Kill switch de VPN
¿Qué es Kill switch de VPN?
Kill switch de VPNSalvaguarda que bloquea automaticamente todo el trafico de red del host cuando se cae el tunel VPN, evitando fugas accidentales por una conexion sin cifrar.
Un kill switch de VPN es un control a nivel de host que descarta o rechaza el trafico en cuanto la sesion VPN termina de forma anormal, para que las aplicaciones no usen la red fisica subyacente. Se suele implementar con reglas de firewall del host que solo permiten salida por la interfaz VPN (utun, wg0, tun0) y una regla deny por defecto en la interfaz fisica. Lo logran PostUp/PostDown de WireGuard con iptables/nftables, las reglas de Windows Filtering Platform, los perfiles de Little Snitch y los conmutadores de las apps VPN comerciales. Hay variantes a nivel de aplicacion que bloquean solo procesos concretos (cliente BitTorrent, navegador) en lugar de toda la maquina. Es clave para privacidad, prevencion de fugas y cumplimiento de politicas de tunel completo.
● Ejemplos
- 01
Configuracion WireGuard de un periodista que tira todo el trafico no VPN con nftables cuando el tunel cae.
- 02
Cliente VPN comercial que aplica reglas del firewall de Windows para que el navegador no salga por fuera de la interfaz tun.
● Preguntas frecuentes
¿Qué es Kill switch de VPN?
Salvaguarda que bloquea automaticamente todo el trafico de red del host cuando se cae el tunel VPN, evitando fugas accidentales por una conexion sin cifrar. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Kill switch de VPN?
Salvaguarda que bloquea automaticamente todo el trafico de red del host cuando se cae el tunel VPN, evitando fugas accidentales por una conexion sin cifrar.
¿Cómo funciona Kill switch de VPN?
Un kill switch de VPN es un control a nivel de host que descarta o rechaza el trafico en cuanto la sesion VPN termina de forma anormal, para que las aplicaciones no usen la red fisica subyacente. Se suele implementar con reglas de firewall del host que solo permiten salida por la interfaz VPN (utun, wg0, tun0) y una regla deny por defecto en la interfaz fisica. Lo logran PostUp/PostDown de WireGuard con iptables/nftables, las reglas de Windows Filtering Platform, los perfiles de Little Snitch y los conmutadores de las apps VPN comerciales. Hay variantes a nivel de aplicacion que bloquean solo procesos concretos (cliente BitTorrent, navegador) en lugar de toda la maquina. Es clave para privacidad, prevencion de fugas y cumplimiento de politicas de tunel completo.
¿Cómo defenderse de Kill switch de VPN?
Las defensas contra Kill switch de VPN combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Kill switch de VPN?
Nombres alternativos comunes: Network lock, Kill switch de Internet.
● Términos relacionados
- network-security№ 042
VPN siempre activa (Always-On VPN)
Politica a nivel de dispositivo que establece el tunel VPN en cuanto hay red y rechaza el trafico sin tunelizar; la imponen perfiles de Windows, Apple y Android.
- network-security№ 1215
Tunelizacion dividida (split tunneling)
Configuracion de VPN que enruta solo cierto trafico (por ejemplo, las subredes corporativas) por el tunel cifrado y deja salir el resto directamente a internet.
- privacy№ 339
Fuga de DNS
Fallo de privacidad en el que las consultas DNS escapan del túnel VPN o Tor y se envían en claro al proveedor del usuario o al resolver por defecto.
- network-security№ 1244
WireGuard
Protocolo VPN moderno y minimalista que usa un conjunto fijo de primitivas criptográficas actuales y se integra en el kernel de Linux.
- network-security№ 556
IPsec
Conjunto de protocolos de IETF que autentica y cifra paquetes IP para proporcionar comunicaciones seguras a nivel de red.
- network-security№ 420
Cortafuegos
Dispositivo o software de seguridad de red que supervisa y controla el tráfico entrante y saliente según un conjunto de reglas, separando redes de confianza de las no confiables.