Ein Linux-Killswitch ist ein Muss für jeden ernsthaften Linux-VPN-Benutzer. Es schützt Ihre Daten vor dem Durchsickern ins Internet, indem verhindert wird, dass jemand auf Ihre Daten zugreift, selbst wenn die Verbindung zum VPN getrennt ist. Es stellt auch sicher, dass alle Informationen vertraulich bleiben, unabhängig davon, was dazwischen passiert.
Für einen Cyberkriminellen ist ein Notausschalter ein Albtraum. Es ist ein erhebliches Hindernis, das zwischen ihnen und ihrem Ziel steht. Wenn die Verbindung zu Ihrem VPN auch nur für eine Sekunde unterbrochen wird, weil Ihr Computer oder Telefon einfriert, abstürzt oder Sie versehentlich das Kabel durchtrennt haben – solange Sie einen Notausschalter aktiviert haben – kann niemand auf diese Daten zugreifen.
Voraussetzungen
Um mitzumachen, benötigen Sie:
- Die Konfigurationsdatei zur Verbindung mit Ihrem VPN-Anbieter. Dieser Artikel verwendet NordVPN als VPN-Anbieter.
- Ein Ubuntu-Gerät mit dem OpenVPN-Client. Die Beispiele verwenden Ubuntu 20.04 und OpenVPN 2.5.3.
Installieren der unkomplizierten Firewall (UFW)
In diesem Tutorial hängt der Linux-Killswitch von der Konfiguration der Firewall ab. Installieren Sie zunächst die unkomplizierte Firewall (UFW) auf Ihrem Gerät und richten Sie die Firewall so ein, dass sie als Notausschalter fungiert.
Bevor Sie loslegen, vergewissern Sie sich, dass Ihre Linux-Distribution auf dem neuesten Stand ist, da Ihre UFW-Firewall sonst möglicherweise nicht wie erwartet funktioniert. Beispielsweise lädt die UFW möglicherweise die Einstellungen beim Start nicht oder eine hinzugefügte/entfernte Regel wird nicht geladen.
1. Führen Sie sudo apt install ufw -y aus um die Firewall zu installieren.
Die UFW-Firewall ist standardmäßig auf den meisten Ubuntu-Distributionen installiert, sodass Sie UFW möglicherweise bereits installiert haben.
2. Starten Sie den UFW-Dienst mit sudo systemctl start ufw .
3. Überprüfen Sie, ob die UFW-Installation erfolgreich war. Führen Sie sudo systemctl status ufw aus Befehl, und wenn erfolgreich, zeigt die Ausgabe active (beendet) in grün wie unten zu sehen.
4. Starten Sie UFW mit sudo ufw enable . Drücken Sie Y und dann Enter wenn Sie gefragt werden, ob Sie mit Vorgang fortfahren möchten (y|n)?
Zulassen von Fernzugriffsprotokollen
Nachdem die Firewall installiert ist, müssen Sie UFW konfigurieren, um alle Protokolle zuzulassen, die Sie mit dem VPN verwenden möchten.
Stellen Sie zunächst sicher, dass Sie nicht von Ihrem Client ausgeschlossen sind:Sie müssen sich möglicherweise über SSH anmelden, wenn etwas mit Ihrer OpenVPN-Verbindung schief geht. Wenn die Verbindung unterbrochen wird und Sie sich nicht über SSH anmelden können, müssen Sie physisch auf das Gerät zugreifen, um wieder einzusteigen.
1. SSH-Verbindungen mit dem sudo ufw allow ssh zulassen Befehl. Die UFW-Firewall liest die Ports und das Protokoll in /etc/services Datei und öffnet die Ports entsprechend. Sie können die Befehlsausgabe unten überprüfen.
Es wird dringend empfohlen, eine zusätzliche Sicherheitsebene hinzuzufügen, indem Sie Ihre Benutzer auffordern, sich mit einem SSH-Schlüssel zu authentifizieren, wenn sie sich über OpenVPN verbinden. Dieses Verfahren schützt vor Brute-Force-Angriffen und nicht autorisierten Verbindungen.
2. Als Nächstes müssen Sie Regeln hinzufügen, um das VNC-Protokoll zuzulassen, indem Sie Datenverkehr an den entsprechenden Ports zulassen.
Das VNC-Protokoll ist optional. VNC ermöglicht den Fernzugriff, ähnlich wie SSH. VNC bietet eine grafische Konsole, während SSH nur eine Textkonsole zulässt. Erlauben Sie VNC-Verkehr mit sudo ufw allow 5901:5910/tcp Befehl.
Diese Befehle geben eine Ausgabe wie die folgende aus.
3. Stellen Sie nach dem Hinzufügen Ihrer Regeln sicher, dass sie erfolgreich angewendet werden. Die sudo ufw show added listet alle hinzugefügten Regeln auf, wie Sie unten sehen können.
VPN-Kill-Switch konfigurieren
In diesem Abschnitt erfahren Sie, wie Sie den eigentlichen Notausschalter mithilfe der UFW-Firewall einrichten. Führen Sie zum Starten die folgenden zwei Befehle aus.
sudo ufw default deny outgoingsudo ufw default deny incoming
Die ufw default deny Der Befehl blockiert den gesamten ausgehenden/eingehenden Datenverkehr zu/von Ihrem Computer, abgesehen von der explizit zugelassenen SSH-Verbindung und den Remote-Protokollen, die Sie in den vorherigen Abschnitten eingerichtet haben. Sie können das Ergebnis der Befehle im Screenshot unten sehen.
Fügen Sie als Nächstes eine Ausnahme zum UFW-Regelsatz hinzu, damit Ihr Computer eine Verbindung zum VPN-Server herstellen kann:Sie benötigen Ihre VPN-Server-Konfigurationsdatei. In diesem Tutorial haben die OpenVPN-Dateien den Namen ata.ovpn und von der NordVPN-Site heruntergeladen werden.
Der Name Ihrer OpenVPN-Konfigurationsdatei kann anders sein. Dieses Tutorial verwendet die Namenskonvention „ata“, aber Sie können Ihren Namen frei wählen, wie Sie es für angemessen halten!
Sehen Sie sich als Nächstes die Datei ata.opvn an OpenVPN-Konfigurationsdatei mit dem Befehl sudo head /etc/ata.ovpn . Die resultierende Ausgabe enthält Informationen wie den Port , Protokoll und IP-Adresse des VPN-Servers, mit dem Sie sich verbinden, wobei NordVPN als Beispiel unten gezeigt wird.
Um den richtigen UFW-Befehl zu erstellen, notieren Sie sich den Port , Protokoll und öffentliche IP-Adresse info Ausgabe aus der Konfigurationsdatei.
Erstellen Sie als Nächstes den ufw allow out Befehl wie folgt:sudo ufw allow out to 69.28.83.134 port 1194 proto udp . Wie Sie sehen können, stammen die verwendete IP-Adresse und der verwendete Port aus der Konfigurationszeile, beginnend mit remote und das Protokoll ab der Zeile, die mit proto beginnt .
In diesem Beispiel wird NordVPN als VPN-Anbieter verwendet. Für NordVPN muss der 1194 UDP-Port offen sein. Wenn Sie beispielsweise Express VPN verwenden, muss der UDP-Port 1195 geöffnet sein, nicht der Port 1194. Jeder VPN-Anbieter kann eigene UDP-Ports haben.
Erstellen einer Firewall-Ausnahme für OpenVPN
Für eine ordnungsgemäße Verwendung müssen Sie OpenVPN natürlich durch die Firewall zulassen. Bis zu diesem Punkt haben Sie den gesamten eingehenden und ausgehenden Datenverkehr mit Ausnahme einiger Ports blockiert.
Zunächst müssen Sie den Netzwerkschnittstellennamen finden, den der OpenVPN-Client verwendet. Führen Sie ifconfig aus Befehl, um alle konfigurierten Netzwerkschnittstellennamen aufzulisten, wie unten gezeigt.
Beachten Sie die Netzwerkschnittstelle mit dem Namen tun0 in der Ergebnisliste. Die tun0 Schnittstelle ist die VPN-Schnittstelle, über die der gesamte eingehende und ausgehende Datenverkehr geleitet wird, und die Schnittstelle, die zugelassen werden soll. Es ist eine virtuelle Schnittstelle, die beim Booten hinzugefügt wird, was einfach bedeutet, dass es sich nicht um eine physische Verbindung handelt. Diese Schnittstelle ist die Standardeinstellung in OpenVPN.
Fügen Sie eine Firewall-Ausnahme für die VPN-Tunnelschnittstelle hinzu, die Sie mit ifconfig gefunden haben um den gesamten Datenverkehr durchzuzwingen. Andernfalls besteht kein Internetzugang und Ihr Notausschalter fällt aus. Führen Sie den folgenden Befehl aus, um eine Ausnahme für OpenVPN-Datenverkehr auf tun0 hinzuzufügen Schnittstelle.
sudo ufw allow out on tun0 from any to any
Einige Anwendungen, z. B. der Zugriff auf eine Voice-Chat-Anwendung während des Spielens, erfordern eingehende Verbindungen über das VPN. Führen Sie den folgenden Befehl aus, um eingehende Verbindungen zuzulassen:
sudo ufw allow in on tun0 from any to any
Konfigurieren des OpenVPN-Clients
In diesem letzten Abschnitt konfigurieren Sie den OpenVPN-Client so, dass er unter Verwendung der zuvor erstellten Konfiguration als Dienst ausgeführt wird.
Beginnen Sie mit dem Umbenennen Ihrer Klartextdatei ata.opvn file **(Ihr Dateiname kann abweichen) in ata.conf . Um den OpenVPN-Client als Systemdienst im Hintergrund auszuführen, muss der Dateiname mit der Dateierweiterung *.conf benannt werden. Zusätzlich verschieben Sie die Datei auch nach /etc/openvpn Verzeichnis.
Verschieben Sie die Konfigurationsdatei mit sudo mv /root/ata.ovpn /etc/openvpn/ata.conf .
Wechseln Sie nun in das Verzeichnis /etc/openvpn und vergewissern Sie sich, dass die Datei vorhanden ist.
cd /etc/openvpn
ls
Mit der Konfigurationsdatei im Verzeichnis /etc/openvpn Verzeichnis starten Sie den OpenVPN-Client-Dienst mit dem systemctl Befehl. Führen Sie zum Starten des Dienstes Folgendes aus:sudo systemctl start [email protected] .
Der „ata“-Teil des OpenVPN-Clientnamens stammt aus dem Namen der verwendeten Konfigurationsdatei. Ihre kann je nach Dateiname abweichen.
Um zu überprüfen, ob der OpenVPN-Dienst ausgeführt wird, verwenden Sie den systemctl status Befehl wie folgt.
sudo systemctl status [email protected]Wie unten gezeigt, ist aktiv (läuft) grüner Status des OpenVPN-Dienstes wird angezeigt.
Schließlich müssen Sie Ihr Gerät so konfigurieren, dass es sich automatisch mit Ihrem VPN-Dienst verbindet. Durch die automatische Verbindung mit dem VPN wird sichergestellt, dass OpenVPN immer ausgeführt wird, auch wenn Sie Ihren Computer neu starten.
Führen Sie sudo systemctl enable [email protected] aus Befehl, und von nun an verbindet sich der OpenVPN-Dienst automatisch mit dem VPN, sobald der OpenVPN-Dienst gestartet wird.
Schlussfolgerung
Dieser Artikel hat Ihnen alle Schritte gezeigt, die zum Einrichten eines Linux-Killswitch für Ihre VPN-Verbindung erforderlich sind. Ein Notausschalter trennt die Netzwerkverbindung von Ihrem Computer, wenn die Verbindung unerwartet unterbrochen wird, wodurch Datenlecks verhindert werden und Sie online sicher bleiben.