Como la mayoría de los usuarios experimentados habrán escuchado, usar una Mac en un Wi-Fi público que no sea de confianza puede ser potencialmente dañino. Una herramienta como Firesheep 1 ha hecho que sea muy fácil interceptar comunicaciones sin cifrar.
El uso de una VPN de túnel completo para cifrar todas las comunicaciones se menciona a menudo como una solución mágica para las escuchas, pero, por supuesto, no es tan fácil:
Creo que los dos últimos puntos importan mucho porque cada vez que cambia la configuración de la red, las diversas aplicaciones se comunican inmediatamente con sus servidores; supongo que es configd
eso lo que les informa, ¿no?
es decir, antes de que se establezca el túnel VPN, la mayoría de los procesos (en ejecución) que requieren Internet se comunicarán.
Veo dos componentes para ser un buen usuario de VPN:
¿Cómo puedo usar VPN en una Mac en una red pública para restringir el tráfico sin cifrar antes de que se inicie la VPN?
Dejemos de lado cualquier solución en la que aporte una segunda pieza de equipo de red al problema. Dejemos también que el problema de detener el tráfico después de que la VPN falle sea una pregunta relacionada, pero diferente .
Veo este problema como una solución centrada en el usuario y no como algo que se logra fácilmente modificando el comportamiento de OS X.
Configure dos cuentas en su Mac (ninguna necesita ser una cuenta de administrador, pero si lo es, no necesitará una tercera cuenta para cambiar la configuración del sistema).
Entonces, con el cambio rápido de usuario habilitado, puede cerrar sesión en la cuenta principal. Esto asegura que ningún programa o proceso de ese usuario continuará ejecutándose en segundo plano. La mayoría de las aplicaciones de OS X se comportan bien y suspenden el acceso a la red cuando no tienen una ventana activa en la pantalla, pero tendrías que monitorear y probar esto para asegurarte de que no sucede nada; cerrar sesión es más fácil de mantener.
Ahora, también puede reemplazar la "cuenta" anterior con el sistema operativo y ejecutar un sistema de virtualización como Fusion (o Parallels o cualquier otro) y solo iniciar el sistema operativo invitado una vez que el sistema operativo anfitrión haya asegurado todo en una VPN. Según el software de máquina virtual que elija, también puede tener control sobre la red y puede activar y desactivar el acceso incluso cuando el sistema operativo invitado (o los sistemas operativos) se están ejecutando. Básicamente, esto simula el hardware adicional que inicialmente dije que no consideraría.
Espero que esto muestre una forma en que podría estar más seguro mientras viaja y usa una red en la que no confía mientras minimiza el riesgo que esto siempre implicará. Si alguien más es dueño de la red, ellos son dueños de DNS, pueden registrar paquetes, pueden intentar ataques de intermediario (MITM) e inspeccionar todos sus paquetes en profundidad para tratar de determinar qué fluye dentro del túnel VPN.
Aquí hay un enfoque totalmente fuera de la GUI de MacOS X. Por lo tanto, este enfoque del problema no interferirá con ninguna configuración de red o VPN.
Digamos que quiero usar una IPSEC VPN (basada en el uso de 500/udp == isakmp y 50/ip == esp).
Cree un ipfw
archivo de configuración que solo permita los protocolos necesarios para construir la VPN:
/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof
Compruebe que su sintaxis es correcta:
/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules
Instálelo en el núcleo:
/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules
Verifique que su sistema operativo pueda reiniciarse y obtenga su dirección IP a través del DHCP habitual. Compruebe que la mayoría de los protocolos IP están bloqueados:
ping www.google.com
Por supuesto, si desea utilizar una VPN además de SSL, deberá adaptar este archivo de configuración (isakmp + esp → https).
bmike