¿Cómo se puede restringir la actividad de la red solo a la VPN en una Mac y evitar la actividad no segura de Internet?

7

Estoy usando Mac OS y me conecto a una VPN para ocultar mi ubicación e IP (tengo marcada la casilla 'enviar todo el tráfico a través de la conexión VPN' en la preferencia del sistema de red), deseo permanecer en el anonimato y no deseo revelar mi IP real, de ahí la VPN. Tengo un prefpan llamado pearportVPN que me conecta automáticamente a mi VPN cuando me conecto. El problema es que cuando me conecto a Internet usando el aeropuerto (u otro medio) tengo unos segundos de conexión a Internet no segura antes de que mi Mac inicie sesión en mi VPN. Por lo tanto, es solo cuestión de tiempo antes de que, sin querer, exponga mi dirección IP real en los pocos segundos que transcurren entre la conexión a Internet y el inicio de sesión en mi VPN.

¿Hay alguna forma de bloquear el tráfico hacia y desde mi Mac que no pasa por mi VPN, para que nada pueda conectarse a menos que haya iniciado sesión en mi VPN? Sospecho que necesitaría encontrar una aplicación de terceros que bloqueara todo el tráfico, excepto a través de la Dirección del servidor, tal vez Intego Virus Barrier X6 o una pequeña snitch, pero me temo que no estoy seguro de cuál es el correcto o cómo configurarlos.

Cualquier ayuda sería muy apreciada. ¡Gracias!


fuente
¿Has oído hablar de un firewall?
SpacemanSpiff
Por supuesto que sí, Tom, se ha eludido claramente a la declaración anterior. La pregunta es cuál y cómo configurarlo. El firewall incorporado de Apple no parece particularmente útil a este respecto, por lo que sugerí Intego Virus Barrier y un pequeño soplón. A la luz de su comentario, seré más específico: ¿Sería efectivo un firewall de terceros (como Virusbarrier o little snitch, etc.) o el firewall incorporado de Apple para bloquear el tráfico que no es VPN? Si es así, ¿cómo se puede configurar un firewall de tal manera que se niegue el tráfico no VPN desde una Mac?
Si va a revisar la pregunta, es mejor que edite la pregunta real en lugar de dejar las revisiones en un comentario ... más personas verán la información adicional de esa manera.
larsks

Respuestas:

3

Usaría un firewall para (a) restringir todo el tráfico de red saliente que no sea el tráfico destinado a su servidor VPN, y luego (b) permitir cualquier tráfico a través de su interfaz VPN. Las restricciones en (a) tendrían que incluir permisos para negociar un arrendamiento de DHCP, a menos que esté utilizando un direccionamiento estático.

Debería poder lograr esto utilizando la utilidad "ipfw" desde la línea de comandos. El firewall disponible a través del panel de preferencias "Seguridad" (nuevo en OS X 10.5, creo) no le permitirá bloquear el tráfico saliente.

ipfwPuede encontrar información básica sobre el manual de FreeBSD .

Una vez que encuentre una secuencia de comandos de firewall adecuada, deberá organizarla para que se active cuando se inicie su sistema. Las páginas del manual sobre launchd, launchctly launchd.plistpueden ser útiles.

larsks
fuente
2

Estoy usando Snow Leopard y estoy usando el script de shell a continuación. Solo permite el tráfico a través del túnel PPTP VPN. Tenga en cuenta que no hace ninguna excepción para el tráfico local de DHCP.

#!/bin/sh

# Clean any pre-existing rules
ipfw -f flush

# Allow any kind of traffic to go through ppp0 (our VPN interface)
ipfw -f add allow all from any to any via ppp0 

# Allow any to talk to GRE protocol (used with PPTP)
ipfw -f add allow gre from any to any 

# Allow any to talk to any remote server on PPTP port 1723
ipfw -f add allow tcp from any to any dst-port 1723

# Check states (below allows established tcp connections to vpn server via \
# port 1723 back through the firewall
ipfw -f add check-state
ipfw -f add allow tcp from any to any established

# Closing Up
ipfw -f add 65533 reject log udp from any to any 
ipfw -f add 65534 deny log ip from any to any 
sybind
fuente
1

Tenga en cuenta que incluso las reglas de ipfw no pueden protegerlo de una serie de fugas comunes, incluidas la fuga de DNS, la fuga de IPv6 y el lapso de tiempo entre el momento en que aparece la red y cuando se cambia la ruta predeterminada. Uso waterroof en mi mac para trabajar con configuraciones de firewall, y los siguientes conjuntos de reglas deberían importarse a Waterroof:

Reglas de IPFW IPv4

agregue 00010 negar icmp de cualquiera a cualquiera en

agregar 00100 permitir ip de cualquiera a cualquiera a través de lo *

agregue 00110 negar ip de 127.0.0.0/8 a cualquiera en

agregue 00120 negar ip de cualquier a 127.0.0.0/8 en

agregue 00130 permita udp de cualquiera a 224.0.0.251 dst-port 5353

agregue 00140 permita udp desde 224.0.0.251 a cualquier puerto dst 5353

agregue 00300 deny ip de 224.0.0.0/3 a cualquiera en

agregue 00400 negar tcp de cualquiera a 224.0.0.0/3 en

agregar 00500 negar tcp desde cualquier a cualquier puerto dst 0 en

agregar 00600 estado de verificación

agregue 01000 permitir tcp de mí a cualquier estado de mantenimiento

agregue 01001 permitir udp de mí a cualquier estado de mantenimiento

agregue 25000 permitir ip de mí para "INSERTAR VPN HOST AQUÍ"

agregue 25100 permitir ip desde "INSERTAR VPN HOST AQUÍ" en

agregar 33300 negar tcp de cualquiera a cualquier establecido

agregue 65000 permita udp desde cualquier 67 a cualquier puerto dst 68 en

agregue 65100 negar log icmp de cualquiera a mí en icmptypes 8

agregar 65200 negar udp de cualquiera a cualquiera en

agregue 65300 negar icmp de cualquiera a cualquiera en

agregue 65400 negar ip de cualquiera a cualquiera en

agregue 65535 permitir ip de cualquiera a cualquier

Reglas de IPFW IPv6

agregue 02070 negar ipv6 de cualquier a cualquier

agregue 33300 denegar registro ipv6-icmp de any a any en icmptype 128

Fuente: http://blog.c22.cc/2011/07/31/protecting-your-osx-with-ipfw-and-littlesnitch/

Con respecto a la fuga de DNS, puede usar: http://opendns.github.io/dnscrypt-osx-client/

DNSCrypt es una forma de asegurar la "última milla" del tráfico DNS y resolver una clase completa de problemas de seguridad serios con el protocolo DNS, por ejemplo, manipulación o ataques de hombre en el medio, y espiar el tráfico DNS en la última milla.

usuario263367
fuente