade for at fungere.

Da det kun er muligt at have én VPN-forbindelse ad gangen, kan De alligevel ikke køre disse apps sammen med Proton VPN.

DNS over HTTPS

DNS over HTTPS(nyt vindue) (DoH) er en krypteringsstandard, der krypterer DNS-forespørgsler til DNS-serveren. DoH fungerer kun, hvis standarden understøttes af DNS-udbyderen, men tilbydes nu af et stigende antal tredjeparts DNS-tjenester (dog sjældent af ISPs).

Desværre forværrer dette problemet med at bruge tredjeparts DNS-tjenester, fordi krypteringen forhindrer vores software i at kunne se DNS-forespørgslerne. Dette gør det meget svært at blokere eller omdirigere dem.

Vi fraråder derfor på det kraftigste at bruge DoH (og den tilsvarende DNS over TLS-standard) med Proton VPN. Når De bruger vores apps, sendes alle DNS-forespørgsler via VPN-forbindelsen til vores servere, og de er dermed sikkert krypteret uden behov for DoH eller DoT.

På desktop-systemer implementeres DoH normalt i Deres browser, og det understøttes af de fleste moderne browsere (undtagen Safari). DoH og DoT understøttes på mobilenheder via Android Private DNS eller selvstændige apps (som beskrevet ovenfor).

Sådan deaktiverer De DoH i Deres browser på computeren

Firefox

Gå til IndstillingerPrivatliv & sikkerhedDNS over HTTPS Aktivér sikker DNS med: og vælg fra.

Chrome

Klik på ikonet med de tre prikker (lodret ellipse) → IndstillingerPrivatliv og sikkerhedPrivatliv og sikkerhedSikkerhedAvanceret Vælg DNS-udbyder og sørg for, at OS-standard (når tilgængelig) er valgt i rullemenuen.

Skift DNS-udbyder i Chrome

(På en Chromebook skal De gå til Indstillinger Privatliv og sikkerhedAvanceret)

Edge Chromium

Klik på ikonet med de tre prikker (vandret ellipse) → Indstillinger Privatliv, søgning og tjenesterSikkerhed og sørg for, at Brug sikker DNS til at angive, hvordan netværksadressen for websteder skal findes er slået fra.

Deaktiver brug af sikker DNS i Edge

Brave

Gå til IndstillingerPrivatliv og sikkerhed→ → SikkerhedAvanceret og sørg for, at Brug sikker DNS er slået fra.

Deaktiver brug af sikker DNS i Chrome

Deres forbindelse til VPN-serveren er afbrudt

Hvis forbindelsen mellem Deres enhed og VPN-serveren afbrydes, kan De risikere at få adgang til internettet uden VPN-beskyttelsen. Dette betyder blandt andet, at DNS-forespørgsler kan blive sendt til Deres systems standard-DNS-server (som sandsynligvis drives af Deres ISP).

Dette problem kan nemt løses ved at aktivere nødstop-funktionen, som nu er tilgængelig i alle vores apps.

Sådan kontrollerer De for DNS-lækager

1. Åbn vores app, og opret forbindelse til en af vores servere. Med henblik på at køre en DNS-lækagetest vil det gøre DNS-lækager nemmere at opdage, hvis De opretter forbindelse til en VPN i et andet land.

2. Gå til DNSleaktest.com(nyt vindue) i Deres browser. De bør se IP-adressen på den VPN-server, De har oprettet forbindelse til. Vælg enten en Standard test eller en Udvidet test. I forbindelse med denne vejledning vælger vi en udvidet test.

Se Deres eksterne IP-adresse

3. Vent på, at testen fuldføres, og se på resultaterne. Hvis den viste IP-adresse tilhører Deres rigtige ISP, har De en DNS-lækage. Se venligst ovenfor for løsninger.

Resultater af DNS-lækagetest

Bemærk, at Proton VPN samarbejder med infrastrukturudbydere over hele verden, så Deres ISP kan være en tredjepartsudbyder. Så længe IP-adressen ikke tilhører Deres rigtige ISP, har De ikke en DNS-lækage.