ฉันจะใช้ VPN บน Mac เพื่อป้องกันการประนีประนอมก่อนที่ VPN จะเริ่มต้นอย่างไร

ดังที่ผู้ใช้ที่มีประสบการณ์ส่วนใหญ่จะได้ยินการใช้ Mac ใน Wi-Fi สาธารณะที่ไม่น่าเชื่อถืออาจเป็นอันตรายได้ เครื่องมืออย่างFiresheep ¹ทำให้มันง่ายมากที่จะสกัดกั้นการสื่อสารที่ไม่เข้ารหัส

การใช้VPN อุโมงค์เต็มรูปแบบในการเข้ารหัสการสื่อสารทั้งหมดถูกกล่าวถึงบ่อยครั้งว่าเป็นทางออกที่น่าอัศจรรย์ในการดักฟัง แต่แน่นอนว่าไม่ใช่เรื่องง่าย:

• ขึ้นอยู่กับโปรโตคอลและการกำหนดค่าการเชื่อมต่อ VPN การเชื่อมต่ออาจลดลงได้ง่ายขึ้น (เช่น TLS กับ UDP)
• การเชื่อมต่อ VPN ไม่ได้ถูกสร้างขึ้นทันทีเมื่อคุณเชื่อมต่อกับเครือข่ายสาธารณะ

ฉันคิดว่าจุดสองจุดสุดท้ายมีความสำคัญมากเพราะเมื่อใดก็ตามที่การตั้งค่าเครือข่ายของคุณเปลี่ยนแอปพลิเคชั่นต่างๆพูดคุยกับเซิร์ฟเวอร์ของพวกเขาในทันที - ฉันคิดว่ามันconfigdแจ้งให้ทราบใช่มั้ย

นั่นคือก่อนที่จะมีการสร้างอุโมงค์ VPN กระบวนการ (ทำงาน) ส่วนใหญ่ที่ต้องใช้อินเทอร์เน็ตจะสื่อสาร

ฉันเห็นสององค์ประกอบในการเป็นผู้ใช้ VPN ที่ดี:

1. ตรวจสอบให้แน่ใจว่าสิ่งต่าง ๆ ไม่ได้ถูกส่งไปก่อนที่จะถูกสร้างขึ้น
2. ให้แน่ใจว่าสิ่งที่ไม่ได้รับการส่งต่อมาที่ชัดเจนถ้า VPN ล้มเหลว

ฉันจะใช้ VPN บน Mac ในเครือข่ายสาธารณะเพื่อ จำกัด ปริมาณการใช้งานที่ไม่ได้เข้ารหัสก่อนที่ VPN จะเริ่มทำงานได้อย่างไร

ลองแยกวิธีการแก้ปัญหาที่คุณนำอุปกรณ์เครือข่ายชิ้นที่สองมาแก้ปัญหา Let 's ยังช่วยให้ปัญหาของการหยุดการจราจรหลังจากที่ล้มเหลวในการ VPN นี้เกี่ยวข้อง แต่คำถามที่แตกต่าง

ฉันมองว่าปัญหานี้เป็นวิธีการแก้ปัญหาผู้ใช้เป็นศูนย์กลางและไม่ใช่สิ่งที่ทำได้อย่างง่ายดายโดยการปรับเปลี่ยนพฤติกรรมของ OS X

ตั้งค่าบัญชีสองบัญชีบน Mac ของคุณ (ไม่จำเป็นต้องเป็นบัญชีผู้ดูแล แต่อย่างใดอย่างหนึ่งคุณไม่จำเป็นต้องมีบัญชีที่สามเพื่อเปลี่ยนการตั้งค่าระบบ)

1. บัญชีเชลล์ที่มีอยู่เพื่อรันอะไรเลยและสร้างการเชื่อมต่อ VPN เท่านั้น
2. บัญชีหลักที่จะใช้งานโปรแกรมที่คุณต้องการให้แน่ใจว่าจะสามารถเข้าถึงเครือข่ายได้เมื่อได้รับการรักษาความปลอดภัยด้วย VPN อย่างถูกต้อง

ดังนั้นเมื่อเปิดใช้งานการสลับผู้ใช้อย่างรวดเร็วคุณสามารถออกจากระบบบัญชีหลักได้ สิ่งนี้ทำให้มั่นใจได้ว่าจะไม่มีโปรแกรมหรือกระบวนการใดจากผู้ใช้นั้นจะทำงานต่อไปในพื้นหลัง แอป OS X ส่วนใหญ่ทำงานได้ดีและระงับการเข้าถึงเครือข่ายเมื่อไม่มีหน้าต่างที่ใช้งานอยู่บนหน้าจอ แต่คุณต้องตรวจสอบและทดสอบสิ่งนี้ตลอดไปเพื่อให้แน่ใจว่าไม่มีอะไรเกิดขึ้นการออกจากระบบนั้นง่ายกว่า

ตอนนี้คุณสามารถแทนที่ "บัญชี" ด้านบนด้วยระบบปฏิบัติการและเรียกใช้ระบบเสมือนจริงเช่นฟิวชั่น (หรือ Parallels หรืออื่น ๆ ) และเริ่มต้นระบบปฏิบัติการเกสต์เท่านั้นเมื่อโฮสต์ระบบปฏิบัติการมีความปลอดภัยทุกอย่างบน VPN ขึ้นอยู่กับซอฟต์แวร์ VM ที่คุณเลือกคุณอาจควบคุมเครือข่ายและสามารถเปิดและปิดการเข้าถึงแม้ว่าแขกระบบปฏิบัติการ (หรือ OS) จะทำงาน นี่เป็นการจำลองฮาร์ดแวร์พิเศษที่ฉันเริ่มกล่าวว่าฉันจะไม่พิจารณา

ฉันหวังว่าสิ่งนี้จะแสดงวิธีหนึ่งที่คุณจะปลอดภัยมากขึ้นในขณะเดินทางและใช้เครือข่ายที่คุณไม่ไว้วางใจในขณะที่ลดความเสี่ยงที่จะเกิดขึ้นได้เสมอ หากคนอื่นเป็นเจ้าของเครือข่าย - พวกเขาเป็นเจ้าของ DNS สามารถบันทึกแพ็กเก็ตได้ลองโจมตีคนที่อยู่ตรงกลาง (MITM) รวมถึงตรวจสอบแพ็คเก็ตทั้งหมดของคุณอย่างลึกซึ้งเพื่อลองพิจารณาสิ่งที่ไหลอยู่ภายในอุโมงค์ VPN

นี่คือวิธีการทั้งหมดนอก MacOS X GUI ดังนั้นวิธีการนี้ของปัญหาจะไม่รบกวนการตั้งค่าเครือข่ายหรือ VPN ใด ๆ

สมมติว่าฉันต้องการใช้ IPSec VPN (อิงจากการใช้ 500 / udp == isakmp & 50 / ip == esp)

สร้างipfwไฟล์กำหนดค่าที่อนุญาตให้โปรโตคอลที่ต้องการสร้าง VPN:

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

ตรวจสอบว่าไวยากรณ์นั้นดีหรือไม่:

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

ติดตั้งในเคอร์เนล:

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

ตรวจสอบว่าระบบปฏิบัติการของคุณสามารถรีบูตและรับที่อยู่ IP ผ่าน DHCP ปกติ ตรวจสอบว่า IP โปรโตคอลส่วนใหญ่ถูกบล็อก:

ping www.google.com

แน่นอนถ้าคุณต้องการใช้ VPN ที่อยู่ด้านบนของ SSL คุณจะต้องปรับเปลี่ยนไฟล์การกำหนดค่านี้ (isakmp + esp → https)