信頼できない VPN クライアントはネットワークアクティビティを監視できますか?

Question 1

VPN経由で接続している場合、クライアントは私のマシンで何をしているかを監視できますか？

実際にインストールされているものと、VPN クライアントがどのように構成されているかによって異なります。

通常の VPN クライアントは、一般的にユーザーが行っている操作に関する情報を転送しません。サーバーは、ユーザーがファイルを編集していることを知らず、どのファイルを編集しているかも知りません。

しかし、VPN は (当然ですが) ネットワークトラフィックを処理し、そのトラフィックから多くの情報を判断できます。たとえば、VPN サーバーの管理者は、ユーザーが TeamViewer を使用しているかどうか (ただし、実際のデータは暗号化されているためわかりません)、YouTube を視聴しているかどうか (ただし、実際のビデオ URL は暗号化されているためわかりません)、メールを送信しているかどうか (ただし、実際のメールの内容はわかりません) を知ることができます。つまり、ISP が見るものはすべて見ることができますが、通常はそれ以上の情報は見られません。

まず、VPNクライアントはルートを設定することができます全てトンネルを通過するトラフィック、または特定のトラフィックのみ。(学校/会社のネットワークにのみ接続し、他のすべてには影響を与えない VPN (いわゆる「スプリットトンネル」VPN) を使用することは非常に一般的です。)

クライアントが正直であれば（怠け者でなければ）、そのクライアントのサーバーへのトラフィックのみをキャッチし、それ以外は何もキャッチしないようにVPNを設定できます。しかし、できるまた、VPN クライアントを設定して、すべてのトラフィック (または競合他社の Web サイトへのトラフィックのみなど) をキャプチャするようにします。もちろん、すべてのトラフィックに対して VPN を有効にすること自体は悪意のあるものではありませんが、クライアントがあなたを監視できるようになります。

そしてあなたの場合、「VPNに接続しているときにIPアドレスが異なる」というのは、すべてVPNを経由します。

しかし、2番目に、インストールしたかどうかは100％確実ではありませんただVPN。できた他のソフトウェアをインストールしている。たとえば、ブラウザの訪問をすべて記録したり、現在アクティブなプログラムを追跡したりするソフトウェアなどです。

クライアントが他のタスクを監視できないようにすることはできますか?

クライアントがコンピュータにソフトウェアをインストールすることを許可したので、すでに負けています。

それは安全性を保ちながらクライアントのネットワークに接続するために VPN を使用することは可能ですが、これを正確に行う方法は、使用する必要がある VPN クライアントによって異なります。

まず、提供された情報から VPN クライアントを自分でダウンロードして構成する必要があります (クライアントに実行させるのではなく)。また、VPN クライアントに、より多くのコンポーネントをローカルにインストールできるようにする「リモートプロビジョニング」機能がないことを確認する必要があります。

疑わしい場合は、クライアントが提供するソフトウェアを別のマシン（VM など）にのみインストールし、メインコンピュータにはインストールしないでください。

Answer

VPN経由で接続している場合、クライアントは私のマシンで何をしているかを監視できますか？

実際にインストールされているものと、VPN クライアントがどのように構成されているかによって異なります。

通常の VPN クライアントは、一般的にユーザーが行っている操作に関する情報を転送しません。サーバーは、ユーザーがファイルを編集していることを知らず、どのファイルを編集しているかも知りません。

しかし、VPN は (当然ですが) ネットワークトラフィックを処理し、そのトラフィックから多くの情報を判断できます。たとえば、VPN サーバーの管理者は、ユーザーが TeamViewer を使用しているかどうか (ただし、実際のデータは暗号化されているためわかりません)、YouTube を視聴しているかどうか (ただし、実際のビデオ URL は暗号化されているためわかりません)、メールを送信しているかどうか (ただし、実際のメールの内容はわかりません) を知ることができます。つまり、ISP が見るものはすべて見ることができますが、通常はそれ以上の情報は見られません。

まず、VPNクライアントはルートを設定することができます全てトンネルを通過するトラフィック、または特定のトラフィックのみ。(学校/会社のネットワークにのみ接続し、他のすべてには影響を与えない VPN (いわゆる「スプリットトンネル」VPN) を使用することは非常に一般的です。)

クライアントが正直であれば（怠け者でなければ）、そのクライアントのサーバーへのトラフィックのみをキャッチし、それ以外は何もキャッチしないようにVPNを設定できます。しかし、できるまた、VPN クライアントを設定して、すべてのトラフィック (または競合他社の Web サイトへのトラフィックのみなど) をキャプチャするようにします。もちろん、すべてのトラフィックに対して VPN を有効にすること自体は悪意のあるものではありませんが、クライアントがあなたを監視できるようになります。

そしてあなたの場合、「VPNに接続しているときにIPアドレスが異なる」というのは、すべてVPNを経由します。

しかし、2番目に、インストールしたかどうかは100％確実ではありませんただVPN。できた他のソフトウェアをインストールしている。たとえば、ブラウザの訪問をすべて記録したり、現在アクティブなプログラムを追跡したりするソフトウェアなどです。

クライアントが他のタスクを監視できないようにすることはできますか?

クライアントがコンピュータにソフトウェアをインストールすることを許可したので、すでに負けています。

それは安全性を保ちながらクライアントのネットワークに接続するために VPN を使用することは可能ですが、これを正確に行う方法は、使用する必要がある VPN クライアントによって異なります。

まず、提供された情報から VPN クライアントを自分でダウンロードして構成する必要があります (クライアントに実行させるのではなく)。また、VPN クライアントに、より多くのコンポーネントをローカルにインストールできるようにする「リモートプロビジョニング」機能がないことを確認する必要があります。

疑わしい場合は、クライアントが提供するソフトウェアを別のマシン（VM など）にのみインストールし、メインコンピュータにはインストールしないでください。

Question 2

クライアントがVPNをインストールしている場合、

はい、彼らは概念上、スパイ行為を含め、あなたに対して何でもできます。彼らを完全に信頼していない場合は、予防策を講じるにはもう手遅れです。彼らは実際には悪意を持っていない可能性が高いため、マシンを消去する (つまり、OS/ソフトウェアを再インストールする) だけで十分でしょう。

私の質問は、VPN 経由で接続している場合、クライアントは私のマシンで行っていること (YouTube の視聴、画面共有、別のクライアントのプロジェクトでの作業など) を監視できるかどうかです。

すでにあなたのマシンをルート化しているという点に加えて、ネットワークの観点から見ると、VPN を構成する方法はいくつかあります。その 1 つは、すべてのトラフィックをトンネル経由でルーティングし、VPN エンドポイントがインターネットに接続するようにすることです。この場合、どのサイトをいつ訪問したかというメタデータを見ることができますが、HTTPS 接続または SSH 接続の暗号化されたペイロードは安全です。まあ、暗号化を妨害してより深く覗き見できる可能性はありますが...企業スタイルのネットワークツールは、クライアントエンドポイントソフトウェアをインストールするときに、これをデフォルトで実行します。

次回の予防策

クライアントがあなたのマシンにソフトウェアをインストールすることを許可しないでください。絶対に。特に、あなたがそれについて不安を感じる場合は。開発マシンの制御がクライアントにとって非常に重要である場合は、それを提供するよう依頼してください。そうでない場合は、優れた仮想化ソフトウェア (基本的には VMWare Workstation) のコピーを購入し、開発 VM 内で VPN を自分で構成してください。

Answer

クライアントがVPNをインストールしている場合、

はい、彼らは概念上、スパイ行為を含め、あなたに対して何でもできます。彼らを完全に信頼していない場合は、予防策を講じるにはもう手遅れです。彼らは実際には悪意を持っていない可能性が高いため、マシンを消去する (つまり、OS/ソフトウェアを再インストールする) だけで十分でしょう。

私の質問は、VPN 経由で接続している場合、クライアントは私のマシンで行っていること (YouTube の視聴、画面共有、別のクライアントのプロジェクトでの作業など) を監視できるかどうかです。

すでにあなたのマシンをルート化しているという点に加えて、ネットワークの観点から見ると、VPN を構成する方法はいくつかあります。その 1 つは、すべてのトラフィックをトンネル経由でルーティングし、VPN エンドポイントがインターネットに接続するようにすることです。この場合、どのサイトをいつ訪問したかというメタデータを見ることができますが、HTTPS 接続または SSH 接続の暗号化されたペイロードは安全です。まあ、暗号化を妨害してより深く覗き見できる可能性はありますが...企業スタイルのネットワークツールは、クライアントエンドポイントソフトウェアをインストールするときに、これをデフォルトで実行します。

次回の予防策

クライアントがあなたのマシンにソフトウェアをインストールすることを許可しないでください。絶対に。特に、あなたがそれについて不安を感じる場合は。開発マシンの制御がクライアントにとって非常に重要である場合は、それを提供するよう依頼してください。そうでない場合は、優れた仮想化ソフトウェア (基本的には VMWare Workstation) のコピーを購入し、開発 VM 内で VPN を自分で構成してください。

Question 3

VPN に接続すると、IP アドレスが異なります。

WIMI (What Is My IP) のようなサービスで表示されるインターネット上のパブリック IP アドレスを指していると仮定します。https://wimi.com/ より

これは、VPN クライアントがすべてのトラフィックを VPN 経由でリダイレクトしていることを意味します。OpenVPN ではこれを「デフォルトゲートウェイリダイレクト」と呼び、すべてのインターネットトラフィックは、自分の INET リンクから相手のネットワークに送られ、相手のネットワークを経由してインターネットに戻ります。

ネットワーク内のプロキシサーバー/ファイアウォールデバイスはトラフィックを監視する可能性があります。

短期的な解決策としては、ローカルマシン上のシステムのルーティングテーブルを変更し、VPN が接続されたらデフォルトゲートウェイを復元します。

管理者コマンドプロンプトを起動して実行します

 route print

以下は、Windows IPv4 ルートテーブルの上部です。

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

顧客の VPN が接続されているときと接続されていないときのデフォルトゲートウェイラインの違いを比較することをお勧めします。

クライアント VPN に接続した直後に (管理者として) 実行するコマンドは次のようになると思います。

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

これにより、VPN が行う可能性のある IPv6 の変更が無視されます。また、VPN がすべての DNS 要求をクライアントの DNS サーバーに送信する場合に備えて、DNS リゾルバーをチェックする必要があります。

クライアントVPNがオープンVPNローカルの設定ファイルを編集して、次のような行を追加することができます。

 pull-filter ignore redirect-gateway

VPN に付属する DNS サーバーを上書きしたい場合は、次のような行でそれらの設定を無視します。

 pull-filter ignore "dhcp-option DNS "

文書化されている場所https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

Answer