VPN Kill Switch
Что такое VPN Kill Switch?
VPN Kill SwitchЗащитная мера, автоматически блокирующая весь сетевой трафик хоста при разрыве VPN-туннеля, чтобы исключить случайные утечки по незашифрованному каналу.
VPN Kill Switch — это контроль уровня хоста, который сбрасывает или отвергает трафик в момент аварийного завершения VPN-сессии, не давая приложениям откатиться на физическую сеть. Обычно реализуется правилами хост-фаервола: исходящий трафик разрешён только через VPN-интерфейс (utun, wg0, tun0), а на физическом интерфейсе действует default-deny. Тот же принцип реализуют PostUp/PostDown WireGuard вкупе с iptables/nftables, правила Windows Filtering Platform, профили Little Snitch и переключатели kill-switch в коммерческих VPN-клиентах. Бывают и прикладные варианты, блокирующие конкретные процессы (BitTorrent-клиент, браузер). Это критично для приватности, защиты от утечек и соответствия корпоративным политикам full-tunnel.
● Примеры
- 01
Конфигурация WireGuard у журналиста, при разрыве туннеля сбрасывающая весь не-VPN трафик через nftables.
- 02
Коммерческий VPN-клиент задаёт правила Windows Firewall так, чтобы браузер не мог отправлять пакеты в обход tun-интерфейса.
● Частые вопросы
Что такое VPN Kill Switch?
Защитная мера, автоматически блокирующая весь сетевой трафик хоста при разрыве VPN-туннеля, чтобы исключить случайные утечки по незашифрованному каналу. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает VPN Kill Switch?
Защитная мера, автоматически блокирующая весь сетевой трафик хоста при разрыве VPN-туннеля, чтобы исключить случайные утечки по незашифрованному каналу.
Как работает VPN Kill Switch?
VPN Kill Switch — это контроль уровня хоста, который сбрасывает или отвергает трафик в момент аварийного завершения VPN-сессии, не давая приложениям откатиться на физическую сеть. Обычно реализуется правилами хост-фаервола: исходящий трафик разрешён только через VPN-интерфейс (utun, wg0, tun0), а на физическом интерфейсе действует default-deny. Тот же принцип реализуют PostUp/PostDown WireGuard вкупе с iptables/nftables, правила Windows Filtering Platform, профили Little Snitch и переключатели kill-switch в коммерческих VPN-клиентах. Бывают и прикладные варианты, блокирующие конкретные процессы (BitTorrent-клиент, браузер). Это критично для приватности, защиты от утечек и соответствия корпоративным политикам full-tunnel.
Как защититься от VPN Kill Switch?
Защита от VPN Kill Switch обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия VPN Kill Switch?
Распространённые альтернативные названия: Сетевой замок, Internet Kill Switch.
● Связанные термины
- network-security№ 042
Always-On VPN
Политика на уровне устройства, автоматически поднимающая VPN-туннель при появлении сети и отвергающая нетуннелированный трафик; обеспечивается профилями Windows, Apple и Android.
- network-security№ 1215
Раздельное туннелирование VPN
Конфигурация VPN, при которой через зашифрованный туннель идёт только выбранный трафик (например, корпоративные подсети), а остальной выходит напрямую в интернет.
- privacy№ 339
DNS-утечка
Сбой приватности, при котором DNS-запросы обходят VPN- или Tor-туннель и уходят в открытом виде к провайдеру или системному резолверу.
- network-security№ 1244
WireGuard
Современный минималистичный VPN-протокол с фиксированным набором актуальных криптопримитивов, работающий как часть ядра Linux.
- network-security№ 556
IPsec
Набор протоколов IETF, аутентифицирующий и шифрующий IP-пакеты и обеспечивающий безопасную связь на сетевом уровне.
- network-security№ 420
Межсетевой экран
Сетевое устройство или программное обеспечение безопасности, которое контролирует входящий и исходящий трафик в соответствии с заданным набором правил, разделяя доверенные и недоверенные сети.