Como los usuarios más experimentados habrán escuchado, usar una Mac en un Wi-Fi público no confiable puede ser potencialmente dañino. Una herramienta como Firesheep 1 ha hecho que sea muy fácil interceptar la comunicación sin cifrar.
Usar una VPN de túnel completo para cifrar toda la comunicación se menciona con tanta frecuencia como una solución mágica para escuchar a escondidas, pero por supuesto no es tan fácil:
- Dependiendo del protocolo y la configuración de la conexión VPN, la conexión puede caerse más fácilmente. (por ejemplo, TLS vs UDP)
- La conexión VPN no se establece instantáneamente cuando se conecta a una red pública.
Creo que los dos últimos puntos importan mucho porque cada vez que la configuración de su red cambia, las diversas aplicaciones hablan inmediatamente con sus servidores; supongo que eso es lo configd
que les informa, ¿verdad?
es decir, antes de que se establezca el túnel VPN, la mayoría de los procesos (en ejecución) que requieren Internet se comunicarán.
Veo dos componentes para ser un buen usuario de VPN:
- Asegurarse de que las cosas no se envíen antes de que se establezca.
- Asegurarse de que las cosas no se envíen más tarde si la VPN falla .
¿Cómo puedo usar VPN en una Mac en una red pública para restringir el tráfico no cifrado antes de que se inicie la VPN?
Respuestas:
Dejemos de lado cualquier solución en la que traiga una segunda pieza de equipo de red al problema. También dejemos que el problema de detener el tráfico después de que la VPN falle con esta pregunta relacionada, pero diferente .
Considero este problema como una solución centrada en el usuario y no como algo que se logra fácilmente modificando el comportamiento de OS X.
Configure dos cuentas en su Mac (ninguna de las dos debe ser una cuenta de administrador, pero si es así, no necesitará una tercera cuenta para cambiar la configuración del sistema).
Entonces, con el cambio rápido de usuario habilitado, puede cerrar sesión en la cuenta principal. Esto asegura que ningún programa o proceso de ese usuario continuará ejecutándose en segundo plano. La mayoría de las aplicaciones de OS X se comportan bien y suspenden el acceso a la red cuando no tienen una ventana activa en la pantalla, pero tendrías que monitorear y probar esto para siempre para asegurarte de que no ocurra nada: cerrar la sesión es más fácil de mantener.
Ahora, también podría reemplazar la "cuenta" anterior con el sistema operativo y ejecutar un sistema de virtualización como Fusion (o Parallels o cualquier otro) y solo iniciar el sistema operativo invitado una vez que el sistema operativo host haya asegurado todo en una VPN. Dependiendo del software de VM que elija, también puede tener control sobre la red y puede activar y desactivar el acceso incluso cuando el SO huésped (o SO) se está ejecutando. Básicamente, esto es simular el hardware adicional que inicialmente dije que no consideraría.
Espero que esto muestre una forma en la que podría estar más seguro mientras viaja y usa una red en la que no confía, mientras minimiza el riesgo que esto siempre conllevará. Si alguien más posee la red: posee DNS, puede registrar paquetes, puede intentar ataques de intermediario (MITM) e inspeccionar todos sus paquetes a fondo para tratar de determinar qué está fluyendo dentro del túnel VPN.
fuente
Aquí hay un enfoque totalmente fuera de la GUI de MacOS X. Por lo tanto, este enfoque del problema no interferirá con ninguna configuración de red o VPN.
Digamos que quiero usar una VPN IPSEC (basada en el uso de 500 / udp == isakmp & 50 / ip == esp).
Cree un
ipfw
archivo de configuración que solo permita que los protocolos necesarios creen la VPN:Verifique que su sintaxis esté bien:
Instálalo en el núcleo:
Verifique que su sistema operativo pueda reiniciarse y obtenga su dirección IP a través del DHCP habitual. Compruebe que la mayoría de los protocolos IP están bloqueados:
Por supuesto, si desea utilizar una VPN sobre SSL, tendrá que adaptar este archivo de configuración (isakmp + esp → https).
fuente