Auf dieser Webseite können Sie testen, ob Ihre vom Provider zugewiesene IP-Adresse mit Hilfe der WebRTC API geleakt werden kann. Wie Daniel Roesler im Januar 2015 zeigte, gestatten es Browser mit WebRTC-Implementierung, Anfragen an einen STUN-Server am VPN-Adapter vorbei zu senden. Der STUN-Server liefert dann die vom Provider zugewiesene IP-Adresse des Nutzers aus, auch wenn eine VPN-Tunnel aufgebaut ist. Für weitere Informationen über diese Schwachstelle lesen Sie weiter und besuchen Sie Daniel Roesler's GitHub-Seite.
Oben links sollten Sie Ihre LAN-IP-Adressen sehen. Das ist weniger kritisch als die daneben aufgeführten öffentlichen IP-Adressen. Wenn Sie eine VPN-Verbindung benutzen und zwei IP-Adressen aufgelistet sind, dann kann Ihre vom Provider zugewiesene IP-Adresse nach außen gelangen.
Die Standardeinstellungen des Perfect Privacy VPN Managers verhindert dieses Leak (Die Software setzt eigenständig entsprechende Firewall-Regeln). Wenn Sie die Perfect Privacy Client-Software verwenden, sollten Sie nur eine Perfect-Privacy-IP als öffentliche Adresse sehen.
WebRTC ist eine API-Definition die es Browsern ermöglicht, Audio- und Videochats sowie P2P-Filesharing ohne Installation eines Plugins durchzuführen. Derzeit unterstützen unter den populären Webbrowsern nur Firefox und Chrome WebRTC (Stand: Januar 2015), aber für andere Browser gibt es diverse Plugins, die WebRTC zur Verfügung stellen.
Um Videochat- und Filesharing-Funktionalität zu gewährleisten, hat WebRTC einen Mechanismus der es gestattet, die öffentlich erreichbare IP herauszufinden, auch wenn der Rechner hinter einem NAT sitzt. Mit wenigen Zeilen JavaScript kann man WebRTC nutzen, um ein UDP-Paket zu einem STUN-Server (Session Traversal Utilities for NAT) zu senden. Der STUN-Server liefert dann ein Paket zurück, dass die öffentliche IP-Adresse des Absenders enthält. Dies ist einfach zu implementieren; Firefox verfügt standardmäßig über einen STUN-Server, der sich auch in Google Chrome nutzen lässt.
In Windows ist es möglich Pakete über andere Routen als die Default-Route zu senden. Der via WebRTC ausgelöste Request an den STUN-Server wird einfach über alle erreichbaren Interfaces gesendet. Das ist der Grund, weshalb Sie zwei öffentliche IP-Adressen sehen (die vom VPN-Server und die von Ihrem Provider zugewiesene), wenn Ihr System anfällig für diese Schwachstelle ist.
Da die Requests an den STUN-Server außerhalb des normalen XMLHttpRequest gesendet werden, tauchen sie nicht in der Entwickler-Konsole auf; solche Anfragen können daher nicht zuverlässig mit Browser-Plugins wie WebRTC Block unterbunden werden.
Der sicherste Weg, um sich vor diesem IP-Leak zu schützen, ist das Setzen von entsprechenden Firewall-Regeln, die sicherstellen, dass Pakete nur über den verschlüsselten VPN-Tunnel gesendet werden können. Mit dem Perfect Privacy VPN Manager in seinen Standardeinstellungen werden solche Regeln automatisch gesetzt, sobald ein OpenVPN- oder IPsec-Tunnel aufgebaut ist. Dadurch wird effektiv verhindert, dass Ihre vom Provider zugewiesene IP-Adresse nach außen gelangen kann.
Mit dem Perfect Privacy VPN Manager sind entsprechende Firewall-Regeln per Default gesetzt, wenn ein VPN-Tunnel besteht, so dass die vom Provider zugewiesene IP-Adresse nicht über WebRTC oder ähnliche Mechanismen geleakt werden kann.