¿Por qué las VPN necesitan un "interruptor de muerte" en sus clientes? ¿Por qué no se implementa simplemente a nivel del sistema operativo?

0

He usado algunos servicios VPN en el pasado, y una cosa que he notado en sus clientes es que a menudo cuentan con un "interruptor de apagado" para matar su conexión a Internet en caso de que la VPN se caiga, para evitar el usuario no se dio cuenta de que la VPN había fallecido y envió accidentalmente el tráfico a través de un canal inseguro. Eso tiene sentido para mí: la mayoría de los sistemas operativos, si detectan una conexión fallida, cambiarán automáticamente a cualquier otra cosa disponible.

Lo que no entiendo es si esta es una necesidad tan importante de conexiones VPN, ¿por qué no parece que los sistemas operativos tengan esta característica "incorporada"? Alguna forma de decir: "Envíe TODO EL TRÁFICO a través de esta única interfaz de túnel, y NO DEBE OTRAS INTERFACES". Parece que en muchos casos de uso para VPN, la capacidad de dirigir TODO el tráfico a través del túnel (y ninguno a través de CUALQUIER otra interfaz) es fundamental.

He visto soluciones con, por ejemplo, configurar tablas de enrutamiento en Linux para lograr esto, pero parece ser una necesidad tan fuerte que uno esperaría que los sistemas operativos lo tengan integrado en la configuración de VPN.

¿Simplemente no hay demanda para esta función en el nivel del sistema operativo? ¿O hay alguna razón técnica por la que es particularmente difícil / difícil de implementar?

    
pregunta loneboat 22.08.2018 - 05:47
fuente

1 respuesta

4

Una VPN no es algo demasiado especial desde la perspectiva del sistema operativo. Esencialmente es solo otra interfaz de red (virtual). Y el enrutamiento especifica qué tráfico se reenvía a través de qué interfaz, es decir, puede ser la mayoría del tráfico a través de la VPN, solo se puede seleccionar el tráfico a través de la VPN ("VPN dividida") etc.

Un "interruptor de interrupción" tampoco es nada especial. Es solo una regla de enrutamiento o una regla de firewall local para asegurarse de que el tráfico confidencial (es decir, todo el tráfico no local para un uso típico de una VPN) nunca se envíe a ninguna interfaz de red, excepto a la interfaz VPN. En otras palabras, solo se trata de establecer reglas para un respaldo seguro en caso de que la VPN fallezca. Y mientras estas reglas se configuran desde el espacio del usuario, en realidad terminan implementándose en el kernel del sistema operativo.

Llamar a este tipo de configuración un "interruptor de interrupción" es solo marketing. No hay ningún interruptor en absoluto que se active activamente si la VPN muere. Es solo que las reglas de respaldo seguras previamente configuradas se usan implícitamente si la VPN muere.

    
respondido por el Steffen Ullrich 22.08.2018 - 07:04
fuente

Lea otras preguntas en las etiquetas