11 votes

gentmatt avatar

Comment utiliser le VPN sur un Mac pour éviter toute compromission avant le démarrage du VPN ?

Demandé el 26 de Avril, 2013
Quand la question a-t-elle été
3072 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comme la plupart des utilisateurs expérimentés l'auront entendu, l'utilisation d'un Mac dans un réseau Wi-Fi public non fiable peut être potentiellement dangereuse. Un outil comme Mouton de feu 1 a rendu très facile l'interception des communications non cryptées.

Utilisation d'un VPN à tunnel complet Le cryptage de toutes les communications est aussi souvent mentionné comme une solution magique aux écoutes, mais bien sûr, ce n'est pas si simple :

  • Selon le protocole et la configuration de la connexion VPN, la connexion peut tomber plus facile. (par exemple, TLS vs UDP)
  • La connexion VPN est non établi instantanément lorsque vous vous connectez à un réseau public.

Je pense que les deux derniers points sont importants beaucoup parce qu'à chaque fois que les paramètres de votre réseau changent, les différentes applications communiquent immédiatement avec leurs serveurs - je suppose que c'est configd qui les informe, n'est-ce pas ?

c'est-à-dire qu'avant que le tunnel VPN ne soit établi, la plupart des processus (en cours d'exécution) qui requièrent l'accès à l'Internet sont supprimés. Internet sera communiquer.

Je vois deux composantes pour être un bon utilisateur de VPN :

  1. S'assurer que les choses ne sont pas envoyées en clair avant qu'elles ne soient établies.
  2. S'assurer que les choses ne sont pas envoyées en clair plus tard si le VPN échoue. .

Comment puis-je utiliser le VPN sur un Mac dans un réseau public pour restreindre le trafic non crypté avant le démarrage du VPN ?

Demandé el 26 de Avril, 2013 par gentmatt

Réponses

Trop de publicités?

3voto

Rich avatar
Rich Points 2429

Voici une approche totalement extérieure à l'interface graphique de MacOS X. Par conséquent, cette approche du problème n'interférera pas avec un quelconque réseau ou VPN.

Disons que je veux utiliser un VPN IPSEC (basé sur l'utilisation de 500/udp == isakmp & 50/ip == esp).

Créer un ipfw Le fichier de configuration permet seulement aux protocoles requis de construire le VPN :

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

Vérifiez que sa syntaxe est correcte :

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

Installez-le dans le noyau :

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

Vérifiez que votre système d'exploitation peut redémarrer et obtenir son adresse IP par l'intermédiaire de l'interface utilisateur. DHCP habituel. Vérifiez que la plupart des protocoles IP sont bloqués :

ping www.google.com

Bien entendu, si vous souhaitez utiliser un VPN en plus de SSL, vous devrez adapter ce fichier de configuration (isakmp + esp https).

Répondu el 9 de Mai, 2013 par Rich (2429 Points )

2voto

Oskar avatar
Oskar Points 1242

Mettons de côté toute solution où vous apportez une deuxième pièce de matériel de réseau au problème. Laissons également de côté le problème de l'arrêt du trafic après l'échec du VPN. cette question connexe, mais différente .

Je considère ce problème comme une solution centrée sur l'utilisateur et non comme quelque chose de facile à réaliser en modifiant le comportement d'OS X.

Configurez deux comptes sur votre Mac (il n'est pas nécessaire que ce soit des comptes administrateurs, mais si l'un d'eux l'est, vous n'aurez pas besoin d'un troisième compte pour modifier les paramètres du système).

  1. Un compte shell qui existe pour ne rien exécuter et seulement établir la connexion VPN.
  2. Un compte principal qui exécutera les programmes que vous souhaitez garantir n'obtient l'accès au réseau qu'une fois qu'il a été correctement sécurisé par un VPN.

Ainsi, lorsque le changement rapide d'utilisateur est activé, vous pouvez vous déconnecter du compte principal. Cela garantit qu'aucun programme ou processus de cet utilisateur ne continuera à fonctionner en arrière-plan. La plupart des applications OS X se comportent bien et suspendent l'accès au réseau lorsqu'elles n'ont pas de fenêtre active à l'écran, mais il faudrait surveiller et tester cela en permanence pour être sûr que rien ne se passe - la déconnexion est plus simple à gérer.

Vous pouvez également remplacer "compte" par "système d'exploitation" et utiliser un système de virtualisation comme Fusion (ou Parallels ou autre) et ne lancer le système d'exploitation invité qu'une fois que le système d'exploitation hôte a tout sécurisé sur un VPN. Selon le logiciel VM que vous choisissez, vous pouvez également avoir le contrôle du réseau et activer ou désactiver l'accès même lorsque le ou les OS invités sont en cours d'exécution. Il s'agit essentiellement de simuler le matériel supplémentaire que j'avais initialement dit ne pas vouloir envisager.

J'espère que cela vous montre une façon d'être plus en sécurité lorsque vous voyagez et utilisez un réseau auquel vous ne faites pas confiance, tout en minimisant le risque que cela comporte toujours. Si quelqu'un d'autre possède le réseau, il possède le DNS, peut enregistrer les paquets, peut tenter des attaques de type "man-in-the-middle" (MITM) et inspecter en profondeur tous vos paquets pour essayer de déterminer ce qui circule dans le tunnel VPN.

Répondu el 26 de Avril, 2013 par Oskar (1242 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X