11 votos

user13414 avatar

¿Cómo debo usar VPN en un Mac para evitar compromiso antes de que comience la VPN?

Preguntado el 26 de Abril, 2013
Cuando se hizo la pregunta
1701 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Como la mayoría de los usuarios experimentados que hayan escuchado, usando un Mac en un público que no son de confianza Wi-Fi puede ser potencialmente dañino. Una herramienta como Firesheep1 ha hecho que sea muy fácil de interceptar la comunicación no cifrada.

El uso de un completo túnel VPN para cifrar toda la comunicación es a menudo mencionado como una solución mágica a los escuchas, pero por supuesto que no es así de fácil:

  • Dependiendo del protocolo y de la configuración de la conexión VPN, la conexión puede caer más fácil. (por ejemplo, TLS vs UDP)
  • La conexión VPN no establecido al instante cuando se conecta a una red pública.

Creo que los dos últimos puntos importa mucho porque cada vez que el cambio de configuración de red de las diversas aplicaciones de hablar inmediatamente con sus servidores - supongo que s configd que les informa, a la derecha?

es decir, Antes de que el túnel VPN se establece, la mayoría (en ejecución) los procesos que requieren internet se comunican.

Veo dos componentes para ser un buen usuario de VPN:

  1. Asegurarse de que las cosas no se envía en claro antes de que sea establecido.
  2. Asegurarse de que las cosas no se envían en el claro más adelante si el VPN de falla.

¿Cómo puedo usar VPN en un Mac en una red pública para restringir el tráfico sin cifrar antes de la VPN se inicia?

Preguntado el 26 de Abril, 2013 por user13414

Respuestas

¿Demasiados anuncios?

3voto

Rich avatar
Rich Puntos 2429

Aquí es un enfoque totalmente fuera de MacOS X interfaz gráfica de usuario. Por lo tanto, este enfoque del problema no interferir con cualquier red o configuración de VPN.

Digamos que yo quiero usar una VPN IPSEC (basado en el uso de 500/udp == isakmp y 50/ip == esp).

Crear un ipfw archivo de configuración sólo permite los protocolos necesarios para construir la VPN:

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

Compruebe que su sintaxis está bien:

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

Instalar el kernel:

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

Compruebe que su sistema operativo puede reiniciar, y obtener su dirección IP a través de la habitual de DHCP. Comprobar que la mayoría de los protocolos IP está bloqueada:

ping www.google.com

Por supuesto, si usted desea utilizar una VPN en la parte superior de SSL, usted tendrá que la adaptación de este archivo de configuración (isakmp + esp → https).

Respondido el 9 de Mayo, 2013 por Rich (2429 Puntos )

2voto

Oskar avatar
Oskar Puntos 1242

Vamos a dejar de lado cualquier solución que necesita una segunda pieza de equipos de networking para el problema. También vamos a dejar que el problema de parar el tráfico después de la VPN no esta relacionado, pero diferente.

Miro a este problema como una centrada en el usuario de la solución y no algo que se logra fácilmente mediante la modificación del OS X de comportamiento.

Configurar dos cuentas en tu Mac (no se necesita ser de administración de cuentas, pero si es, usted no necesita una tercera cuenta para cambiar la configuración del sistema).

  1. Un shell cuenta que existe para que se ejecute nada y sólo establecer la conexión VPN.
  2. Una cuenta principal que va a ejecutar los programas que usted desea asegurarse de que sólo obtener acceso a la red una vez que ha sido debidamente asegurados con una VPN.

Así, con el cambio rápido de usuario está activada, usted puede salir de la cuenta principal. Esto asegura que no hay programas o procesos a partir de que el usuario seguirá funcionando en el fondo. La mayoría de las aplicaciones de OS X se comportan bien, y suspender el acceso a la red cuando no tienen una ventana activa en pantalla, pero usted tendría que supervisar y prueba de esto para siempre para estar seguro de que nada de lo que está sucediendo - registro de salida es más simple de mantener.

Ahora, también se puede sustituir la "cuenta" de arriba con el sistema operativo y ejecutar un sistema de virtualización como la Fusión (o Parallels o cualquier otro) y sólo iniciar el SO huésped una vez que el sistema operativo del host ha asegurado todo en una VPN. Dependiendo de la máquina virtual de software que usted elija, usted también puede tener control sobre la red y que se pueda activar y desactivar el acceso incluso cuando el sistema operativo huésped (u OSes) se estén ejecutando. Esto es, básicamente, simulando el hardware extra al principio me dije que no quería tener en cuenta.

Espero que esto muestra una manera de que usted podría ser más seguro durante el viaje y a través de una red que usted no confía en minimizando el riesgo de que esto siempre va a implicar. Si alguien es dueño de la red propietaria de DNS, puede registrar los paquetes, puede tratar de man-in-the-middle (MITM) los ataques, así como inspeccionar todos los paquetes profundamente para intentar determinar qué es lo que fluye en el interior del túnel VPN.

Respondido el 26 de Abril, 2013 por Oskar (1242 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X