Windows hat seit der Version 8 eine neue Funktion eingeführt, welche höchst problematisch es ermöglicht auch bei der Verwendung eines VPN Dienstes, für Hacker einen gezielten Angriff auf diese Verbindungen zu starten. Durch die seit Windows 8 implementierte Funktion „Smart Multi-Homed Name Resolution“ (SMHNR) sendet das Betriebssystem, DNS Anfragen an alle verfügbaren Netzwerke und Netzwerkadapter zur selben Zeit ohne dabei auf die voreingestellten Werte Rücksicht zu nehmen. Dadurch möchte das Betriebssystem den schnellsten antwortenden DNS Server herausfinden und damit auch die Leistung beim Internetzugriff erhöhen.
Das ist zwar ein löblicher Ansatz, um die Zugriffe auf die DNS Server zu verbessern, jedoch hat dies gerade auch für VPN Nutzer erhebliche Nachteile und Risiken. Falls der Benutzer in seinen Einstellungen des eigenen Gerätes oder auf seinem Router (Ethernet oder auch Wifi) DNS Dienste eingetragen hat, die es ermöglichen die Daten die dorthin gesendet werden abzufangen, lässt sich dadurch durch eine gezielte Attacke nicht nur die eigentliche IP-Adresse des Gerätes herausfinden, sondern auch „Man in the middle“ Angriffe konstruieren und damit sogar die Daten der VPN Verbindungen abzufangen. herkömmliche Ansätze dies zu verhindern sind nicht so einfach umzusetzen.
Inhaltsverzeichnis
Im Folgenden beschreiben wir wie man bei Windows 8 und auch Windows 10 aber diese Lücke und damit die Gefahr des DNS Leaks) schliessen kann.
DNS Leak Test
Wer überprüfen will ob er selbst davon betroffen ist, kann einen Selbst-Test auf der Seite https://vpntester.org/meinedns/ machen. Sofern nicht nur die von der VPN Verbindung vorgegebenen DNS Server aufscheinen ist man davon betroffen.
DNS Server auf allen Geräten/Router manuell (statisch) eintragen!
Für beide Windows-Versionen gilt: Trage manuell die gewünschten DNS Server auf allen Netzwerkadaptern und auch dem eigenen verwendeten Router „statisch“ ein. Dies reduziert bereits maßgeblich, dass weiterhin ungewollt Anfragen versendet werden.
Falls der eigene VPN Dienst keine DNS Server zur Verfügung stellt, können auch die folgenden öffentlich zugänglichen DNS Dienste verwendet/eingetragen werden:
Google öffentliche DNS
- Bevorzugter DNS Server: 8.8.8.8
- Alternativer DNS Server: 8.8.4.4
Open DNS
- Bevorzugter DNS Server: 208.67.222.222
- Alternativer DNS Server: 208.67.222.220
Comodo Secure DNS
- Bevorzugter DNS Server: 8.26.56.26
- Alternativer DNS Server: 8.20.247.20
Den schnellsten DNS für das eigene Gerät finden:
Um den optimalen DNS Server welcher auch eine maximale Geschwindigkeit ermöglicht zu finden gibt es auch ein einfaches Tool für Windows, mit welchen man einen Geschwindigkeitstest durchführen kann. Den „Download GRC`s DNS Benchmark„. Weitere Informationen dazu gibt es auch auf der Webseite des Anbieters: „GRC Benchmark Webseite“
In jedem Fall sollte aber auch die Funktion „Smart Multi-Homed Name Resolution“ (SMHNR) abgeschaltet werden.
Deaktivieren bei Windows 8 und 8.1:
Bei dieser Windows Version ist es relativ einfach diese Funktion abzuschalten indem man zwei zusätzliche Registry Einträge dazu erstellt. Anleitung:
- Erstelle eine neue Datei in einem Editor mit dem Inhalt:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
„DisableSmartNameResolution“=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters]
„DisableParallelAandAAAA „=dword:00000001 - Speichere diese Datei unter dem namen: dns.reg
(Hier eine bereits erstelle Datei zum Download dns.reg) - Klicke die gerade erstellte/lokal gespeicherte Datei an und installiere damit die zwei Registry Einträge.
- Danach könnte ein Neustart hilfreich sein, und die risikoreiche Funktion sollte abgeschaltet sein.
Deaktivieren bei Windows 10:
„Smart Multi-Homed Name Resolution“ (SMHNR) ist etwas anders bei Windows 10 integriert worden und lässt sich in diesem Betriebssystem nicht mehr über die Registry abschalten. Wie auch bei Windows 8 sollten alle DNS Server manuell eingetragen werden und dies auf allen Verbindungen die im Netzwerk verfügbar sind (Geräte, Netzwerkkarte, Wifi Anschluß, Router usw)
Bei Windows kann man über die „Lokalen Richtlinien“ die Funktion „Smart Multi-Homed Name Resolution“ deaktivieren. Dazu muss man nur die folgenden Schritte ausführen:
- Öffne durch drücken der WIN + R Taste die Kommandozeile und gib dort ein: gpedit.msc – Bestätigung mit Entertaste
- Erweitere die „Administrativen Richtlinen“
- Erweitere „Netzwerk“
- Klicke auf „DNS-Client“
- Doppelklicke „Inactivate smart multi-homed name resolution“
- Entferne den Hacken bei „Aktiviert/Activated“
- Klicke auf „Anwenden/Apply all“ und danach auch „OK“
Erstellt am: 14. Mai 2016
7 Gedanken zu “VPN & Windows DNS Leak – Lösung für Windows 8 & 10”