Wie die meisten erfahrenen Benutzer gehört haben, kann die Verwendung eines Mac in einem öffentlichen, nicht vertrauenswürdigen WLAN potenziell schädlich sein. Ein Tool wie Firesheep 1 hat es sehr einfach gemacht, unverschlüsselte Kommunikation abzufangen.
Die Verwendung eines vollständigen Tunnel-VPN zum Verschlüsseln der gesamten Kommunikation wird ebenso oft erwähnt wie eine magische Lösung für das Abhören, aber natürlich ist es nicht so einfach:
- Je nach Protokoll und die Konfiguration der VPN - Verbindung kann die Verbindung fällt leichter. (zB TLS vs UDP)
- Die VPN-Verbindung wird nicht sofort hergestellt, wenn Sie eine Verbindung zu einem öffentlichen Netzwerk herstellen.
Ich denke , dass die letzten beiden Punkte Rolle viel , weil , wenn die Netzwerkeinstellungen die verschiedenen Anwendungen sofort ändern , um ihre Server sprechen - ich nehme an, es ist , configd
dass sie informiert, nicht wahr?
dh bevor der VPN-Tunnel eingerichtet wird, kommunizieren die meisten (laufenden) Prozesse, die das Internet erfordern .
Ich sehe zwei Komponenten, um ein guter VPN-Benutzer zu sein:
- Stellen Sie sicher, dass die Dinge nicht klar gesendet werden, bevor sie eingerichtet sind.
- Stellen Sie sicher, dass die Daten später nicht gelöscht werden, wenn das VPN ausfällt .
Wie kann ich VPN auf einem Mac in einem öffentlichen Netzwerk verwenden, um den unverschlüsselten Datenverkehr vor dem Start des VPN einzuschränken?
Antworten:
Lassen Sie uns jede Lösung beiseite legen, bei der Sie ein zweites Netzwerkgerät für das Problem bereitstellen. Lassen wir auch das Problem des Stoppens des Datenverkehrs, nachdem das VPN fehlgeschlagen ist, auf diese verwandte, aber andere Frage .
Ich betrachte dieses Problem als eine benutzerzentrierte Lösung und nicht als etwas, das durch Ändern des OS X-Verhaltens leicht zu erreichen ist.
Richten Sie zwei Konten auf Ihrem Mac ein (es müssen keine Administratorkonten sein, aber wenn dies der Fall ist, benötigen Sie kein drittes Konto, um die Systemeinstellungen zu ändern).
Wenn die schnelle Benutzerumschaltung aktiviert ist, können Sie sich vom Hauptkonto abmelden. Dadurch wird sichergestellt, dass keine Programme oder Prozesse dieses Benutzers im Hintergrund ausgeführt werden. Die meisten OS X-Apps verhalten sich gut und unterbrechen den Netzwerkzugriff, wenn kein aktives Fenster auf dem Bildschirm angezeigt wird. Sie müssen dies jedoch für immer überwachen und testen, um sicherzustellen, dass nichts passiert. Das Abmelden ist einfacher zu warten.
Jetzt können Sie auch "Konto" oben durch das Betriebssystem ersetzen und ein Virtualisierungssystem wie Fusion (oder Parallels oder ein anderes) ausführen und das Gastbetriebssystem erst starten, wenn das Hostbetriebssystem alles in einem VPN gesichert hat. Abhängig von der von Ihnen ausgewählten VM-Software haben Sie möglicherweise auch die Kontrolle über das Netzwerk und können den Zugriff auch dann aktivieren und deaktivieren, wenn das Gastbetriebssystem (oder die Gastbetriebssysteme) ausgeführt werden. Dies simuliert im Grunde die zusätzliche Hardware, von der ich ursprünglich sagte, dass ich sie nicht in Betracht ziehen würde.
Ich hoffe, dies zeigt, wie Sie auf Reisen und in einem Netzwerk, dem Sie nicht vertrauen, sicherer sein und gleichzeitig das Risiko minimieren können, das dies immer mit sich bringt. Wenn jemand anderes das Netzwerk besitzt - er besitzt DNS, kann Pakete protokollieren, Man-in-the-Middle-Angriffe (MITM) ausführen sowie alle Ihre Pakete gründlich untersuchen, um festzustellen, was im VPN-Tunnel fließt.
quelle
Hier ist ein Ansatz, der völlig außerhalb der MacOS X-Benutzeroberfläche liegt. Daher stört dieser Ansatz des Problems keine Netzwerk- oder VPN-Einstellungen.
Angenommen, ich möchte ein IPSEC-VPN verwenden (basierend auf der Verwendung von 500 / udp == isakmp & 50 / ip == esp).
Erstellen Sie eine
ipfw
Konfigurationsdatei, in der nur die erforderlichen Protokolle das VPN erstellen können :Überprüfen Sie, ob die Syntax in Ordnung ist:
Installieren Sie es im Kernel:
Überprüfen Sie, ob Ihr Betriebssystem neu gestartet werden kann, und ermitteln Sie die IP-Adresse über das übliche DHCP. Überprüfen Sie, ob die meisten IP-Protokolle blockiert sind:
Wenn Sie ein VPN zusätzlich zu SSL verwenden möchten, müssen Sie diese Konfigurationsdatei natürlich anpassen (isakmp + esp → https).
quelle