VPN Kill Switch explicat: ce face, de ce contează și cum să verifici că al tău funcționează
Un kill switch VPN blochează tot traficul non-VPN atunci când tunelul cade, împiedicând scurgerea adresei tale IP reale la mijlocul sesiunii. Iată ce livrează fiecare VPN major auditat și cum să-l testezi singur.
Ce este un kill switch VPN
Un kill switch VPN este o funcție care blochează tot traficul de internet pe un dispozitiv ori de câte ori tunelul VPN nu este activ. Scopul este de a împiedica scurgerea adresei IP reale, atribuită de furnizorul tău de internet (ISP), către un serviciu de destinație în scurtul interval dintre căderea tunelului și reconectare. Tunelurile cad din motive obișnuite — schimbarea rețelei, repornirea serverului, intrarea laptopului în repaus — iar fără un kill switch sistemul de operare „eșuează deschis”, dirijând pachetele prin interfața goală până când VPN-ul se reconectează. Cu un kill switch, acele pachete sunt eliminate. Serviciul de destinație fie vede IP-ul de ieșire al VPN-ului, fie nu vede nimic.
Care VPN-uri auditate livrează un kill switch
Toate cele cinci VPN-uri plătite majore auditate livrează un kill switch în aplicațiile lor client oficiale: Mullvad (modul firewall este implementarea kill-switch-ului; documentat la mullvad.net), Proton VPN (opțiuni de kill switch + kill switch permanent pe fiecare platformă), NordVPN (kill switch la nivel de sistem pe macOS / Windows / Linux; iOS folosește profilul Always-On VPN de la Apple), ExpressVPN (Network Lock — kill switch sub marcă proprie) și Surfshark (kill switch documentat în setările aplicației). Implementarea diferă în funcție de platformă: pe macOS / Windows / Linux, o regulă de firewall la nivel de sistem de operare este cea mai puternică implementare; pe iOS, comportamentul kill-switch-ului depinde de dacă configurația este instalată ca VPN per-aplicație (Per-App VPN) sau ca profil Always-On.
Comportamentul kill-switch-ului face parte din domeniul auditului
Comportamentul kill-switch-ului nu este doar o funcție — este o țintă de testare standard în auditurile de infrastructură publicate. Auditul Cure53 al Mullvad (iunie 2024) a inclus testarea de securitate de tip white-box care acoperea „orice are impact asupra confidențialității” pe serverele de producție OpenVPN și WireGuard; eșecul de a recupera o conexiune căzută fără scurgeri ar constitui o constatare. Praetorian și Cure53 au revizuit rescrierea în Rust a Lightway de la ExpressVPN în sept.–oct. 2024; rezultatul retestării ulterioare din decembrie 2024 a confirmat remedierea tuturor problemelor raportate. Corectitudinea kill-switch-ului face parte implicit din orice afirmație „no-logs / no-leak” — dacă un eșec al kill-switch-ului scurge IP-ul real, proprietatea no-logs devine irelevantă pentru acea conexiune.
Cum diferă implementările de kill switch
Există trei modele. (1) Reguli de firewall la nivel de sistem de operare — cele mai puternice. Clientul VPN instalează reguli PF/iptables/Windows Firewall care elimină tot traficul din afara tunelului. Modul firewall al Mullvad se încadrează în această categorie. (2) Kill switch-uri la nivel de aplicație — mai slabe. Clientul VPN oprește traficul doar dintr-o listă configurată de aplicații. Util pentru oprirea selectivă a unui client torrent când tunelul cade, dar nu protejează traficul de fundal al altor aplicații. (3) Always-On VPN pe iOS — puternic, dar condiționat. Configurația Always-On la nivel de sistem de operare asigură că niciun trafic nu circulă fără VPN, dar funcționează doar când este configurată ca profil gestionat, nu ca o instalare de consum cu o singură atingere. Documentația Always-On VPN se află pe site-ul pentru dezvoltatori al Apple (developer.apple.com).
Cum să verifici că kill switch-ul tău funcționează
Conectează-te la VPN, deschide un terminal, rulează `curl ifconfig.me` pentru a confirma că apare IP-ul de ieșire al VPN-ului. Apoi dezactivează interfața de rețea (Wi-Fi oprit / Ethernet deconectat) și reactiveaz-o. În timp ce rețeaua se restabilește, rulează același curl într-o buclă strânsă. Dacă în fereastra de reconectare vezi IP-ul tău real de la ISP, kill switch-ul a eșuat. Dacă nu vezi nimic (curl dă erori de tipul „no route to host” sau similare) până când VPN-ul se reconectează, kill switch-ul a funcționat. Acest test este distructiv doar pentru sesiunea VPN în curs — nu necesită niciun cont sau echipament de testare. Repetă pentru fiecare protocol VPN pe care îl suportă clientul tău (WireGuard și OpenVPN se comportă diferit la reconectare).
Când kill switch-ul este suficient — și când nu este
Un kill switch protejează scurta fereastră de cădere a tunelului. Nu protejează împotriva scurgerilor DNS în timp ce tunelul este activ (acestea sunt o problemă separată, acoperită de configurația DNS a VPN-ului) și nu „dez-scurge” retroactiv datele care au circulat înainte de ridicarea tunelului. Pornește întotdeauna VPN-ul înainte de a lansa activitatea care depinde de VPN — kill switch-urile nu au memorie.
Surse
Audit Mullvad (Cure53 iunie 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audituri no-logs Proton VPN: protonvpn.com/blog/no-logs-audit. Audituri NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Audituri Lightway ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (căutați „Always-On VPN”). Toate URL-urile accesate la 2026-04-30.