Seperti yang akan didengar oleh sebagian besar pengguna berpengalaman, menggunakan Mac di publik Wi-Fi yang tidak tepercaya dapat berpotensi berbahaya. Alat seperti Firesheep 1 telah membuatnya sangat mudah untuk mencegat komunikasi yang tidak terenkripsi.
Menggunakan VPN terowongan penuh untuk mengenkripsi semua komunikasi sering disebut sebagai solusi ajaib untuk menguping, tetapi tentu saja itu tidak mudah:
- Tergantung pada protokol dan konfigurasi koneksi VPN, koneksi mungkin turun lebih mudah. (mis. TLS vs UDP)
- Koneksi VPN tidak dibuat secara instan saat Anda terhubung ke jaringan publik.
Saya berpikir bahwa dua poin terakhir peduli banyak karena setiap kali pengaturan jaringan Anda mengubah berbagai aplikasi segera berbicara dengan server mereka - saya menganggap itu configd
yang menginformasikan mereka, kan?
yaitu Sebelum terowongan VPN dibuat, sebagian besar (berjalan) proses yang membutuhkan internet akan berkomunikasi.
Saya melihat dua komponen menjadi pengguna VPN yang baik:
- Memastikan hal-hal tidak dikirim dengan jelas sebelum hal itu ditetapkan.
- Memastikan bahwa hal-hal tidak dikirim dalam waktu yang jelas jika VPN gagal .
Bagaimana saya bisa menggunakan VPN di Mac di jaringan publik untuk membatasi lalu lintas yang tidak dienkripsi sebelum VPN dijalankan?
Jawaban:
Mari kita kesampingkan solusi apa pun di mana Anda membawa masalah jaringan kedua. Mari kita juga membiarkan masalah menghentikan lalu lintas setelah VPN gagal untuk pertanyaan terkait, tetapi berbeda .
Saya melihat masalah ini sebagai solusi sentris pengguna dan bukan sesuatu yang mudah dicapai dengan memodifikasi perilaku OS X.
Siapkan dua akun di Mac Anda (tidak perlu akun admin, tetapi jika salah satunya, Anda tidak perlu akun ketiga untuk mengubah pengaturan sistem).
Jadi, dengan pergantian pengguna yang cepat diaktifkan, Anda dapat keluar dari akun utama. Ini memastikan bahwa tidak ada program atau proses dari pengguna yang akan terus berjalan di latar belakang. Sebagian besar aplikasi OS X berperilaku baik, dan menangguhkan akses jaringan ketika mereka tidak memiliki jendela aktif di layar, tetapi Anda harus memantau dan menguji ini selamanya untuk memastikan tidak ada yang terjadi - logout lebih mudah dipertahankan.
Sekarang, Anda juga dapat mengganti "akun" di atas dengan OS dan menjalankan sistem virtualisasi seperti Fusion (atau Parallels atau lainnya) dan hanya memulai OS tamu setelah OS host telah mengamankan semuanya pada VPN. Tergantung pada perangkat lunak VM yang Anda pilih, Anda juga mungkin memiliki kendali atas jaringan dan dapat menghidupkan dan mematikan akses bahkan ketika OS tamu (atau OS) sedang berjalan. Ini pada dasarnya mensimulasikan perangkat keras tambahan yang awalnya saya katakan tidak akan saya pertimbangkan.
Saya harap ini menunjukkan satu cara Anda bisa lebih aman saat bepergian dan menggunakan jaringan yang tidak Anda percayai sambil meminimalkan risiko yang akan selalu terjadi. Jika orang lain memiliki jaringan - mereka memiliki DNS, dapat mencatat paket, dapat mencoba serangan man-in-the-middle (MITM) serta memeriksa semua paket Anda secara mendalam untuk mencoba menentukan apa yang mengalir di dalam terowongan VPN.
sumber
Ini adalah pendekatan yang sepenuhnya di luar GUI MacOS X. Karenanya pendekatan masalah ini tidak akan mengganggu pengaturan jaringan atau VPN apa pun.
Katakanlah saya ingin menggunakan IPSEC VPN (berdasarkan penggunaan 500 / udp == isakmp & 50 / ip == esp).
Buat
ipfw
file konfigurasi yang hanya memungkinkan protokol yang diperlukan untuk membangun VPN:Pastikan sintaksnya OK:
Instal di kernel:
Periksa apakah OS Anda dapat melakukan boot ulang, dan dapatkan alamat IP-nya melalui DHCP yang biasa. Periksa bahwa sebagian besar protokol IP diblokir:
Tentu saja, jika Anda ingin menggunakan VPN di atas SSL, Anda harus menyesuaikan file konfigurasi ini (isakmp + esp → https).
sumber