वीपीएन शुरू होने से पहले समझौता रोकने के लिए मुझे मैक पर वीपीएन का उपयोग कैसे करना चाहिए?

11

जैसा कि अधिकांश अनुभवी उपयोगकर्ताओं ने सुना होगा, सार्वजनिक अविश्वसनीय वाई-फाई में मैक का उपयोग करना संभावित रूप से हानिकारक हो सकता है। Firesheep ¹ जैसे उपकरण ने अनएन्क्रिप्टेड संचार को रोकना बहुत आसान बना दिया है।

सभी संचार को एन्क्रिप्ट करने के लिए एक पूर्ण सुरंग वीपीएन का उपयोग करना अक्सर उल्लसित करने के लिए एक जादुई समाधान के रूप में उल्लेख किया गया है, लेकिन निश्चित रूप से यह इतना आसान है:

प्रोटोकॉल और VPN कनेक्शन के विन्यास पर निर्भर करता है, कनेक्शन हो सकता है ड्रॉप आसान। (जैसे टीएलएस बनाम यूडीपी)
जब आप किसी सार्वजनिक नेटवर्क से कनेक्ट होते हैं तो वीपीएन कनेक्शन तुरंत स्थापित नहीं होता है।

मुझे लगता है कि अंतिम दो बिंदु बहुत मायने रखते हैं क्योंकि जब भी आपकी नेटवर्क सेटिंग्स विभिन्न अनुप्रयोगों को तुरंत अपने सर्वर से बात करती हैं - मुझे लगता है configdकि यह उन्हें सूचित करता है, है ना?

यानी वीपीएन टनल स्थापित होने से पहले, अधिकांश (चल रही) प्रक्रियाओं के लिए इंटरनेट की आवश्यकता होगी ।

मैं एक अच्छा वीपीएन उपयोगकर्ता होने के लिए दो घटक देखता हूं:

यह सुनिश्चित करने से पहले कि यह स्थापित हो, स्पष्ट चीजें न भेजें।
वीपीएन विफल होने पर स्पष्ट चीजें बाद में स्पष्ट नहीं भेजना ।

वीपीएन शुरू होने से पहले मैं एक सार्वजनिक नेटवर्क पर मैक का उपयोग कैसे कर सकता हूं?

— gentmatt
स्रोत

इस पर फिर से विचार करना अच्छा है - पुराने प्रश्न जो मैंने इस पर केंद्रित किए हैं कि कैसे पता चले कि वीपीएन कैसे कनेक्शन को सुरक्षित रूप से शुरू करने के लिए सेट अप करने की तुलना में ड्रॉप करता है - इसलिए हम सुरक्षा का उपयोग करते हुए सुरक्षा बढ़ाने के लिए प्रथाओं पर कई इंगित प्रश्नों से लाभ उठा सकते हैं वीपीएन।

— bmike

2

आइए किसी भी समाधान को निर्धारित करें जहां आप समस्या के लिए नेटवर्किंग गियर का दूसरा टुकड़ा लाते हैं। आइए, वीपीएन के इस संबंधित से विफल होने के बाद ट्रैफ़िक को रोकने की समस्या को भी छोड़ दें , लेकिन अलग सवाल ।

मैं इस समस्या को एक उपयोगकर्ता केंद्रित समाधान के रूप में देखता हूं और ऐसा कुछ नहीं जो ओएस एक्स व्यवहार को संशोधित करके आसानी से पूरा किया जाता है।

अपने मैक पर दो अकाउंट सेट करें (न तो एडमिन अकाउंट्स की जरूरत है, लेकिन अगर ऐसा है, तो आपको सिस्टम सेटिंग्स बदलने के लिए तीसरे अकाउंट की जरूरत नहीं होगी)।

एक शेल खाता जो कुछ भी नहीं चलाने के लिए मौजूद है और केवल वीपीएन कनेक्शन स्थापित करता है।
एक मुख्य खाता जो उन कार्यक्रमों को चलाएगा जिन्हें आप केवल वीपीएन के साथ ठीक से सुरक्षित होने के बाद ही नेटवर्क तक पहुँच सुनिश्चित करना चाहते हैं।

इसलिए, तेज उपयोगकर्ता स्विचिंग सक्षम होने के साथ, आप मुख्य खाते से लॉग आउट कर सकते हैं। यह सुनिश्चित करता है कि उस उपयोगकर्ता की कोई भी प्रोग्राम या प्रक्रिया पृष्ठभूमि में चलती नहीं रहेगी। अधिकांश OS X एप्लिकेशन अच्छी तरह से व्यवहार किए जाते हैं, और नेटवर्क एक्सेस को निलंबित कर देते हैं जब उनके पास स्क्रीन पर एक सक्रिय विंडो नहीं होती है, लेकिन आपको यह सुनिश्चित करने के लिए मॉनिटर करना होगा और परीक्षण करना होगा कि कुछ भी नहीं हो रहा है - लॉग आउट करना बनाए रखने के लिए सरल है।

अब, आप ओएस के साथ "खाता" को भी बदल सकते हैं और फ्यूजन (या समानताएं या किसी अन्य) की तरह एक वर्चुअलाइजेशन सिस्टम चला सकते हैं और केवल एक बार होस्ट ओएस ने एक वीपीएन पर सब कुछ सुरक्षित कर लिया है। आपके द्वारा चुने गए VM सॉफ़्टवेयर के आधार पर, आपके पास नेटवर्क पर नियंत्रण भी हो सकता है और अतिथि OS (या OSes) चलने पर भी एक्सेस को बंद और बंद कर सकता है। यह मूल रूप से अतिरिक्त हार्डवेयर का अनुकरण है जो मैंने शुरू में कहा था कि मैं विचार नहीं करूंगा।

मुझे आशा है कि यह एक ऐसा तरीका है जो आपको यात्रा करते समय और अधिक सुरक्षित हो सकता है और एक नेटवर्क का उपयोग कर सकता है जिस पर आप भरोसा नहीं करते हैं जबकि यह जोखिम हमेशा कम करेगा। यदि कोई व्यक्ति नेटवर्क का मालिक है - वे DNS के मालिक हैं, पैकेट लॉग कर सकते हैं, तो मैन-इन-मिडिल (MITM) हमलों की कोशिश कर सकते हैं और साथ ही अपने सभी पैकेटों का गहराई से निरीक्षण कर यह निर्धारित करने का प्रयास कर सकते हैं कि वीपीएन सुरंग के अंदर क्या बह रहा है।

— bmike
स्रोत

1

यह एक काफी उचित जवाब है। एक दूसरे उपयोगकर्ता खाते में एक वीएम का उपयोग करना सेटअप करना आसान है। हालांकि ओएस अभी भी असुरक्षित नेटवर्क ट्रैफ़िक की अनुमति दे सकता है, लेकिन यह कोई फर्क नहीं पड़ता कि यह अनावश्यक उपयोगकर्ता खाते के प्रतिबंधित वातावरण में है।

— gentmatt

काश, एक आसान बटन होता, लेकिन जैसा कि आप देख सकते हैं - यह एक कर्नेल परत पर पूर्व या बाद के ट्रैफ़िक को नियंत्रित करने के लिए तुच्छ नहीं है क्योंकि ओएस एक्स किसी भी पथ का उपयोग करने के लिए डिज़ाइन किया गया है। OS सब कुछ बंद करने के लिए डिज़ाइन नहीं किया गया है, लेकिन नेटवर्क गियर है।

— bmike

3

यहाँ MacOS X GUI के बाहर पूरी तरह से एक दृष्टिकोण है। इसलिए समस्या का यह तरीका किसी भी नेटवर्क या वीपीएन सेटिंग में हस्तक्षेप नहीं करेगा।

मान लीजिए कि मैं एक IPSEC VPN (500 / udp == isakmp और 50 / ip == esp के उपयोग के आधार पर) का उपयोग करना चाहता हूं।

ipfwवीपीएन बनाने के लिए आवश्यक प्रोटोकॉल की अनुमति देते हुए एक कॉन्फ़िगरेशन फ़ाइल बनाएं :

/usr/bin/sudo cat <<____eof >/etc/ipfw.vpn.rules
# VPN trafic contention
#
# DHCP
add 00100 permit udp from any to any src-port bootpc dst-port bootps
# DNS
add 01000 permit udp from me to any dst-port domain
add 01010 permit udp from any to me dst-port domain
# isakmp
add 01050 permit udp from me to any dst-port isakmp
add 01060 permit udp from any to me dst-port isakmp
# esp
add 01100 permit esp from me to any
add 01110 permit esp from any to me
# all other ip go to the central black hole
add 20000 deny ip from any to any
____eof

जांचें कि इसका सिंटैक्स ठीक है:

/usr/bin/sudo /sbin/ipfw -n /etc/ipfw.vpn.rules

इसे कर्नेल में स्थापित करें:

/usr/bin/sudo /sbin/ipfw /etc/ipfw.vpn.rules

जांचें कि आपका ओएस सामान्य डीएचसीपी के माध्यम से अपने आईपी पते को रिबूट कर सकता है, और अपना आईपी पता प्राप्त कर सकता है। जांचें कि अधिकांश आईपी प्रोटोकॉल अवरुद्ध हैं:

ping www.google.com

बेशक, यदि आप एसएसएल के ऊपर एक वीपीएन का उपयोग करना चाहते हैं, तो आपको इस कॉन्फ़िगरेशन फ़ाइल (isakmp + esp → https) को अनुकूलित करना होगा।

— सज्जन
स्रोत