Kill switch VPN vysvetlený: čo robí, prečo na ňom záleží a ako overiť, že ten váš funguje
Kill switch VPN zablokuje všetku prevádzku mimo VPN, keď tunel vypadne, a zabráni úniku vašej skutočnej IP uprostred relácie. Tu je prehľad toho, čo každá veľká auditovaná VPN ponúka, a ako si to sami otestovať.
Čo je kill switch VPN
Kill switch VPN je funkcia, ktorá zablokuje všetku internetovú prevádzku na zariadení vždy, keď tunel VPN nie je aktívny. Zmyslom je zabrániť úniku vašej skutočnej IP adresy pridelenej poskytovateľom pripojenia k cieľovej službe v krátkom okne medzi výpadkom tunela a opätovným pripojením. Tunely vypadávajú z bežných dôvodov — zmena siete, reštart servera, uspanie notebooku — a bez kill switcha operačný systém zlyhá smerom von a smeruje pakety cez holé rozhranie, kým sa VPN znovu nepripojí. S kill switchom sú tieto pakety zahodené. Cieľová služba buď vidí výstupnú IP VPN, alebo nevidí nič.
Ktoré auditované VPN ponúkajú kill switch
Všetkých päť veľkých auditovaných platených VPN ponúka kill switch vo svojich oficiálnych klientskych aplikáciách: Mullvad (kill switch je implementovaný ako režim firewallu; zdokumentované na mullvad.net), Proton VPN (možnosti kill switcha + trvalého kill switcha na každej platforme), NordVPN (celosystémový kill switch na macOS / Windows / Linux; iOS používa profil Always-On VPN od Applu), ExpressVPN (Network Lock — značkový kill switch) a Surfshark (kill switch zdokumentovaný v nastaveniach aplikácie). Implementácia sa líši podľa platformy: na macOS / Windows / Linux je najsilnejšou implementáciou pravidlo firewallu na úrovni OS; na iOS závisí správanie kill switcha od toho, či je konfigurácia nainštalovaná ako Per-App VPN, alebo ako profil Always-On.
Správanie kill switcha je súčasťou rozsahu auditu
Správanie kill switcha nie je len funkcia — je to štandardný cieľ testovania v zverejnených auditoch infraštruktúry. Audit Mullvadu od Cure53 (jún 2024) zahŕňal bezpečnostné testovanie metódou white-box pokrývajúce 'čokoľvek, čo ovplyvňuje súkromie' na produkčných serveroch OpenVPN a WireGuard; nezvládnutie obnovy prerušeného pripojenia bez úniku by bolo zistením. Praetorian a Cure53 preskúmali prepis ExpressVPN Lightway do Rustu v septembri – októbri 2024; výsledok opätovného testu v decembri 2024 potvrdil nápravu všetkých nahlásených problémov. Správnosť kill switcha je implicitne súčasťou každého tvrdenia o 'absencii logov / absencii únikov' — ak zlyhanie kill switcha odhalí skutočnú IP, vlastnosť bez logov je pre toto pripojenie bezpredmetná.
Ako sa implementácie kill switcha líšia
Existujú tri vzory. (1) Pravidlá firewallu na úrovni OS — najsilnejšie. Klient VPN nainštaluje pravidlá PF/iptables/Windows Firewall, ktoré zahadzujú všetku prevádzku mimo tunela. Režim firewallu u Mullvadu spadá do tejto kategórie. (2) Kill switche na úrovni aplikácie — slabšie. Klient VPN ukončí prevádzku iba z nakonfigurovaného zoznamu aplikácií. Užitočné na selektívne vypnutie torrent klienta pri výpadku tunela, ale nechráni prevádzku na pozadí z iných aplikácií. (3) Always-On VPN na iOS — silné, ale podmienené. Konfigurácia Always-On na úrovni OS zaistí, že bez VPN neprúdi žiadna prevádzka, ale funguje iba vtedy, ak je nakonfigurovaná ako spravovaný profil, nie ako spotrebiteľská inštalácia na jeden dotyk. Dokumentácia Always-On VPN je na vývojárskom webe Applu (developer.apple.com).
Ako overiť, že váš kill switch funguje
Pripojte sa k VPN, otvorte terminál a spustite `curl ifconfig.me`, aby ste potvrdili, že sa zobrazí výstupná IP VPN. Potom zakážte svoje sieťové rozhranie (vypnite Wi-Fi / odpojte ethernet) a znovu ho povoľte. Kým sa sieť obnovuje, spustite rovnaký curl v tesnej slučke. Ak počas okna obnovy pripojenia uvidíte svoju skutočnú IP od poskytovateľa, kill switch zlyhal. Ak nevidíte nič (curl skončí chybou 'no route to host' alebo podobnou), kým sa VPN znovu nepripojí, kill switch fungoval. Tento test je deštruktívny iba pre bežiacu reláciu VPN — nevyžaduje žiadny účet ani testovaciu zostavu. Zopakujte ho pre každý protokol VPN, ktorý váš klient podporuje (WireGuard a OpenVPN sa pri opätovnom pripojovaní správajú odlišne).
Kedy kill switch stačí — a kedy nie
Kill switch chráni krátke okno výpadku tunela. Nechráni pred únikmi DNS, keď je tunel aktívny (tie sú samostatným problémom, ktorý rieši konfigurácia DNS danej VPN), a spätne neodúniká dáta, ktoré pretiekli predtým, než bol tunel nadviazaný. VPN vždy spustite skôr, než spustíte aktivitu, ktorá na VPN závisí — kill switche nemajú pamäť.
Zdroje
Audit Mullvadu (Cure53 jún 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audity Proton VPN bez logov: protonvpn.com/blog/no-logs-audit. Audity NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Audity ExpressVPN Lightway: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On VPN: developer.apple.com (hľadajte 'Always-On VPN'). Všetky URL navštívené 2026-04-30.