La tua VPN è veramente sicura? Verifica eventuali perdite DNS


DNS leak

Un tuo amico/a ti ha suggerito di usare una nota VPN per navigare anonimo che tra l'altro costa pure poco, così, anche se non ne hai mai sentito parlare o comunque non hai ancora capito abbastanza bene come funziona questa tecnologia, hai deciso di ascoltarlo, ma hai dei dubbi sul suo funzionamento.
Ti chiedi se stia davvero proteggendo la tua privacy o se invece il tuo provider Internet possa ancora vedere i siti che visiti?
Sei preoccupato che il tuo vero indirizzo IP (Internet Protocol) possa essere esposto? Se ti sei fatto anche solo una di queste domande, sei nel posto giusto.


Una VPN (Virtual private network) dovrebbe proteggerti crittografando tutto il traffico mascherando il tuo indirizzo IP attraverso un tunnel privato che nasconde tutte le attività di navigazione, garantendoti anonimato e sicurezza Online. Ma la realtà è che non tutte lo fanno correttamente o non lo fanno affatto, specialmente quando queste sono gratis.
Anche se il tuo IP sembra nascosto, potresti comunque essere vulnerabile a una perdita DNS. In pratica, significa che per un difetto di sicurezza le tue richieste di navigazione passano direttamente attraverso i server DNS del tuo ISP anche quando la VPN è attiva, e non via il tunnel crittografato, rendendo visibile a terzi i siti che visiti o cosa stai scaricando con il tuo PC o dispositivo mobile.



Indice


Perché è importante crittografare il traffico e mascherare l'indirizzo IP

Immagina un indirizzo IP come l'indirizzo di casa per la tua connessione Internet. Quando navighi senza "filtro", il tuo IP viene esposto a ogni sito che visiti (anche questo) o ad ogni app o tool online che usi, rivelando non solo la tua posizione geografica, ma anche le tue abitudini di navigazione. Questo rende facile per il tuo provider Internet, inserzionisti e persino hacker tracciare tutto ciò che fai online.
Quest'ultimi possono bersagliarti con e-mail di phishing e monitorarti la navigazione per mostrarti annunci pericolosi contenenti malware, oltre al fatto che possono anche tenere d'occhio tutte le attività sui social media tentando di violare le credenziali di accesso.


Una buona rete privata virtuale nasconde il tuo vero IP sostituendolo con uno dei suoi server, facendoti apparire come se stessi navigando da un'altra posizione geografica. Questo ti permette di accedere a contenuti bloccati nel tuo paese e di proteggere la tua identità online.


Ma c'è come detto poc'anzi un altro aspetto cruciale: la crittografia del traffico. I tuoi dati vengono trasformati in un codice indecifrabile, impedendo a chiunque di vedere cosa stai facendo. Questo è particolarmente importante quando ti connetti a reti Wi-Fi pubbliche, spesso non sicure e vulnerabili agli attacchi informatici.
Avendo un buon scudo protetivo tutte le informazioni scambiate online, come password, dati bancari e messaggi privati, rimangono protetti da occhi indiscreti.


Nonostante tutto questo, sappi che una VPN non è infallibile e forse non lo sarà mai. Se c'è una perdita DNS, è qui che iniziano i problemi di privacy. Sei pronto/a a scoprire se la tua VPN ti sta davvero proteggendo? Andiamo avanti e vediamo come verificarlo, ma prima concedimi pochi minuti del tuo tempo, così apprenderei meglio le basi del funzionamento.



Che cos'è il DNS?

DNS è l'acronimo di Domain Name System, un sistema che traduce i nomi dei siti web (come www.tantilink.net) nei rispettivi indirizzi IP (come 142.251.143.115) necessari ai browser per connettersi ai server.
In altre parole, il DNS è come una rubrica telefonica di Internet: converte un nome in un indirizzo IP, permettendo al nostro dispositivo di localizzare e accedere al sito web desiderato.


Come funziona il DNS?

Facciamo finta che tu voglia visitare questo blog ma non lo hai ancora salvato fra i tuoi preferiti (molto male!), quindi dovrai digitare www.tantilink.net. Quando si digita un indirizzo nel browser come hai fatto ora, avviene quanto segue:
il browser invia una richiesta DNS per trovare l'indirizzo IP corrispondente a www.tantilink.net.
Risoluzione DNS: La richiesta viene inviata a un server DNS (solitamente fornito dall'ISP). Se il server conosce già l'indirizzo IP, risponde immediatamente. Altrimenti, la richiesta viene inoltrata ad altri server DNS fino a trovare l'indirizzo corretto.
Connessione al server: Una volta ottenuto l'IP, il browser si connette al server web, caricando così il sito o blog di tuo interesse.


Perché il DNS è importante?

Il DNS dunque rende possibile come visto la navigazione su Internet in modo semplice e intuitivo. Immagina di doverti ricordare tutti gli indirizzi dei siti web che visiti: sarebbe impossibile! Grazie a questo sistema, possiamo utilizzare nomi di dominio facili da ricordare senza preoccuparci dei relativi IP.
Tuttavia, proprio perché il DNS gestisce tutte le richieste di navigazione, può anche rivelare molte informazioni sulle nostre abitudini online. Ecco perché proteggere queste richieste è fondamentale per la privacy.



Che cos'è una perdita DNS?

Una perdita DNS si verifica quando una VPN non riesce a proteggere adeguatamente le richieste DNS dell'utente, consentendo al provider di servizi Internet o ad altri osservatori di monitorare il traffico rete. In altre parole, anche se il traffico dati è crittografato, le query DNS vengono inviate al server DNS predefinito del dispositivo, esponendo potenzialmente l'attività di navigazione.


Come avviene una perdita DNS?

Le perdite DNS possono verificarsi per vari motivi, tra cui:

Configurazione errata della VPN: Se la VPN non reindirizza correttamente le richieste DNS ai propri server sicuri, queste potrebbero passare attraverso il server DNS dell'ISP. Le VPN richiedono che l'utente si colleghi prima al proprio provider Internet per poi accedere alla VPN. Di conseguenza, è più probabile che si verifichino problemi quando si utilizzano frequentemente reti diverse.


Un servizio VPN scadente, privo di server DNS dedicati rischia di causare perdite DNS, compromettendo la privacy dell'utente e offrendo una protezione insufficiente contro tali vulnerabilità.


Mancanza di supporto per IPv6: Internet sta ancora passando da IPv4 a IPv6 per via dell'aumento di dispositivi connessi a Internet, creando un nuovo tipo di indirizzo chiamato appunto IPv6 (a 128 bit), che permette di avere molti più IP disponibili, anziché l'Internet Protocol version 4 a 32 bit con quattro set di tre cifre.
Se una VPN non gestisce IPv6, le richieste DNS potrebbero uscire dal tunnel crittografato, rivelando le attività di navigazione dell'utente.


Transparent Proxy: Come possono causare leak DNS?

Un Transparent Proxy è un server che intercetta e reindirizza il traffico Internet senza che l'utente ne sia a conoscenza. A differenza di altri tipi di proxy, non richiede alcuna configurazione sul dispositivo dell'utente.
Gli ISP (o la maggior parte di questi) costringono i clienti a utilizzare i loro server DNS anche quando modificano le impostazioni in una VPN di terze parti, forzando una perdita DNS che reindirizza l'attività Web ai propri server DNS.
Tale pratica viene spesso utilizzata per velocizzare l'accesso ai siti web più visitati (cache dei contenuti), bloccare siti non autorizzati o per motivi di censura (filtraggio dei contenuti), controllare l'attività Online degli utenti (monitoraggio del traffico).


I Transparent Proxy possono interferire con le richieste DNS in due modi principali:

Bypass del Tunnel VPN: Anche se stai usando una VPN, un Transparent Proxy può intercettare le tue interrogazioni DNS e inoltrarle. Questo significa che il tuo provider Internet può ancora vedere i siti che visiti, anche se il tuo IP è mascherato dalla VPN.

Risoluzione DNS forzata: Alcuni proxy trasparenti reindirizzano tutte le query DNS verso i propri server, ignorando le impostazioni DNS personalizzate (con server DNS pubblici come quelli offerti da Cloudflare o Comodo Secure DNS) o quelle della VPN. In questo modo, anche se hai configurato un server DNS sicuro, le tue richieste potrebbero comunque passare attraverso i server DNS dell'ISP.


Come proteggersi dalle perdite DNS causate da Transparent Proxy?

- Usare una VPN con protezione dalle perdite DNS: Alcune VPN offrono funzioni avanzate che bloccano il traffico DNS fuori dal tunnel crittografato.

- DNS su HTTPS (DoH) e DNS su TLS (DoT) crittografano le richieste DNS, rendendo molto difficile per terze parti leggere il contenuto delle richieste stesse. Tuttavia, i Transparent Proxy possono comunque intercettare queste richieste, anche se non possono vedere quali siti vengono richiesti.

La crittografia offerta da DoH e DoT protegge i dati all'interno delle interrogazioni DNS, ma non garantisce che il Transparent Proxy non possa comunque intercettare o reindirizzare l'intera richiesta.
Una protezione più affidabile contro i Transparent Proxy è utilizzare una VPN con tunneling DNS completo, che instrada tutte le richieste attraverso il tunnel crittografato.

- Testare regolarmente la VPN per individuare leak DNS: lo vediamo a breve.


Le Funzionalità intelligenti di Windows note anche come "Smart Multi-Homed Name Resolution" (SMHNR) sono state introdotte a partire da Windows 8 per velocizzare la navigazione su Internet. Questa funzione invia contemporaneamente le query DNS a tutti i server DNS disponibili sul dispositivo, scegliendo poi la risposta più veloce.


Se stai utilizzando una VPN, ci si aspetterebbe che tutto fili liscio. Tuttavia, con le Funzionalità intelligenti attive, alcune richieste potrebbero comunque essere inviate ai server DNS predefiniti dell'ISP, bypassando il tunnel crittografato della VPN.
Cerca su Google come disabilitare questa funzione su Windows per prevenire DNS leak. Da Editor Criteri di gruppo locali (gpedit.msc) su Windows Pro ed Enterprise, da regedit per le versioni Home che non è disponibile di default.


Teredo è un protocollo di Windows che permette ai dispositivi con IPv4 di connettersi a reti IPv6 usando un tunnel. Viene usato soprattutto per applicazioni come Xbox Live e giochi online. Windows 10 versione 1803 e successive disabilitano Teredo per impostazione predefinita, a meno che non sia richiesto da specifiche applicazioni o giochi.
Teredo bypassa il tunnel crittografato della VPN, inviando alcune richieste DNS direttamente su Internet. Questo può rivelare il tuo vero indirizzo IP e i siti che visiti, compromettendo la privacy.

Per sicurezza, puoi comunque verificarne lo stato del tunnel aprendo il Prompt dei comandi come amministratore e digitando: netsh interface teredo show state per vedere se lo stato è abilitato e netsh interface teredo set state disabled per disabilitarlo.



Come prevenire perdite DNS?

Finora abbiamo visto cosa sono le perdite DNS, come possono compromettere la tua privacy anche con una VPN attiva e quali sono le cause più comuni. Ora vediamo come proteggerti efficacemente dalle fughe DNS, adottando le giuste precauzioni e utilizzando gli strumenti più adatti per navigare in modo anonimo e sicuro oltre alla VPN.


1) Scegli sempre una VPN che offra protezione avanzata contro le perdite DNS, come CyberGhost, NordVPN o Surfshark, che utilizzano server DNS dedicati e crittografati e Kill Switch per bloccare tutto il traffico in caso di disconnessione improvvisa.
A tal proposito ti invito a leggere il mio articolo dove ti suggerisco tutte le Best practices efficaci per salvaguardare la tua sicurezza e privacy digitale.


2) Imposta un firewall per bloccare le richieste DNS che non passano attraverso la VPN. Su Windows, puoi utilizzare Windows Defender Firewall, mentre su altri sistemi operativi puoi considerare soluzioni come pfSense.


3) Disabilita IPv6 se non necessario. Alcune VPN non supportano IPv6, disabilitarlo può prevenire perdite DNS.


DNS leak test

4) Testa regolarmente la tua connessione con un test di tenuta DNS
Utilizza strumenti Online offerti dalle migliori VPN o tool di terze parti come dnsleaktest.com, browserleaks.com/dns, dnsleak.com e ipleak.net per verificare che tutte le richieste DNS passino attraverso il server della VPN e non attraverso quelli del tuo ISP.

Per eseguire un DNS leak test, segui questi passaggi:

1) Connettiti alla tua VPN e assicurati che sia attiva.
2) Vai su uno dei siti consigliati, quello del tuo servizio VPN oppure dnsleaktest.com o ipleak.net.
3) Avvia un "Extended Test" per un'analisi più approfondita.


Come interpretare i risultati:

Se tutti i server DNS mostrati appartengono al tuo provider VPN, allora sei al sicuro: le query DNS passano attraverso la VPN.
Se vedi l'IP server DNS del tuo ISP o di terze parti, significa che c'è una perdita DNS.
Se rilevi una fuga, prova a cambiare i server DNS nelle impostazioni della VPN ripetendo il test o verifica le configurazioni di rete.


Scegli sempre il browser giusto

Tutto parte dal browser che utilizzi per la navigazione, giocando un ruolo cruciale nella protezione della tua privacy. Alcuni browser rispettano maggiormente la riservatezza rispetto ad altri.

Cosa sono le perdite WebRTC? WebRTC implementa STUN (Session Traversal Utilities for Nat), un protocollo che consente di scoprire l'indirizzo IP pubblico. Fai una ricerca per scoprire come disattivarlo dal browser in uso.
Ad esempio: su Firefox digita "about:config" nella barra degli indirizzi > scorri in basso fino a "media.peerconnection.enabled" > doppio clic per impostarlo su false.

Ecco i migliori Open source per proteggere i tuoi dati:


Tor Browser: Basato su Firefox, instrada il traffico attraverso la rete Tor per nascondere il tuo indirizzo IP e crittografare le tue attività. È progettato per la massima privacy, ma potrebbe risultare più lento a causa dei passaggi attraverso nodi multipli. Puoi usarlo assieme ad una VPN attiva.


Brave: Orientato alla privacy, blocca automaticamente tracker e pubblicità invasive. Supporta DNS su HTTPS (DoH) per crittografare le richieste DNS e impedire intercettazioni.


Firefox: Il più famoso e altamente personalizzabile, tutto focalizzato sulla privacy. Offre numerose estensioni per migliorare la sicurezza online. Configurando i giusti componenti aggiuntivi, puoi renderlo ancora più sicuro.


LibreWolf: Una versione modificata di Firefox, ottimizzata per la privacy. Blocca i tracker e utilizza di default DNS su HTTPS. Non include funzionalità di telemetria e offre aggiornamenti frequenti per garantire sicurezza e anonimato.



Per oggi e tutto. Hai trovato utile questo articolo? Hai domande o suggerimenti? Lascia un commento qui sotto e condividi la tua esperienza!
Se pensi che queste informazioni possano aiutare altri a proteggere la loro privacy online, condividi sui tuoi social media.
Per scrivere questo articolo ho preso spunto da fortinet.com/it/resources/cyberglossary/dns-leak

Nessun commento: