¿Cómo debo usar VPN en una Mac para evitar riesgos antes de que se inicie la VPN?

Como la mayoría de los usuarios experimentados habrán escuchado, usar una Mac en un Wi-Fi público que no sea de confianza puede ser potencialmente dañino. Una herramienta como Firesheep 1 ha hecho que sea muy fácil interceptar comunicaciones sin cifrar.

El uso de una VPN de túnel completo para cifrar todas las comunicaciones se menciona a menudo como una solución mágica para las escuchas, pero, por supuesto, no es tan fácil:

  • Según el protocolo y la configuración de la conexión VPN, la conexión puede caerse más fácilmente. (por ejemplo, TLS frente a UDP)
  • La conexión VPN no se establece instantáneamente cuando te conectas a una red pública.

Creo que los dos últimos puntos importan mucho porque cada vez que cambia la configuración de la red, las diversas aplicaciones se comunican inmediatamente con sus servidores; supongo que es configdeso lo que les informa, ¿no?

es decir, antes de que se establezca el túnel VPN, la mayoría de los procesos (en ejecución) que requieren Internet se comunicarán.

Veo dos componentes para ser un buen usuario de VPN:

  1. Asegurarse de que las cosas no se envíen en claro antes de que se establezca.
  2. Asegurarse de que las cosas no se envíen sin problemas más tarde si la VPN falla .

¿Cómo puedo usar VPN en una Mac en una red pública para restringir el tráfico sin cifrar antes de que se inicie la VPN?

Es bueno volver a revisar esto: la pregunta anterior a la que me vinculé parece más centrada en cómo saber cuándo una VPN interrumpe la conexión que en cómo configurar las cosas para que comiencen de forma segura, por lo que podemos beneficiarnos de varias preguntas puntuales sobre prácticas para aumentar la seguridad al usar un vpn

Respuestas (2)

Dejemos de lado cualquier solución en la que aporte una segunda pieza de equipo de red al problema. Dejemos también que el problema de detener el tráfico después de que la VPN falle sea una pregunta relacionada, pero diferente .

Veo este problema como una solución centrada en el usuario y no como algo que se logra fácilmente modificando el comportamiento de OS X.

Configure dos cuentas en su Mac (ninguna necesita ser una cuenta de administrador, pero si lo es, no necesitará una tercera cuenta para cambiar la configuración del sistema).

  1. Una cuenta shell que existe para no ejecutar nada y solo establecer la conexión VPN.
  2. Una cuenta principal que ejecutará los programas que desea garantizar que solo obtenga acceso a la red una vez que se haya protegido adecuadamente con una VPN.

Entonces, con el cambio rápido de usuario habilitado, puede cerrar sesión en la cuenta principal. Esto asegura que ningún programa o proceso de ese usuario continuará ejecutándose en segundo plano. La mayoría de las aplicaciones de OS X se comportan bien y suspenden el acceso a la red cuando no tienen una ventana activa en la pantalla, pero tendrías que monitorear y probar esto para asegurarte de que no sucede nada; cerrar sesión es más fácil de mantener.

Ahora, también puede reemplazar la "cuenta" anterior con el sistema operativo y ejecutar un sistema de virtualización como Fusion (o Parallels o cualquier otro) y solo iniciar el sistema operativo invitado una vez que el sistema operativo anfitrión haya asegurado todo en una VPN. Según el software de máquina virtual que elija, también puede tener control sobre la red y puede activar y desactivar el acceso incluso cuando el sistema operativo invitado (o los sistemas operativos) se están ejecutando. Básicamente, esto simula el hardware adicional que inicialmente dije que no consideraría.

Espero que esto muestre una forma en que podría estar más seguro mientras viaja y usa una red en la que no confía mientras minimiza el riesgo que esto siempre implicará. Si alguien más es dueño de la red, ellos son dueños de DNS, pueden registrar paquetes, pueden intentar ataques de intermediario (MITM) e inspeccionar todos sus paquetes en profundidad para tratar de determinar qué fluye dentro del túnel VPN.

Esta es una respuesta bastante razonable. El uso de una máquina virtual en una segunda cuenta de usuario es fácil de configurar. Si bien el sistema operativo aún puede permitir el tráfico de red no seguro, no importa si se encuentra en el entorno restringido de una cuenta de usuario redundante.
Desearía que hubiera un botón fácil, pero como puede ver, no es trivial controlar el tráfico anterior o posterior en una capa del kernel, ya que OS X está diseñado para usar cualquier ruta que esté activa. El sistema operativo no está diseñado para cerrar todo, pero el equipo de red sí lo está.

Aquí hay un enfoque totalmente fuera de la GUI de MacOS X. Por lo tanto, este enfoque del problema no interferirá con ninguna configuración de red o VPN.

Digamos que quiero usar una IPSEC VPN (basada en el uso de 500/udp == isakmp y 50/ip == esp).

Cree un ipfwarchivo de configuración que solo permita los protocolos necesarios para construir la VPN:

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

Compruebe que su sintaxis es correcta:

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

Instálelo en el núcleo:

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

Verifique que su sistema operativo pueda reiniciarse y obtenga su dirección IP a través del DHCP habitual. Compruebe que la mayoría de los protocolos IP están bloqueados:

ping www.google.com

Por supuesto, si desea utilizar una VPN además de SSL, deberá adaptar este archivo de configuración (isakmp + esp → https).

¿Cómo debo usar VPN en una Mac para evitar riesgos antes de que se inicie la VPN?
RespuestasAquíPolítica de privacidad1y, 0v