A VPN kill switch megmagyarázva: mit csinál, miért fontos, és hogyan ellenőrizheted, hogy a tiéd működik-e
A VPN kill switch minden nem-VPN forgalmat blokkol, amikor az alagút megszakad, megakadályozva, hogy a valódi IP-címed kiszivárogjon a munkamenet közepén. Íme, mit kínál minden nagyobb auditált VPN, és hogyan tesztelheted le magad.
Mi az a VPN kill switch
A VPN kill switch egy olyan funkció, amely blokkolja az eszközön az összes internetes forgalmat, amikor a VPN-alagút nem aktív. A lényeg az, hogy megakadályozza a valódi, az internetszolgáltató (ISP) által hozzárendelt IP-cím kiszivárgását egy célszolgáltatás felé az alagút megszakadása és az újracsatlakozás közötti rövid időablakban. Az alagutak hétköznapi okokból szakadnak meg — hálózatváltás, szerverújraindítás, laptop alvó állapotba lépése —, és kill switch nélkül az operációs rendszer „nyitva hibázik”, a csomagokat a csupasz interfészen keresztül továbbítva, amíg a VPN újra nem csatlakozik. Kill switch esetén ezeket a csomagokat eldobja. A célszolgáltatás vagy a VPN kilépési IP-jét látja, vagy semmit.
Mely auditált VPN-ek kínálnak kill switchet
Mind az öt nagyobb auditált fizetős VPN kill switchet kínál a hivatalos kliensalkalmazásában: Mullvad (a tűzfal mód a kill-switch megvalósítás; a mullvad.net oldalon dokumentálva), Proton VPN (kill switch + állandó kill switch opciók minden platformon), NordVPN (rendszerszintű kill switch macOS-en / Windowson / Linuxon; az iOS az Apple Always-On VPN profilját használja), ExpressVPN (Network Lock — saját márkás kill switch) és Surfshark (az alkalmazás beállításaiban dokumentált kill switch). A megvalósítás platformonként eltér: macOS-en / Windowson / Linuxon egy operációs rendszer szintű tűzfalszabály a legerősebb megvalósítás; iOS-en a kill-switch viselkedése attól függ, hogy a konfiguráció alkalmazásonkénti VPN-ként (Per-App VPN) vagy Always-On profilként van-e telepítve.
A kill-switch viselkedése az audit hatókörének része
A kill-switch viselkedése nem csupán egy funkció — ez egy szabványos teszt-cél a közzétett infrastruktúra-auditokban. A Cure53 Mullvad-auditja (2024. június) magában foglalta a white-box biztonsági tesztelést, amely „minden, ami befolyásolja a magánéletet” körre terjedt ki az éles OpenVPN- és WireGuard-szervereken; ha egy megszakadt kapcsolat helyreállítása szivárgás nélkül nem sikerülne, az megállapítás lenne. A Praetorian és a Cure53 felülvizsgálta az ExpressVPN Lightway Rust-átírását 2024. szept.–okt. között; a 2024. decemberi utótesztelés eredménye megerősítette az összes bejelentett probléma hibajavítását. A kill switch helyessége implicit módon része minden „naplózásmentes / szivárgásmentes” állításnak — ha egy kill-switch meghibásodás kiszivárogtatja a valódi IP-t, akkor a naplózásmentes tulajdonság az adott kapcsolatra nézve értelmét veszti.
Hogyan különböznek a kill-switch megvalósítások
Három minta létezik. (1) Operációs rendszer szintű tűzfalszabályok — a legerősebbek. A VPN-kliens PF/iptables/Windows Firewall szabályokat telepít, amelyek minden, alagúton kívüli forgalmat eldobnak. A Mullvad tűzfal módja ebbe a kategóriába tartozik. (2) Alkalmazásszintű kill switchek — gyengébbek. A VPN-kliens csak egy konfigurált alkalmazáslistából álló forgalmat állít le. Hasznos egy torrent-kliens szelektív leállításához, amikor az alagút megszakad, de nem védi más alkalmazások háttérforgalmát. (3) iOS Always-On VPN — erős, de feltételes. Az operációs rendszer szintű Always-On konfiguráció biztosítja, hogy semmilyen forgalom ne folyjon VPN nélkül, de csak akkor működik, ha felügyelt profilként van konfigurálva, nem pedig egyérintéses fogyasztói telepítésként. Az Always-On VPN dokumentációja az Apple fejlesztői oldalán található (developer.apple.com).
Hogyan ellenőrizheted, hogy a kill switch működik-e
Csatlakozz a VPN-hez, nyiss egy terminált, futtasd a `curl ifconfig.me` parancsot, hogy megerősítsd, megjelenik a VPN kilépési IP-je. Ezután kapcsold ki a hálózati interfészt (Wi-Fi ki / Ethernet kihúzva), majd kapcsold vissza. Amíg a hálózat újra felépül, futtasd ugyanazt a curl parancsot egy szoros ciklusban. Ha az újracsatlakozási időablakban látod a valódi ISP IP-det, a kill switch meghibásodott. Ha semmit sem látsz (a curl „no route to host” vagy hasonló hibát ad), amíg a VPN újra nem csatlakozik, a kill switch működött. Ez a teszt csak a futó VPN-munkamenetre nézve romboló — nem igényel fiókot vagy tesztkörnyezetet. Ismételd meg minden VPN-protokollra, amelyet a klienseed támogat (a WireGuard és az OpenVPN másképp viselkedik újracsatlakozáskor).
Mikor elegendő a kill switch — és mikor nem
A kill switch a rövid alagútmegszakadási időablakot védi. Nem véd a DNS-szivárgások ellen, amíg az alagút aktív (ezek külön probléma, amelyet a VPN DNS-konfigurációja fed le), és nem „szivárogtatja vissza” visszamenőlegesen az adatokat, amelyek az alagút felépülése előtt folytak. Mindig indítsd el a VPN-t, mielőtt elindítanád a VPN-től függő tevékenységet — a kill switcheknek nincs memóriájuk.
Források
Mullvad-audit (Cure53 2024. június): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Proton VPN naplózásmentes auditok: protonvpn.com/blog/no-logs-audit. NordVPN-auditok: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Lightway-auditok: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (keresd: „Always-On VPN”). Minden URL elérve 2026-04-30-án.