ดาวน์โหลด
กลับไปยัง Blog
ความเป็นส่วนตัว··7 นาที

kill switch VPN คืออะไร?

ภาษา: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийTürkçeУкраїнськаTiếng Việt简体中文繁體中文

kill switch VPN คือฟีเจอร์ที่บล็อกทราฟฟิกเครือข่ายเมื่อทันเนล VPN หลุดการเชื่อมต่อโดยไม่คาดคิด บทความนี้อธิบายว่า kill switch ทำอะไรจริง ๆ พัฒนาขึ้นในระดับระบบปฏิบัติการอย่างไร และจะตรวจสอบได้อย่างไรว่าฟีเจอร์นี้ทำงานถูกต้อง

ความหมาย

kill switch คือกลไกควบคุมในระดับเครือข่ายที่ป้องกันไม่ให้ทราฟฟิก ออกจากอุปกรณ์ผ่านอินเทอร์เฟซที่ไม่ปลอดภัยในขณะที่ VPN ยังเปิดอยู่ในนาม หากทันเนล VPN หลุดการเชื่อมต่อ — ไม่ว่าจะด้วยการเปลี่ยนเครือข่าย เซิร์ฟเวอร์ล่ม หรือเหตุผลอื่นใด — kill switch จะทำให้แน่ใจว่าทราฟฟิกจะไม่ย้อนกลับไปยังอินเทอร์เฟซ เครือข่ายเริ่มต้นอย่างเงียบ ๆ

บางครั้งฟีเจอร์นี้ถูกเรียกว่า “network lock,” “always-on protection,” หรือ “internet kill switch” ด้วย แต่พฤติกรรมการทำงานเหมือนกันไม่ว่าจะเรียกชื่อใด

ทำไมต้องมี kill switch

ทันเนล VPN ไม่ได้เสถียรอย่างสมบูรณ์เสมอไป การเปลี่ยนเครือข่าย — สลับจาก Wi-Fi ไปยังเครือข่ายมือถือ ย้ายระหว่างจุดเข้าถึง ผ่านอุโมงค์ — อาจทำให้การเชื่อมต่อสะดุดเป็นช่วงสั้น ๆ การบำรุงรักษาเซิร์ฟเวอร์ ปัญหาการเชื่อมต่อระหว่างผู้ให้บริการเป็นครั้งคราว หรือข้อผิดพลาดของโปรโตคอลที่พบได้ยาก ก็อาจทำให้การเชื่อมต่อหลุดได้เช่นกัน

หากไม่มี kill switch ระบบปฏิบัติการจะส่งทราฟฟิกผ่านอินเทอร์เฟซใดก็ตาม ที่ยังใช้งานได้ ในมุมมองของผู้ใช้ อุปกรณ์ดูเหมือนยังทำงานได้ตามปกติ — หน้าเว็บโหลดได้ แอปยังเชื่อมต่อได้ — แต่ตอนนี้ทราฟฟิกกำลังวิ่งผ่าน เครือข่ายภายในและ ISP แทนที่จะผ่าน VPN

สำหรับผู้ใช้ที่พึ่งพา VPN เพื่อความเป็นส่วนตัวหรือเพื่อเข้าถึงบริการ ที่จำกัดตามตำแหน่งที่ตั้ง การย้อนกลับอย่างเงียบ ๆ นี้ทำให้จุดประสงค์ ของการใช้ VPN สูญเปล่า kill switch จะทำให้แน่ใจว่าการเชื่อมต่อถูก ระงับไว้แทนที่จะถูกเปลี่ยนเส้นทางอย่างเงียบ ๆ

พัฒนาขึ้นมาอย่างไร

การพัฒนา kill switch แตกต่างกันไปตามแพลตฟอร์ม โดยทั่วไปมีอยู่สองแนวทาง

การพัฒนาในระดับระบบ

บนแพลตฟอร์มที่รองรับ VPN ในตัว kill switch จะถูกบังคับใช้โดย ระบบปฏิบัติการ บน iOS เฟรมเวิร์ก Network Extension มีตัวเลือก “includeAllNetworks” ซึ่งเมื่อใช้ร่วมกับ กฎการกำหนดเส้นทางที่เหมาะสม จะป้องกันไม่ให้ทราฟฟิกออกจากอุปกรณ์ ผ่านอินเทอร์เฟซอื่นใดนอกจากทันเนล การบังคับใช้นี้เกิดขึ้นในระดับเคอร์เนล และมีผลกับทุกแอปพลิเคชัน รวมถึงแอปที่ทำงานอยู่เบื้องหลัง

บน Linux มักจะพัฒนา kill switch โดยใช้กฎไฟร์วอลล์ — iptables หรือ nftables — ที่บล็อกทราฟฟิกทั้งหมดยกเว้นแพ็กเก็ตที่มีปลายทางเป็น ที่อยู่ของเซิร์ฟเวอร์ VPN กฎเหล่านี้จะถูกเพิ่มเมื่อสร้างทันเนล และถูกลบออกเมื่อตัดการเชื่อมต่อโดยตั้งใจ

การพัฒนาในระดับแอปพลิเคชัน

แอป VPN บางตัวพัฒนา kill switch ไว้ภายในตัวแอปเอง โดยคอยตรวจสอบ ทันเนลและปรับกฎการกำหนดเส้นทางหรือไฟร์วอลล์เมื่อการเชื่อมต่อหลุด การพัฒนาในระดับแอปยืดหยุ่นกว่า แต่ต้องอาศัยให้แอปทำงานอยู่ตลอด เพื่อบังคับใช้นโยบาย

การบังคับใช้ในระดับระบบโดยทั่วไปเชื่อถือได้มากกว่า เพราะยังคงทำงาน ต่อไปแม้แอป VPN จะแครชหรือถูกปิด

ประเภทของ kill switch

kill switch สามารถตั้งค่าได้หลายโหมด ซึ่งแตกต่างกันในเรื่องความเข้มงวด ของการบล็อกทราฟฟิก

  • kill switch แบบถาวร ทราฟฟิกจะถูกบล็อกทุกครั้ง ที่ VPN ไม่ได้เชื่อมต่ออยู่ รวมถึงตอนที่ยังไม่ได้เปิดแอปด้วย โหมดนี้ให้การรับประกันที่แข็งแกร่งที่สุด แต่ต้องดำเนินการอย่างชัดเจน เพื่อปิดใช้งาน
  • kill switch แบบเซสชัน ทราฟฟิกจะถูกบล็อกเฉพาะ ระหว่างเซสชัน VPN ที่กำลังทำงานอยู่ หากผู้ใช้ตัดการเชื่อมต่อด้วยตนเอง kill switch จะปิดการทำงานและทราฟฟิกปกติจะกลับมาทำงานต่อ
  • kill switch เฉพาะแอปพลิเคชัน มีให้ใช้บน แพลตฟอร์มเดสก์ท็อปบางตัว โหมดนี้จะบล็อกแอปพลิเคชันบางตัวเมื่อ VPN หลุด ในขณะที่ปล่อยให้แอปอื่นทำงานต่อได้ตามปกติ การตั้งค่านี้ มีประโยชน์สำหรับเครื่องมือที่จัดการกับข้อมูลละเอียดอ่อน แต่ความละเอียด ที่เพิ่มขึ้นก็เพิ่มความซับซ้อนตามไปด้วย

เมื่อใดที่ kill switch ทำงาน

kill switch ออกแบบมาเพื่อรับมือกับสถานการณ์ที่ระบบปฏิบัติการ โดยปกติจะไม่ถือว่าเป็นความล้มเหลว สถานการณ์ที่พบบ่อยได้แก่:

  • เซิร์ฟเวอร์ VPN เข้าถึงไม่ได้เนื่องจากเครือข่ายขัดข้องหรือ การบำรุงรักษาฝั่งเซิร์ฟเวอร์
  • อินเทอร์เฟซเครือข่ายของอุปกรณ์เปลี่ยนไป — ตัวอย่างเช่น การเปลี่ยนจาก Wi-Fi ไปยังเครือข่ายมือถือ — และทันเนลไม่ได้ สร้างขึ้นใหม่อย่างรวดเร็ว
  • ข้อผิดพลาดในระดับโปรโตคอลทำให้ทันเนลยุติการทำงาน
  • เครือข่ายภายในทำแพ็กเก็ตที่ส่งไปยังหรือมาจากเซิร์ฟเวอร์ VPN หล่นหาย รวมถึงในบางกรณีของ captive portal

ในแต่ละสถานการณ์เหล่านี้ kill switch จะระงับทราฟฟิกไว้จนกว่า ทันเนลจะถูกสร้างขึ้นใหม่หรือผู้ใช้ปิดใช้งาน kill switch อย่างชัดเจน

ข้อจำกัด

kill switch เป็นฟีเจอร์เชิงป้องกัน ไม่ใช่ทางออกที่สมบูรณ์ มีข้อจำกัดสองข้อที่ควรกล่าวถึง

การเปลี่ยนผ่านไม่ได้เกิดขึ้นทันทีเสมอไป ระหว่าง ช่วงเวลาที่ทันเนลล้มเหลวกับช่วงเวลาที่ kill switch ทำงานเต็มที่ อาจมีช่องว่างเล็ก ๆ ที่ตามทฤษฎีแล้วทราฟฟิกอาจรั่วได้ บนระบบที่ ออกแบบมาอย่างดี ช่องว่างนี้สั้นพอจนแทบไม่มีนัยสำคัญในทางปฏิบัติ — โดยทั่วไปเพียงไม่กี่มิลลิวินาที — แต่ก็ไม่ได้เป็นศูนย์เสมอไป การพัฒนาในระดับระบบปิดช่องว่างนี้ได้น่าเชื่อถือกว่าการพัฒนาในระดับแอป

การรั่วของ DNS เป็นอีกประเด็นที่แยกต่างหาก kill switch ป้องกันไม่ให้ทราฟฟิก IP ออกผ่านอินเทอร์เฟซที่ไม่ปลอดภัย แต่คำขอ DNS บางครั้งอาจเลี่ยงทันเนลไปทางค่าเริ่มต้นของระบบได้ การตั้งค่าที่สมบูรณ์จะใช้ทั้ง kill switch และการกำหนดเส้นทาง DNS ผ่านทันเนล Snap VPN ตั้งค่าทั้งสองอย่างนี้ไว้เป็นค่าเริ่มต้น

การตรวจสอบ

สามารถตรวจสอบ kill switch ได้ด้วยการจำลองความล้มเหลวของทันเนล และยืนยันว่าทราฟฟิกถูกบล็อก

  1. เชื่อมต่อ VPN และยืนยันว่าบริการรายงาน IP แสดงที่อยู่ของ เซิร์ฟเวอร์
  2. โดยไม่ต้องตัดการเชื่อมต่อผ่านแอป ให้ปิดอินเทอร์เฟซเครือข่าย ที่ VPN กำลังใช้อยู่ — ตัวอย่างเช่น โดยการปิด Wi-Fi ในขณะที่ทันเนลยังทำงานอยู่
  3. ลองโหลดหน้าเว็บ หาก kill switch ทำงานได้ หน้าเว็บควรจะ โหลดไม่ได้จนกว่าทันเนลจะถูกสร้างขึ้นใหม่หรือ kill switch ถูกปิดใช้งานโดยตั้งใจ

บน iOS kill switch จะถูกบังคับใช้ในระดับระบบเมื่อโปรไฟล์ VPN ถูกตั้งค่าด้วยตัวเลือกที่เหมาะสม Snap VPN เปิดใช้ kill switch เป็นค่าเริ่มต้นและไม่ได้แสดงเป็นการตั้งค่าแบบเลือกได้ — ฟีเจอร์นี้เป็นส่วนหนึ่งของการตั้งค่ามาตรฐาน ไม่ใช่การตั้งค่า ที่อาจถูกปิดใช้งานโดยไม่ตั้งใจ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า VPN และสิ่งที่คาดหวังได้ จาก VPN ดู บทแนะนำ VPN ของเรา และ คู่มือการตั้งค่าบน iPhone

The Snap VPN Team
Editorial