Kill switch VPN vysvětlen: co dělá, proč na něm záleží a jak ověřit, že ten váš funguje
Kill switch VPN zablokuje veškerý provoz mimo VPN, když tunel vypadne, a zabrání úniku vaší skutečné IP uprostřed relace. Zde je přehled toho, co každá velká auditovaná VPN nabízí, a jak si to sami otestovat.
Co je kill switch VPN
Kill switch VPN je funkce, která zablokuje veškerý internetový provoz na zařízení vždy, když tunel VPN není aktivní. Smyslem je zabránit úniku vaší skutečné IP adresy přidělené poskytovatelem připojení k cílové službě v krátkém okně mezi výpadkem tunelu a opětovným připojením. Tunely vypadávají z běžných důvodů — změna sítě, restart serveru, uspání notebooku — a bez kill switche operační systém selže směrem ven a směruje pakety přes holé rozhraní, dokud se VPN znovu nepřipojí. S kill switchem jsou tyto pakety zahozeny. Cílová služba buď vidí výstupní IP VPN, nebo nevidí nic.
Které auditované VPN nabízejí kill switch
Všech pět velkých auditovaných placených VPN nabízí kill switch ve svých oficiálních klientských aplikacích: Mullvad (kill switch je implementován jako režim firewallu; zdokumentováno na mullvad.net), Proton VPN (možnosti kill switche + trvalého kill switche na každé platformě), NordVPN (celosystémový kill switch na macOS / Windows / Linux; iOS používá profil Always-On VPN od Applu), ExpressVPN (Network Lock — značkový kill switch) a Surfshark (kill switch zdokumentován v nastavení aplikace). Implementace se liší podle platformy: na macOS / Windows / Linux je nejsilnější implementací pravidlo firewallu na úrovni OS; na iOS závisí chování kill switche na tom, zda je konfigurace nainstalována jako Per-App VPN, nebo jako profil Always-On.
Chování kill switche je součástí rozsahu auditu
Chování kill switche není jen funkce — je to standardní cíl testování ve zveřejněných auditech infrastruktury. Audit Mullvadu od Cure53 (červen 2024) zahrnoval bezpečnostní testování metodou white-box pokrývající 'cokoli, co ovlivňuje soukromí' na produkčních serverech OpenVPN a WireGuard; nezvládnutí obnovy přerušeného připojení bez úniku by bylo zjištěním. Praetorian a Cure53 přezkoumaly přepis ExpressVPN Lightway do Rustu v září–říjnu 2024; výsledek opětovného testu v prosinci 2024 potvrdil nápravu všech hlášených problémů. Správnost kill switche je implicitně součástí každého tvrzení o 'absenci logů / absenci úniků' — pokud selhání kill switche odhalí skutečnou IP, vlastnost bez logů je pro toto připojení bezpředmětná.
Jak se implementace kill switche liší
Existují tři vzory. (1) Pravidla firewallu na úrovni OS — nejsilnější. Klient VPN nainstaluje pravidla PF/iptables/Windows Firewall, která zahazují veškerý provoz mimo tunel. Režim firewallu u Mullvadu spadá do této kategorie. (2) Kill switche na úrovni aplikace — slabší. Klient VPN ukončí provoz pouze z nakonfigurovaného seznamu aplikací. Užitečné pro selektivní vypnutí torrent klienta při výpadku tunelu, ale nechrání provoz na pozadí z jiných aplikací. (3) Always-On VPN na iOS — silné, ale podmíněné. Konfigurace Always-On na úrovni OS zajistí, že bez VPN neproudí žádný provoz, ale funguje pouze tehdy, je-li nakonfigurována jako spravovaný profil, nikoli jako spotřebitelská instalace na jeden dotek. Dokumentace Always-On VPN je na vývojářském webu Applu (developer.apple.com).
Jak ověřit, že váš kill switch funguje
Připojte se k VPN, otevřete terminál a spusťte `curl ifconfig.me`, abyste potvrdili, že se zobrazí výstupní IP VPN. Poté zakažte své síťové rozhraní (vypněte Wi-Fi / odpojte ethernet) a znovu jej povolte. Zatímco se síť obnovuje, spusťte stejný curl v těsné smyčce. Pokud během okna obnovy připojení uvidíte svou skutečnou IP od poskytovatele, kill switch selhal. Pokud nevidíte nic (curl skončí chybou 'no route to host' nebo podobnou), dokud se VPN znovu nepřipojí, kill switch fungoval. Tento test je destruktivní pouze pro běžící relaci VPN — nevyžaduje žádný účet ani testovací sestavu. Zopakujte jej pro každý protokol VPN, který váš klient podporuje (WireGuard a OpenVPN se při opětovném připojování chovají odlišně).
Kdy kill switch stačí — a kdy ne
Kill switch chrání krátké okno výpadku tunelu. Nechrání před úniky DNS, když je tunel aktivní (ty jsou samostatným problémem, který řeší konfigurace DNS dané VPN), a zpětně neodúniká data, která protekla předtím, než byl tunel navázán. VPN vždy spusťte dříve, než spustíte aktivitu, která na VPN závisí — kill switche nemají paměť.
Zdroje
Audit Mullvadu (Cure53 červen 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audity Proton VPN bez logů: protonvpn.com/blog/no-logs-audit. Audity NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Audity ExpressVPN Lightway: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (hledejte 'Always-On VPN'). Všechny URL navštíveny 2026-04-30.