DNS-lekken: wat het is en hoe je het voorkomt
Een DNS-lek kan je browsegeschiedenis blootstellen, zelfs als je een VPN gebruikt. Leer hoe DNS werkt, waarom lekken ontstaan en hoe WireGuard je queries beschermt.
Wat is DNS?
DNS staat voor Domain Name System -- het telefoonboek van het internet. Als je 'nexun.io' in je browser typt, stuurt je apparaat een DNS-query naar een server om het IP-adres op te vragen dat bij dat domein hoort. Zonder DNS zou je de IP-adressen van alle websites die je bezoekt uit je hoofd moeten kennen.
Wie verwerkt standaard jouw DNS-queries?
Standaard stuurt je apparaat DNS-queries naar de DNS-server van jouw provider. Dat betekent dat KPN of Ziggo een volledig logboek bijhouden van elk domein dat je bezoekt -- niet de inhoud van de pagina's, maar de lijst van sites. Voor veel providers zijn deze gegevens commercieel waardevol en kunnen ze voor gerichte advertenties worden gebruikt.
Wat is een DNS-lek?
Een DNS-lek treedt op wanneer DNS-queries buiten de VPN-tunnel worden verstuurd -- doorgaans naar de DNS-server van je provider -- ook al is ander verkeer wel beschermd. Dit kan ontstaan door besturingssysteeminstellingen die de VPN overschrijven, of door VPN-software die DNS niet goed vergrendelt. Het gevolg: jouw provider kan nog steeds precies zien welke websites je wilt bezoeken.
Waarom DNS-lekken gevaarlijk zijn
- Je provider heeft een volledig overzicht van elk domein dat je bezoekt
- Adverteerders kunnen via provider-data jouw browsegedrag in kaart brengen
- Autoriteiten kunnen DNS-logs bij je provider opvragen om je activiteit te reconstrueren
- De IP-maskering van de VPN is zinloos als DNS je identiteit apart onthult
- Zelfs versleutelde verbindingen zijn niet beschermd als DNS uitlekt
Hoe je DNS-lekken test
Test op DNS-lekken via sites als dnsleaktest.com of ipleak.net terwijl je verbonden bent met je VPN. Als de resultaten de DNS-servers van KPN of Ziggo tonen in plaats van die van Nexun, heb je een lek. Voer zowel een standaardtest als een uitgebreide test uit om ook periodieke lekken te detecteren.
Hoe WireGuard DNS-lekken voorkomt
WireGuard laat VPN-clients specifieke DNS-servers instellen die uitsluitend worden gebruikt terwijl de tunnel actief is. Nexun configureert WireGuard zo dat alle DNS-queries via de VPN-tunnel naar Nexun-eigen DNS-servers worden gerouteerd, die geen queries loggen. Het besturingssysteem wordt verhinderd om DNS naar een andere server te sturen -- afgedwongen op kernel-niveau, niet alleen als softwarevoorkeur.
WebRTC-lekken -- een verwant risico
WebRTC is een browsertechnologie voor videogesprekken die de VPN-tunnel kan omzeilen en je echte IP-adres kan onthullen via browser-API's. De Nexun Chrome-extensie bevat WebRTC-lekbescherming, waardoor de API jouw echte IP-adres niet kan blootstellen zolang de extensie actief is.
FAQ
Hoe weet ik of ik een DNS-lek heb?
Bezoek dnsleaktest.com of ipleak.net terwijl je verbonden bent met je VPN en voer de uitgebreide test uit. Als de getoonde DNS-servers van jouw provider zijn in plaats van Nexun, heb je een lek. Met Nexun worden DNS-queries standaard via de tunnel geleid, zodat je Nexun's resolvers in de resultaten ziet.
Kan mijn provider zien wat ik browse, zelfs met DNS-bescherming?
Met zowel een VPN als DNS-lekbescherming actief kan je provider je browseactiviteit niet zien. Ze kunnen zien dat je verbonden bent met een VPN-server, maar de doeldomeinen en inhoud zijn verborgen. Dit is de combinatie die Nexun standaard biedt -- versleutelde tunnel plus interne DNS-oplossing.
Voorkomt het gebruik van een publieke DNS zoals Google of Cloudflare DNS-lekken?
Niet volledig. Overschakelen naar een publieke DNS (zoals 1.1.1.1 of 8.8.8.8) verandert wie jouw queries ziet -- van je provider naar Google of Cloudflare -- maar zorgt er niet voor dat die queries via de VPN-tunnel gaan. Als DNS-queries de tunnel omzeilen, zijn ze nog steeds onversleuteld. Alleen DNS via de VPN-tunnel zelf routeren lost het lek op.