Som rubriken hintar om ska vi ta reda på vad en DNS-läcka är samt hur vi kan förhindra dessa. Ta en Alvedon eller sju och häng med.

Alla webbläsare använder sig av så kallade domännamnsservrar (DNS-servrar) för att kunna koppla samman IP-adresserna (tex. 104.27.134.179) och domännamnen (vpnbasen.se).

vpnbasen-som-ip-adress-och-dns-nummer

Ett exempel: Om vi skriver in vpnbasen.se i vår webbläsare måste denna information först skickas till en DNS-server där domännamnet (vpnbasen.se) matchas mot samma sidas IP-adress (104.27.134.179). På detta sätt kopplas vi mot rätt måldator och landar tillslut på rätt webbsida.

All trafik som flödar på webben måste ta denna något krångliga rutt, vilket är ett stort problem rent säkerhetsmässigt. Detta då alla DNS-servrar sparar information som avslöjar vem vi är och vilka webbsidor vi besöker.

De DNS-servrar vi använder som standard tillhör oftast internetoperatörerna själva såsom Telia, Bahnhof, Tele2, Telenor etc. Och samtliga av dessa lyder under svensk lagstiftning, vilket är något av ett problem. I Sverige lagras all information om vad vi pysslar med på webben i ett antal månader beroende på hur våra internetoperatörer tolkar Sveriges vansinnigt korkade datalagringslagar.

Med andra ord: Om polis, åklagare, upphovsrättsorganisationer eller andra instanser vill kunna se vad vi gör på webben är det fritt fram för samtliga av dessa att begära ut hur mycket information de vill. Det spelar ingen roll om vi är oskyldiga, alla internetleverantörer (förutom Bahnhof) lyder glatt om någon konstig förfrågan skulle tas emot.

SSL-kryptering hjälper ibland

Den kommunikation som sker mellan våra datorer och den webbsida vi vill besöka kan krypteras via SSL-teknik (det visar sig som hänglåset och s:et i https://vpnbasen.se).

https-kryptering

Tack vare SSL-tekniken blir det svårare för obehöriga att komma över vår webbhistorik, men långtifrån omöjligt. Alla webbsidor vi besöker kan fortfarande granskas av både myndigheter (som har full rätt att komma åt informationen) och diverse ljusskygga hackers. Med andra ord: Som det ser ut idag har vi har ingen rätt till integritet på nätet – allt vi gör övervakas.

En VPN-tjänst kan vara lösningen

VPN-uppkopplingar är konstruerade för att lösa dessa typer av problem, vilket de också gör genom att skapa ett skyddande lager mellan vår internetuppkoppling den webbsida vi vill besöka. I teorin ska vi vara skyddade till 100%, men vissa VPN-leverantörer kan ibland tyvärr slarva med säkerheten.

Under vissa omständigheter kan känslig DNS-information läcka från den skyddade VPN-tunneln för att istället bli fullt synlig för våra internetoperatörer och andra luriga aktörer såsom myndigheter, reklambolag, upphovsrättsorganisationer och skumma advokatbyråer.

Hur kan en VPN-tjänst skydda oss mot DNS-läckor?

När vi surfar med en VPN-uppkoppling i ryggen har en form av skyddad tunnel skapats mellan vår dator och VPN-servern. Och då blir det också VPN-servern som skickar våra DNS-förfrågningar till de webbsidor vi vill besöka.

Allt våra internetoperatörer kan se är att vi är uppkopplade mot en VPN-tjänst, sen är det stopp. Och tack vare den (ofta) starka krypteringsnivå som erbjuds kan inte diverse myndigheter och hackers komma och snoka.

Vad är en DNS-läcka?

En DNS-läcka uppstår när någonting oväntat händer. Det kan handla om att vi helt enkelt aldrig kopplats upp mot den VPN-server som vi tror att vi är uppkopplade mot. Vid dessa fall ser vår internetoperatör allt som vi donar med på webben – trots att vi tror att vi surfar skyddat.

En DNS-läcka ska aldrig accepteras, i synnerhet när vi betalar för att hålla oss skyddade. När en sådan inträffar får våra internetoperatörer reda på precis var vi befinner oss samt vilka sidor som vi besöker, och allting loggas snyggt och prydligt då Telia och gänget inte vill bryta mot lagen.

Hur vet vi om vår VPN-leverantör kan hålla tätt?

Vi kan kontrollera att den VPN-uppkoppling vi använder oss av är fri från DNS-läckor och andra säkerhetsbrister genom att besöka VPN Insights. Testet är busenkelt att utföra och är över på någon minut.

Men först lite skrämselpropaganda wink wink: Om vi inte säkerhetstestar vår VPN-uppkoppling regelbundet har vi inte en aning om det skydd vi betalar för verkligen fungerar. VPN-företagen lär aldrig skicka ut meddelanden såsom:

  • ”Visst ja, vi har lite problem med DNS-läckor just nu, men det löser sig nog snart”

Vissa VPN-leverantörer såsom OVPN erbjuder smidiga webbläsarprogram för att vi ska kunna få en bekräftelse på att vi alltid är skyddade på ett bra sätt. Men i många andra fall är det upp till oss att kontrollera så att VPN-leverantörerna inte missköter sig – och det gör vi såhär:

  1. Besök VPN Insights DNS-verktyg
  2. Tryck på ”Execute test” och vänta en stund
  3. När testet är slutfört ser vi vilken DNS-server vi är uppkopplade mot. Om vi ser våran vanliga internetoperatör i listan rör det sig om en DNS-läcka. Om så inte är fallet kan vi räkna med att vi är fullt skyddade.

Längst ner till vänster ser ni hur det ser ut när en dåligt konfigurerad VPN-uppkoppling drabbas av en DNS-läcka, och längst ner till höger ser ni att SurfShark har koll på läget.

dns-läckatest-för-surfshark-med-vpn-insights.

Några andra exempel på webbtjänster som kontrollerar exakt samma sak är IPleaks.com och DNS-leaks.com. Det skadar aldrig att kontrollera sin VPN-uppkoppling en extra gång.

Hur kan vi förhindra DNS-läckor?

Nu när vi vet vad en DNS-läcka är blir nästa utmaning att kunna minimera risken för att en sådan uppstår. Här kommer heta tips för att vi ska kunna göra just detta.

1. Koppla upp dig mot en stabil DNS-server

Om våra VPN-leverantörer inte erbjuder några egna DNS-servrar är det bästa valet att använda tredjeparts-lösning såsom Googles öppna DNS-nätverk. Såhär gör vi för att utföra bytet i Windows 10:

  1. Öppna Kontrollpanelen
  2. Klicka på ”Nätverk och Internet”
  3. Ta dig vidare till ”Nätverks- och delningscenter”
  4. Klicka på det nätverk du vill ändra DNS-inställningar för

klicka-på-det-nätverk-du-vill-ändra-dns-inställningar-för

  1. Välj ”Egenskaper”
  2. Leta reda på ”Internet Protocol Version 4 (TCP/IPv4)”, markera rutan (utan att bocka av den) och klicka på ”Egenskaper”
  3. Välj ”Använd följande DNS-serveradresser”
  4. Efter detta väljer vi 8.8.8.8 som önskad DNS-server och 8.8.4.4 sin alternativ DNS-server. Sen klickar vi på ”OK” tre gånger: En gång för att stänga fönstret längst till höger, nästa gång för att spara inställningarna och sista gången för att gå ur nätverksinställningarna helt.

välj-googles-egen-dns-server

Det är aldrig en dum idé att koppla ur och koppla tillbaka nätverkssladden (om du kör trådat) eller koppla ifrån din dator från nätverket för att senare koppla upp dig igen (om du kör via Wifi). Tack vare detta kan vi försäkra oss om att bytet har gått igenom. Det är heller aldrig någon dum idé att byta DNS-adress i våra routrar. Hur du går tillväga där står i manualen.

Tips: OVPN erbjuder egna DNS-servrar.

2. Se till att brandväggen blockerar all trafik som inte går via VPN-tunneln

Vissa VPN-klienter såsom OVPN:s och Perfect Privacys varianter blockerar automatiskt all trafik som inte går via VPN-tunneln (om vi ställer in det under inställningar förstås). Funktionen brukar kallas för ”IP Binding”, och om du inte hittar någon information om detta kan säkert kundsupporten visa hur du aktiverar säkerhetsverktyget.

Om din VPN-leverantör inte bjuder på någon ”IP Binding”-funktion kan vi istället göra såhär:

  1. Se till att du är uppkopplad mot din VPN-leverantör
  2. Gå in på Kontrollpanelen -> Nätverks- och Delningscenter. Nu ser vi två typer av uppkopplingar: Den vi fått från vår internetoperatör (längst ner) och den som VPN-leverantören står för (längst upp).

ndra-inställningar-för-windows-10-brandväggen

  1. Gå in på ”System och Säkerhet” och sedan ”Windows Defender-brandväggen”
  2. Välj ”Regler för inkommande trafik” och sedan ”Ny regel”

regler-för-inkommande-trafik-för-win-10-brandväggen

  1. Klicka på ”Program” och sedan ”Nästa”
  2. Välj ”Alla Program” och kör ”Nästa” igen. Här kan du välja att bara någon enskild webbläsare eller kanske din Torrentklient ska omfattas av skyddet, men jag rekommenderar verkligen att ”Alla Program” väljs.

välj-program-och-sedan-alla-program-i-brandväggen

  1. Välj ”Blockera anslutningen” och klicka på ”Nästa”
  2. Bocka i ”Domän” och ”Privat”. Viktigt: ”Offentlig” ska inte vara markerad. Sen kör vi på ”Nästa” igen.

blockera-anslutning-win-10-brandväggen

  1. Sätt ett namn på den regel du skapat. Ett bra förslag kan vara ”DinVPNLeverantör ingående regel för VPN-trafik”, men detta är förstås helt valfritt.
  2. Du är nu tillbaka i huvudgränssnittet. Nu måste en likadan regel införas för all utgående trafik. För att komma igång med detta klickar du på ”Regler för utgående trafik” och sedan ”Ny regel”. Därefter repeterar du steg 5 till 9 – sen är det klart.

3. Utför regelbundna DNS-tester

Genom att byta DNS-server till Googles öppna DNS-nätverk och genom att justera brandväggen kan vi minimera risken för DNS-läckor. Men tyvärr är ingen metod hundraprocentig – det är alltid en bra idé att utföra egna DNS-tester med jämna mellanrum för att vara på den säkra sidan.

4. Skaffa en smart VPN-tjänst

OVPN(recension), NordVPN(recension), ExpressVPN(recension) och Cyberghost(recension) är fyra utmärkta exempel på VPN-leverantörer som erbjuder säkerhetsmjukvara som (i teorin) alltid ser till att våra DNS-förfrågningar hittar till rätt server. Vissa VPN-klienter har även ett inbyggt skydd som gör sitt för att minimera risken för DNS-läckor.

5. Byt VPN-leverantör om du inte är nöjd

Som jag tidigare nämnt ska vi aldrig acceptera att betala för en VPN-tjänst som inte klarar av att hålla oss säkra. Topp 10-alternativen på topplistan har följande saker gemensamt.

Samtliga av dessa har granskats av externa säkerhetsföretag (och/eller levererar regelbundna transparensrapporter) som alla pekar på samma exakt sak: Säkerhetsläget är på topp och alla moderna säkerhetsfunktioner erbjuds.

Delta i diskussionen