Як слід використовувати VPN на Mac, щоб запобігти компромісу до запуску VPN?

11

Як чули більшість досвідчених користувачів, використання Mac у загальнодоступному бездоганному Wi-Fi може бути потенційно шкідливим. Такий інструмент, як Firesheep 1 , дуже легко перехопив незашифровану комунікацію.

Використання повного тунельного VPN для шифрування всього спілкування так само часто згадується як магічне рішення для підслуховування, але, звичайно, це не так просто:

  • Залежно від протоколу та конфігурації VPN-з'єднання, з'єднання може пройти легше. (наприклад, TLS проти UDP)
  • З'єднання VPN не встановлюється миттєво при підключенні до загальнодоступної мережі.

Я думаю, що останні два моменти мають велике значення, тому що щоразу, коли ваші мережеві настройки змінюють різні програми, вони негайно розмовляють зі своїми серверами - я припускаю, configdщо це повідомляє їх, правда?

тобто перед тим, як встановити тунель VPN, більшість (запущених) процесів, які потребують Інтернету, будуть спілкуватися.

Я бачу два компоненти як хороший користувач VPN:

  1. Переконайтесь, що речі не надсилаються в ясність, перш ніж це буде встановлено.
  2. Переконайтесь, що речі пізніше не надсилаються, якщо VPN не працює .

Як я можу використовувати VPN на Mac у загальнодоступній мережі, щоб обмежити незашифрований трафік до запуску VPN?

macos  network  security  vpn 
гентматт
джерело
Приємно переглянути це - попереднє питання, з яким я пов’язував, здається більш зосередженим на тому, як знати, коли VPN перестає з'єднуватися, ніж як налаштувати речі, щоб безпечно почати роботу, - таким чином ми можемо скористатися кількома загостреними питаннями щодо практики підвищення безпеки під час використання VPN.
bmike

Відповіді:

2

Давайте відкладемо будь-яке рішення, де ви піднесете другий шматок мережевої передачі до проблеми. Давайте також дозвольмо проблему зупинки трафіку після відмови VPN до цього пов'язаного, але іншого питання .

Я дивлюся на цю проблему як на орієнтоване на користувача рішення, а не на те, що легко досягти, змінивши поведінку OS X.

Налаштуйте два облікові записи на своєму Mac (не потрібно мати облікових записів адміністратора, але якщо це так, вам не знадобиться третій рахунок для зміни системних налаштувань).

  1. Обліковий запис оболонки, який існує, щоб нічого не працювати і встановлювати лише VPN-з'єднання.
  2. Основний обліковий запис, який запускає програми, які потрібно забезпечити, отримати доступ до мережі лише після належної захищеності VPN.

Таким чином, якщо включена швидка комутація користувачів, ви можете вийти з основного облікового запису. Це гарантує, що жодні програми чи процеси від цього користувача не продовжуватимуться працювати у фоновому режимі. Більшість додатків OS X ведуть себе добре і призупиняють доступ до мережі, коли у них немає активного вікна на екрані, але вам доведеться постійно контролювати та перевіряти це, щоб переконатися, що нічого не відбувається - вихід із системи простіший у підтримці.

Тепер ви також можете замінити "акаунт" вище на ОС і запустити систему віртуалізації на зразок Fusion (або Parallels або будь-яку іншу) і запустити гостьову ОС лише після того, як хост ОС захистив все на VPN. Залежно від програмного забезпечення VM, яке ви вибрали, ви також можете мати контроль над мережею і можете включати та вимикати доступ, навіть коли працює гостьова ОС (або ОС). Це в основному імітує додаткове обладнання, яке я спочатку сказав, що не вважатиму.

Я сподіваюся, що це свідчить про один спосіб ви можете бути більш захищеними під час подорожі та користування мережею, якій ви не довіряєте, мінімізуючи ризик, що це завжди спричинить за собою. Якщо хтось інший є власником мережі - у них є DNS, може здійснювати журнал пакетів, може спробувати атаки людини в середині (MITM), а також глибоко перевірити всі ваші пакети, щоб спробувати визначити, що протікає всередині тунелю VPN.

bmike
джерело
1
Це досить розумна відповідь. Використання VM у другому обліковому записі користувача легко налаштувати. Хоча ОС все ще може забезпечити незахищений мережевий трафік, це не має значення, чи знаходиться він у обмеженому середовищі резервного облікового запису користувача.
gentmatt
Мені б хотілося, щоб була проста кнопка, але, як ви бачите, це не тривіально, щоб керувати до- або після-трафіком на шарі ядра, оскільки ОС X призначена для використання будь-якого шляху, який пройшов. ОС не розрахована на те, щоб вимкнути все, але мережева передача є.
bmike
3

Ось підхід, що повністю знаходиться поза графічним інтерфейсом MacOS X. Отже, такий підхід проблеми не буде перешкоджати жодним налаштуванням мережі або VPN.

Скажімо, я хочу використовувати VPN IPSEC (заснований на використанні 500 / udp == isakmp & 50 / ip == esp).

Створіть ipfwфайл конфігурації, просто дозволяючи необхідним протоколам для створення VPN:

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

Переконайтесь, що його синтаксис у порядку:

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

Встановіть його в ядро:

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

Переконайтеся, що ваша ОС може перезавантажитися та отримати її IP-адресу через звичайний DHCP. Переконайтеся, що більшість протоколів IP заблоковані:

ping www.google.com

Звичайно, якщо ви хочете використовувати VPN поверх SSL, вам доведеться адаптувати цей файл конфігурації (isakmp + esp → https).

дан
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.