Descripción técnica general: prevención de fugas de DNS al cambiar las interfaces de red

[ware_item id=33][/ware_item]

Prevención de fugas de DNS al cambiar las interfaces de red


Para ofrecer de manera efectiva privacidad y seguridad a un usuario, una aplicación VPN debe garantizar que las solicitudes de DNS de un usuario permanezcan privadas durante toda la conexión a la VPN. Las aplicaciones generalmente hacen esto al garantizar que todas las solicitudes de DNS se envíen encriptadas a través del túnel VPN y sean manejadas por los servidores DNS del proveedor de VPN..

Para mantener esta garantía, es importante comprender en qué escenarios pueden ocurrir fugas de DNS. Considerar solo escenarios simples, como cuando las conexiones de red son estables, no es suficiente. En el mundo real, las redes a menudo son inestables, o sus configuraciones pueden cambiar, y en general, esto es cuando se producen fugas. Por lo tanto, investigar escenarios complejos es una parte crucial del proceso de ingeniería de una aplicación VPN a prueba de fugas.

En ExpressVPN, dedicamos un tiempo y un esfuerzo considerables a investigar escenarios complejos en los que su aplicación VPN podría filtrarse. En el resto de este artículo, discutimos un escenario particular que descubrimos donde podrían ocurrir fugas de DNS. Explicaremos cómo y por qué ocurre la fuga de DNS y le daremos una forma de probar las fugas usted mismo.

Escenario: fugas de DNS después de un cambio en las interfaces de red

El cambio entre interfaces de red es un escenario común en el que son posibles fugas de DNS. Considere el siguiente ejemplo:

  • Estás en casa con tu computadora portátil y conectado a Wi-Fi
  • Te conectas con tu aplicación VPN
  • Algún tiempo después, conecta su cable Ethernet

La mayoría de las aplicaciones VPN no detectarán este cambio de configuración de red. Continuarán informándole que su privacidad y seguridad aún están 100% protegidas, sin embargo, la realidad puede ser muy diferente..

Debajo de las cubiertas, sus solicitudes de DNS pueden filtrarse constantemente a su ISP u otros terceros, y es posible que nunca se dé cuenta..

Desglose técnico

¿Cuándo puede suceder esto realmente??

Tomemos el ejemplo de una Mac (tenga en cuenta, sin embargo, que esta fuga también ocurre con dispositivos Windows). Suponga que tiene una conexión Wi-Fi y Ethernet disponible. Abra la aplicación "Preferencias del sistema" y navegue hasta "Red". Verá algo como lo siguiente:

Wi-Fi DNS fugas

Esto indica que está conectado a Wi-Fi y Ethernet, pero Ethernet es su conexión preferida.

Supongamos además que su DNS se deja en una dirección IP "local". Puede verificar esto haciendo clic en "Avanzado" cuando su conexión Ethernet esté resaltada y luego navegando a "DNS". Debería ver algo como esto:

Ver servidor DNS

Si las direcciones IP en "Servidores DNS" tienen la forma 10.x.x.x, 192.168.x.x o entre 172.16.x.xy 172.31.x.x, entonces son direcciones IP "locales". Esto probablemente significa que su enrutador está actuando como su servidor DNS y, por lo tanto, sin una VPN, su ISP puede ver todas sus solicitudes de DNS. Si tiene dicha configuración, puede ser vulnerable a esta fuga de DNS.

Tenga en cuenta que incluso si sus servidores DNS no tienen direcciones IP locales, probablemente seguirá siendo vulnerable a las fugas de DNS. En este caso, las solicitudes de DNS pueden pasar por el túnel VPN. Sin embargo, no se enrutarían al servidor DNS de la VPN sino a algún otro servidor DNS, como el de su ISP o un proveedor DNS externo..

¿Cómo puede verificar si tiene fugas??

El método más simple es usar la herramienta de fuga de DNS de ExpressVPN y hacer lo siguiente:

  • Asegúrese de que su cable Ethernet esté desconectado
  • Asegúrese de estar conectado a una red Wi-Fi
  • Conéctese con su aplicación VPN
  • Utilice el probador de fugas DNS de ExpressVPN o un probador de terceros
  • Debería ver solo un servidor DNS en la lista
  • Si usa ExpressVPN, nuestro probador también le dirá que es un servidor nuestro reconocido
  • Enchufa tu cable Ethernet
  • Actualice la página de fuga de DNS. Si tiene una fuga de DNS, ahora verá una lista diferente de servidores DNS

También puede verificar si hay fugas de DNS sin depender de nuestra página web utilizando tcpdump de la siguiente manera.

En primer lugar, busque la interfaz de red correspondiente a su conexión Ethernet:

  • Abrir una ventana de terminal
  • Escriba networksetup -listallhardwareports
  • Busque una línea como "Puerto de hardware: Thunderbolt Ethernet", por ejemplo.
  • Puerto de hardware: Thunderbolt Ethernet

  • La interfaz de red para su conexión Ethernet se muestra junto a "Dispositivo". En este ejemplo, es en4

Ahora, ejecutemos la prueba:

  • Asegúrese de que su cable Ethernet esté desconectado
  • Conéctese con su aplicación VPN a través de Wi-Fi
  • Enchufa tu cable Ethernet
  • Abrir una ventana de terminal
  • Escriba sudo tcpdump -i en4 port 53 e ingrese su contraseña
  • sudo le da a tcpdump los privilegios necesarios para capturar el tráfico de red
  • -i en4 le dice a tcpdump que escuche en la interfaz Ethernet
  • Reemplace en4 con la interfaz que descubrió anteriormente
  • el puerto 53 es el puerto utilizado para el tráfico DNS y, por lo tanto, solo muestra solicitudes DNS
  • Si ve algún tráfico, entonces tiene fugas de DNS, por ejemplo.
  • Tráfico de fuga de DNS

    ¿Qué está pasando realmente aquí??

    La causa raíz de esta fuga se debe a cómo el sistema operativo determina qué servidores DNS usar. Los servidores DNS utilizados por el sistema son siempre los asociados al servicio de red activo de mayor prioridad; esto corresponde al servicio verde en la parte superior de la lista en la imagen de arriba.

    Con Ethernet deshabilitado, los servidores que recibirán sus consultas DNS son aquellos asociados con el servicio Wi-Fi, ya que ahora es el servicio de red activo de mayor prioridad. Lo mismo es cierto cuando te conectas a una VPN. Para enviar correctamente su tráfico DNS al servidor DNS de la VPN, la mayoría de los proveedores de VPN cambian los servidores DNS en la interfaz de mayor prioridad a su propio servidor DNS. En este escenario, eso significa que cambian los servidores DNS asociados con su servicio de red Wi-Fi.

    Cuando conecta su cable Ethernet, el servicio de red Ethernet vuelve a la parte superior de la lista activa, ya que ahora es el servicio de red de mayor prioridad. El sistema operativo intentará usar los servidores DNS asociados con ese servicio para cualquier búsqueda de DNS.

    Muchas aplicaciones VPN no notarán el problema porque su red Wi-Fi todavía está funcionando y nunca se interrumpió. Sin embargo, si bien pueden estar enviando sus datos encriptados a través de la red Wi-Fi, sus solicitudes de DNS se enviarán sin encriptar a su ISP.

    Si su aplicación VPN no puede proteger contra este escenario, significará que sus solicitudes de DNS se filtrarán del túnel a su ISP.

    Comprobación de servidores de nombres DNS en la Terminal

    Como nota al margen, puede investigar el comportamiento de los servidores DNS usted mismo con el comando scutil. Para ver qué servidores DNS está usando el sistema simplemente:

    • Abrir una ventana de terminal
    • Escriba scutil --dns
    • En la parte superior de la salida, debería ver "resolver # 1" con una lista de "servidores de nombres", por ejemplo.
    • resolver servidores de nombres # 1

    • Las direcciones IP al lado de cada "servidor de nombres" indican qué utilizará el sistema para las solicitudes de DNS

    ¿Interesado en aprender más? Tiene una pregunta o comentario?

    A nuestro equipo de ingenieros le encantaría saber de usted, simplemente envíenos un mensaje a [email protected]

    Descripción técnica general: prevención de fugas de DNS al cambiar las interfaces de red
    admin Author
    Sorry! The Author has not filled his profile.