VPN başlamadan önce ödün verilmesini önlemek için Mac'te VPN'yi nasıl kullanmalıyım?

11

Çoğu deneyimli kullanıcının duyacağı gibi, güvenilir olmayan herkese açık bir Wi-Fi'de Mac kullanmak potansiyel olarak zararlı olabilir. Firesheep 1 gibi bir araç , şifrelenmemiş iletişimi engellemeyi çok kolaylaştırdı.

Tüm iletişimi şifrelemek için tam bir tünel VPN kullanmak , gizli dinleme için sihirli bir çözüm olarak sıklıkla belirtilir, ancak elbette bu o kadar kolay değildir:

  • VPN bağlantısının protokolüne ve yapılandırmasına bağlı olarak, bağlantı daha kolay düşebilir . (örneğin TLS ve UDP)
  • Herkese açık bir ağa bağlandığınızda VPN bağlantısı hemen kurulmaz .

Son iki noktanın çok önemli olduğunu düşünüyorum, çünkü ağ ayarlarınız çeşitli uygulamaları her değiştirdiğinde hemen sunucularıyla konuşur - configdonları bilgilendiren varsayım , değil mi?

yani VPN tüneli oluşturulmadan önce, internet gerektiren çoğu (çalışan) süreç iletişim kuracaktır .

İyi bir VPN kullanıcısı olmak için iki bileşen görüyorum:

  1. İşlerin kurulmadan önce net bir şekilde gönderilmediğinden emin olmak.
  2. VPN başarısız olursa, daha sonra net bir şekilde gönderilmemesini sağlamak .

VPN başlamadan önce şifrelenmemiş trafiği kısıtlamak için genel ağdaki bir Mac'te VPN'yi nasıl kullanabilirim?

macos  network  security  vpn 
gentmatt
kaynak
Bunu tekrar gözden geçirmek güzel - bağlandığım eski soru, bir VPN bağlantısının ne zaman kesileceğini nasıl öğreneceğine daha güvenli bir şekilde başlamak için nasıl ayarlanacağından daha fazla odaklanmış gibi görünüyor - böylece, VPN.
bmike

Yanıtlar:

2

Soruna ikinci bir ağ ekipmanı getirdiğiniz herhangi bir çözümü bir kenara bırakalım. VPN'in bu ilgili, ancak farklı soruda başarısız olmasından sonra trafiği durdurma problemine de izin verelim .

Bu soruna kullanıcı merkezli bir çözüm olarak bakıyorum ve OS X davranışını değiştirerek kolayca gerçekleştirilebilecek bir şey değil.

Mac'inizde iki hesap oluşturun (ikisinin de yönetici hesabı olması gerekmez, ancak her ikisinde de sistem ayarlarını değiştirmek için üçüncü bir hesaba ihtiyacınız yoktur).

  1. Hiçbir şey çalıştırmak ve yalnızca VPN bağlantısı kurmak için var olan bir kabuk hesabı.
  2. Sağlamak istediğiniz programları çalıştıracak ana hesap, ağa yalnızca bir VPN ile düzgün şekilde bağlandıktan sonra erişmenizi sağlar.

Böylece, hızlı kullanıcı değiştirme etkinken, ana hesaptan çıkış yapabilirsiniz. Bu, o kullanıcıdan gelen hiçbir programın veya işlemin arka planda çalışmaya devam etmemesini sağlar. Çoğu OS X uygulaması iyi davranır ve ekranda etkin bir pencereleri olmadığında ağ erişimini askıya alır, ancak hiçbir şeyin olmadığından emin olmak için bunu sonsuza kadar izlemeniz ve test etmeniz gerekir - oturumu kapatmanın bakımı daha kolaydır.

Şimdi, yukarıdaki "hesabı" OS ile değiştirebilir ve Fusion (veya Parallels veya başka herhangi bir) gibi bir sanallaştırma sistemi çalıştırabilir ve konuk işletim sistemini yalnızca ana bilgisayar OS bir VPN'de her şeyi güvenli hale getirdikten sonra başlatabilirsiniz. Seçtiğiniz VM yazılımına bağlı olarak, ağ üzerinde kontrole sahip olabilirsiniz ve konuk işletim sistemi (veya işletim sistemleri) çalışırken bile erişimi açabilir ve kapatabilirsiniz. Bu temelde başlangıçta dikkate almayacağımı söylediğim ekstra donanımı simüle ediyor.

Umarım bu, seyahat ederken ve güvenmediğiniz bir ağı kullanırken daha güvenli olabileceğinizin bir yolunu gösterirken, bunun her zaman gerektireceği riskini en aza indirir. Başka birinin ağa sahip olması durumunda - DNS'si vardır, paketleri kaydedebilir, ortadaki adam (MITM) saldırılarını deneyebilir ve VPN tünelinde neyin aktığını belirlemeye çalışmak için tüm paketlerinizi derinlemesine inceleyebilir.

bmike
kaynak
1
Bu oldukça makul bir cevap. İkinci bir kullanıcı hesabında VM kullanmak çok kolaydır. İşletim sistemi hala güvenli olmayan ağ trafiğine izin verebilse de, yedekli bir kullanıcı hesabının kısıtlı ortamında olup olmadığı önemli değildir.
gentmatt
Keşke kolay bir düğme olsaydı, ancak gördüğünüz gibi - OS X, yukarı olan herhangi bir yolu kullanmak üzere tasarlandığından, bir çekirdek katmanındaki trafiği öncesi veya sonrası kontrol etmek önemsiz değildir. İşletim sistemi her şeyi kapatmak için tasarlanmamıştır, ancak ağ donanımı.
bmike
3

İşte tamamen MacOS X GUI dışında bir yaklaşım. Bu nedenle, sorunun bu yaklaşımı herhangi bir ağ veya VPN ayarını etkilemez.

Diyelim ki IPSEC VPN kullanmak istiyorum (500 / udp == isakmp & 50 / ip == esp kullanımına dayalı).

ipfwGerekli protokollerin VPN'yi oluşturmasına izin veren bir yapılandırma dosyası oluşturun :

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

Sözdiziminin uygun olup olmadığını kontrol edin:

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

Çekirdeğe kurun:

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

İşletim sisteminizin yeniden başlatılabildiğini kontrol edin ve IP adresini normal DHCP üzerinden alın. IP protokollerinin çoğunun engellendiğinden emin olun:

ping www.google.com

Elbette, SSL'nin üstünde bir VPN kullanmak istiyorsanız, bu yapılandırma dosyasını uyarlamanız gerekir (isakmp + esp → https).

dan
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.