Die Nutzung eines VPN ist eine einfache und, im Vergleich zum TOR-Netz, von der Verbindungs-Geschwindigkeit her schnellere Möglichkeit die Sicherheit einer Verbindung zu gewährleisten und auf der anderen seine Herkunft zu verschleiern. Doch neben diesen Möglichkeiten, die in einem Artikel bereits beschrieben wurden, haben VPNs auch ihre Tücken. Solche Tücken sind zum Beispiel IPv6- und DNS-Leaks, die selbst bei einer funktionierenden VPN-Verbindung eure Privatsphäre beeinträchtigen können. Wie diese Lücken entstehen, wie man feststellt, ob man betroffen ist und was man gegebenenfalls tun kann, soll im Folgenden erläutert werden.
Um zu verstehen, wie IPv6- und DNS-Leaks zustande kommen ist es notwendig zu verstehen, wie das Internet funktioniert. Insbesondere was eine IP-Adresse ist und wie das DNS, also das Domain-Name-System funktioniert. Hier hilft uns die Sendung mit der Maus mit einem uralten Beitrag (per Modem einwählen müsst ihr euch hoffentlich nicht mehr 😉) weiter.
Im Video der Maus wird das DNS als Auskunft bezeichnet. Und die IP-Adresse einfach als Adresse. Das DNS sorgt also dafür, dass die URL einer Webseite (z.B. causa-finita.com) in eine IP-Adresse (z.B. 82.221.136.4), also maschinenlesbaren Code, übersetzt wird. Dadurch weiß euer Browser mit welchem Server er sich verbinden soll. Bei einer solchen DNS-Abfrage kann es im Rahmen einer VPN-Verbindung zu einem gefährlichen Fehler für die Privatsphäre, zu einem sog. DNS-Leak, kommen. Dieser tritt auf, wenn euer Computer die IP-Adresse eines Server nicht innerhalb des VPN-Netzes, sondern bei euren regulären Provider abfragt. Über diese nicht verschleierte Anfrage könntet ihr dann enttarnt werden.
Ob man selbst von einem DNS-Leak betroffen ist, lässt sich einfach überprüfen, indem man mit eingeschalteter VPN-Verbindung dnsleaktest.com aufruft, einen Test durchführt und seine DNS-Server überprüft. Wenn DNS-Server auftauchen, die nicht mit eurem VPN-Anbieter verbunden seit, solltet ihr eure DNS-Konfiguration überarbeiten und den Test erneut durchführen.
Während DNS-Leaks also bei der Umwandlung von Domainnamen in IP-Adressen auftreten, hängen IPv6 mit der Verbindung zum Zielserver zusammen. Diese Verbindung erfolgt über das Internet Protocol (IP). Das Internet Protocol gibt es in verschiedenen Versionen, wobei die vierte Version aus dem Jahr 1981 im Moment am häufigsten eingesetzt wird. Sie wird mit IPv4 (für Internet Protocol version 4) abgekürzt. Eines der großen Probleme der vierten Version des Internetprotokolls ist, dass das Format der Adressen. Diese sind nämlich nur 32-Bit lang, weshalb im Netz maximal 2³² (4.294.967.296) Adressen vergeben werden können. Diese reichen, trotz einiger Tricks, inzwischen aber kaum noch aus, um den Bedarf an Adressen abzudecken. Aus diesem Grund wird in den letzten Jahren verstärkt an der Einführung von IPv6 gearbeitet. Mit der Einführung von IPv6 werden die Adressen nämlich 128-Bit lang sein, so dass ungefähr 340 Sextillionen (2128) Adressen zur Verfügung stehen. IPv6-Adressen sehen z.B. so aus „2001:0db8:85a3:08d3:1319:8a2e:0370:7344“.
Zwischenzeitlich haben einige Provider damit angefangen IPv6 auch an die Endkunden zu verteilen und zahlreiche Webserver sind auch schon über IPv6 verfügbar. Bisher läuft IPv6 aber regelmäßig im sog. Dual Stack, also parallel zu IPv4. Und dieser Doppelbetrieb, der zur Umstellung natürlich notwendig ist, ist der Grund für IPv6 Leaks. Es gibt nämlich VPN-Software, die nur den Verkehr über IPv4 verschleiert und alle Anfragen über IPv6 unberührt lässt. Ruft ihr mit einer solchen Software einen Server mit Dual Stack auf, kann dieser also eure reale IPv6 Adresse in Erfahrung bringen und euch deanonymisieren.
Ob ihr betroffen seid, könnt ihr einfach herausfinden, indem ihr die Seite ipv6-test.com aufruft und den Test durchführt, während eure VPN-Verbindung eingeschaltet ist. Wird neben eurer verschleierten IPv4 Adresse, eine nicht verschleierte IPv6 Adresse anzeigt, solltet ihr umgehend IPv6 ausschalten (Hinweis: Wer Bitmask neben anderen VPN-Lösungen benutzt, muss für die Nutzung von Bitmask IPv6 wieder aktivieren), eure VPN-Konfiguration bzw. Software anpassen oder den VPN-Anbieter wechseln.
Fazit: DNS- und IPv6-Leaks sind dazu geeignet den Schutz eines VPN auszuhebeln. Es ist also wichtig, seine VPN-Verbindung (am besten bei jedem Start) auf mögliche Lücken zu prüfen. Gute VPN-Anbieter sollten die Probleme ohnehin im Griff haben, so dass man über einen Wechsel des Anbieters nachdenken sollte, wenn DNS- oder IPv6-Leaks auftreten. Für heikle Angelegenheiten sollte man ohnehin auf das Tor-Netz zurückgreifen.