Wifiベースの攻撃を阻止する上でiOSの「VPNにすべてのトラフィックを送信する」設定はどの程度効果的ですか?
iOSバージョン5以降には、VPNがそのVPN経由で「すべてのトラフィックを送信」する設定があります。すべてのデータを信頼できるVPNターゲットに送信すると、そのWiFiリンクを介して送信されるすべての通信のプライバシーが確保され、HTTP Cookieの開示も防止されると思います。
- Wi-Fi経由でユーザーのトラフィックを保護する上で、その設定はどの程度効果的または信頼できますか?
VPNを介してキャプチャおよびリダイレクトされるすべてのデータだけでなく、VPNが確立される前にDNSルックアップを含むすべてを拒否する(またはそれらを制限する)ことにも関心があります。
私の直感では、VPNホスト名はDNSを介して解決する必要があるため、「送信[〜#〜] all [〜#〜]データ」というチェックボックスには例外があります。
VPNの「すべてのデータを送信」設定から除外されるアプリケーション、API、またはサービスは何ですか?
VPNプロファイルで保護されることが予想されるホストのDNS名を偽装できますか?
VPNが安全にセットアップされていると仮定すると、これはWiFi攻撃に対する優れた保護を提供します。
VPNのセットアップに必要なトラフィックはすべてWiFiに直接送られるのは当然です。 VPNのセットアップ中にDNSスプーフィングが発生する可能性があります。 VPNの正確な設定によっては、VPNがこれに対して(サーバー証明書または共有シークレットによって)保護する場合としない場合があります。
私が理解しているように、VPNがセットアップされ、「Send All Traffic to VPN」が有効になっていると、DNSクエリはVPNを経由します。したがって、WiFiネットワークでのDNSスプーフィングから安全です(ただし、同じVPN上の誰かがあなたをスプーフィングする可能性があります)。注:これは実際にはWiresharkでテストしていませんが、興味深い演習になります。
この機能はSplit-tunnelingと呼ばれています。 「すべてのトラフィックをVPNに送信する」が有効になっていると、ローカルネットワークトラフィックがVPN経由でルーティングされなくなります。このアイデアは、ローカルにルーティングされたネットワークがVPN経由で送信されるのを防ぐことです。
要するに、これを有効にすると、すべてのトラフィックがVPNトンネルによって暗号化されます。ローカルトラフィックはVPNを通過します。
無効になっていて、インターネットを閲覧している場合、VPNによって提供されるルーティングに応じて、ローカルでWiFiまたはVPNを通過できます。