VPN을 시작하기 전에 Mac에서 VPN을 사용하여 손상을 방지하려면 어떻게해야합니까?

11

대부분의 숙련 된 사용자가 들었 듯이, 신뢰할 수없는 공용 Wi-Fi에서 Mac을 사용하면 잠재적으로 해로울 수 있습니다. Firesheep ¹ 과 같은 도구를 사용하면 암호화되지 않은 통신을 매우 쉽게 가로 챌 수 있습니다.

사용하여 전체 터널 VPN을 모든 통신을 암호화하는 것은 자주 도청에 마법의 솔루션으로 언급하지만, 물론 그것은 것이 쉬운 일이 아닙니다있다 :

VPN 연결의 프로토콜 및 구성에 따라 연결이 있습니다 드롭 쉽게. (예 : TLS vs UDP)
공용 네트워크에 연결할 때 VPN 연결이 즉시 설정되지 않습니다 .

네트워크 설정이 변경 될 때마다 다양한 응용 프로그램이 즉시 서버와 통신하기 때문에 마지막 두 지점 이 많이 중요 하다고 생각합니다 configd.

즉, VPN 터널이 설정되기 전에 인터넷 이 필요한 대부분의 (실행중인) 프로세스 가 통신합니다.

좋은 VPN 사용자가되는 두 가지 구성 요소가 있습니다.

물건이 만들어지기 전에 분명하게 보내지 않도록하십시오.
VPN이 실패한 경우 나중에 전송되지 않도록하십시오 .

VPN을 시작하기 전에 공용 네트워크의 Mac에서 VPN을 사용하여 암호화되지 않은 트래픽을 제한하려면 어떻게해야합니까?

— 젠트 매트
소스

다시 연결하는 것이 좋습니다. 내가 연결했던 오래된 질문은 VPN을 연결이 끊어졌을 때를 안전하게 시작하도록 설정하는 방법을 아는 방법에 더 초점을 둔 것 같습니다. VPN.

— bmike

2

두 번째 네트워킹 장비를 문제에 가져 오는 솔루션을 따로 살펴 보자. VPN이 이와 관련이 있지만 다른 질문에 실패한 후 트래픽을 중지시키는 문제를 보자 .

이 문제를 사용자 중심 솔루션으로보고 OS X 동작을 수정하여 쉽게 수행 할 수있는 것은 아닙니다.

Mac에서 두 개의 계정을 설정하십시오 (관리자 계정 일 필요는 없지만 둘 중 하나 인 경우 시스템 설정을 변경하기 위해 세 번째 계정이 필요하지 않습니다).

아무것도 실행하지 않고 VPN 연결 만 설정하기 위해 존재하는 셸 계정
VPN으로 올바르게 보안 된 후에 만 네트워크에 액세스 할 수 있도록하려는 프로그램을 실행하는 기본 계정입니다.

따라서 빠른 사용자 전환 기능을 사용하면 기본 계정에서 로그 아웃 할 수 있습니다. 이렇게하면 해당 사용자의 프로그램이나 프로세스가 백그라운드에서 계속 실행되지 않습니다. 대부분의 OS X 앱은 제대로 작동하며 화면에 활성 창이없는 경우 네트워크 액세스를 일시 중단하지만 아무 일도 일어나지 않도록이를 영원히 모니터링하고 테스트해야합니다. 로그 아웃하는 것이 더 간단합니다.

이제 위의 "계정"을 OS로 바꾸고 Fusion (또는 Parallels 또는 기타)과 같은 가상화 시스템을 실행하고 호스트 OS가 VPN의 모든 것을 보호 한 후에 만 게스트 OS를 시작할 수 있습니다. 선택한 VM 소프트웨어에 따라 네트워크를 제어 할 수도 있고 게스트 OS (또는 OS)가 실행중인 경우에도 액세스를 켜거나 끌 수 있습니다. 이것은 기본적으로 내가 생각하지 않을 여분의 하드웨어를 시뮬레이션하는 것입니다.

여행과 여행 중에 신뢰할 수없는 네트워크를 사용하는 것이 항상 위험을 최소화하면서 더 안전 할 수있는 한 가지 방법이 되길 바랍니다. 다른 사람이 네트워크를 소유하고 있다면 DNS를 소유하고 패킷을 기록 할 수 있으며 MITM (Man-in-the-Middle) 공격을 시도 할 수있을뿐 아니라 모든 패킷을 심층적으로 검사하여 VPN 터널 내부에 흐르는 내용을 파악할 수 있습니다.

— bmike
소스

1

이것은 상당히 합리적인 답변입니다. 두 번째 사용자 계정에서 VM을 사용하면 쉽게 설정할 수 있습니다. OS가 여전히 보안되지 않은 네트워크 트래픽을 허용 할 수 있지만, 중복 된 사용자 계정의 제한된 환경에 있는지 여부는 중요하지 않습니다.

— gentmatt

쉬운 버튼이 있었으면 좋겠지 만 OS X는 어떤 경로를 사용하도록 설계 되었기 때문에 커널 계층에서 사전 또는 사후 트래픽을 제어하는 것은 쉽지 않습니다. OS는 모든 것을 종료하도록 설계된 것이 아니라 네트워크 장비입니다.

— bmike

3

MacOS X GUI 외부의 접근 방식은 다음과 같습니다. 따라서이 문제에 대한 접근 방식은 네트워크 또는 VPN 설정을 방해하지 않습니다.

IPSEC VPN을 사용하고 싶다고 가정합니다 (500 / udp == isakmp & 50 / ip == esp 사용).

ipfw필요한 프로토콜이 VPN을 빌드 할 수 있도록 구성 파일을 작성하십시오 .

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

구문이 올바른지 확인하십시오.

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

커널에 설치하십시오 :

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

OS가 재부팅되는지 확인하고 일반적인 DHCP를 통해 IP 주소를 가져옵니다. 대부분의 IP 프로토콜이 차단되었는지 확인하십시오.

ping www.google.com

물론 SSL 위에서 VPN을 사용하려면이 구성 파일 (isakmp + esp → https)을 수정해야합니다.

— 단
소스