Kann ein nicht vertrauenswürdiger VPN-Client meine Netzwerkaktivität überwachen?

Question 1

Wenn ich über VPN verbunden bin, kann der Client überwachen, was ich auf meinem Rechner mache?

Es hängt davon ab, was sie tatsächlich installiert haben und wie der VPN-Client konfiguriert ist.

Ein normaler VPN-Client überträgt grundsätzlich keine Informationen darüber, was Sie tun – der Server weiß nicht, dass Sie eine Datei bearbeiten, und er weiß nicht, welche Datei Sie bearbeiten.

Aber es verarbeitet (natürlich) Ihren Netzwerkverkehr und aus diesem Verkehr können viele Informationen ermittelt werden. Der Administrator des VPN-Servers kann beispielsweise wissen, ob Sie TeamViewer verwenden (aber nicht die eigentlichen Daten – diese sind verschlüsselt), ob Sie YouTube ansehen (aber nicht die eigentliche Video-URL – diese ist verschlüsselt) oder ob Sie eine E-Mail senden (aber nicht den eigentlichen E-Mail-Inhalt). Mit anderen Worten, er sieht alles, was Ihr ISP sehen würde, aber normalerweise nicht mehr.

Zunächst kann ein VPN-Client so konfiguriert werden, dass er entwederalleDatenverkehr durch den Tunnel oder nur bestimmter Datenverkehr. (Es ist sehr üblich, VPNs zu verwenden, die nur eine Verbindung zu Schul-/Firmennetzwerken herstellen und alles andere unberührt lassen, sogenannte „Split-Tunnel“-VPNs.)

Wenn der Client ehrlich (und nicht faul) ist, kann er das VPN so konfigurieren, dass es nur den Datenverkehr zu den Servern dieses Clients erfasst und sonst nichts. AllerdingsdürfenKonfigurieren Sie den VPN-Client auch so, dass er Ihren gesamten Datenverkehr erfasst (oder nur den Datenverkehr zur Website des Konkurrenten usw.). Natürlich ist die Aktivierung des VPN für den gesamten Datenverkehr an sich nicht bösartig, aber Ihr Client kann Sie dadurch überwachen.

Und in Ihrem Fall ist „Meine IP-Adresse ist anders, wenn ich mit deren VPN verbunden bin“ ein starker Hinweis darauf, dassallesgeht über das VPN.

Aber zweitens sind Sie nicht 100% sicher, ob sie installiert habenNurein VPN. Siekönnteandere Software installiert haben, z. B. etwas, das gezielt alle Ihre Browserbesuche protokolliert oder verfolgt, welches Programm gerade aktiv ist.

Kann ich verhindern, dass der Client meine anderen Aufgaben überwacht?

Sie haben dem Kunden erlaubt, Software auf Ihrem Computer zu installieren – Sie haben bereits verloren.

EsIstEs ist möglich, über ein VPN eine Verbindung zum Netzwerk des Clients herzustellen und dabei trotzdem sicher zu bleiben. Wie Sie dabei genau vorgehen, hängt allerdings davon ab, welchen VPN-Client Sie verwenden müssen.

Zunächst müssen Sie den VPN-Client selbst anhand der bereitgestellten Informationen herunterladen und konfigurieren (anstatt dies dem Client zu überlassen) und Sie müssen sicherstellen, dass der VPN-Client keine „Remote Provisioning“-Funktionen besitzt, die ihm die lokale Installation weiterer Komponenten ermöglichen würden.

Installieren Sie im Zweifelsfall vom Client bereitgestellte Software nur auf einem separaten Computer (möglicherweise einer VM) – niemals auf Ihrem Hauptcomputer.

Answer

Wenn ich über VPN verbunden bin, kann der Client überwachen, was ich auf meinem Rechner mache?

Es hängt davon ab, was sie tatsächlich installiert haben und wie der VPN-Client konfiguriert ist.

Ein normaler VPN-Client überträgt grundsätzlich keine Informationen darüber, was Sie tun – der Server weiß nicht, dass Sie eine Datei bearbeiten, und er weiß nicht, welche Datei Sie bearbeiten.

Aber es verarbeitet (natürlich) Ihren Netzwerkverkehr und aus diesem Verkehr können viele Informationen ermittelt werden. Der Administrator des VPN-Servers kann beispielsweise wissen, ob Sie TeamViewer verwenden (aber nicht die eigentlichen Daten – diese sind verschlüsselt), ob Sie YouTube ansehen (aber nicht die eigentliche Video-URL – diese ist verschlüsselt) oder ob Sie eine E-Mail senden (aber nicht den eigentlichen E-Mail-Inhalt). Mit anderen Worten, er sieht alles, was Ihr ISP sehen würde, aber normalerweise nicht mehr.

Zunächst kann ein VPN-Client so konfiguriert werden, dass er entwederalleDatenverkehr durch den Tunnel oder nur bestimmter Datenverkehr. (Es ist sehr üblich, VPNs zu verwenden, die nur eine Verbindung zu Schul-/Firmennetzwerken herstellen und alles andere unberührt lassen, sogenannte „Split-Tunnel“-VPNs.)

Wenn der Client ehrlich (und nicht faul) ist, kann er das VPN so konfigurieren, dass es nur den Datenverkehr zu den Servern dieses Clients erfasst und sonst nichts. AllerdingsdürfenKonfigurieren Sie den VPN-Client auch so, dass er Ihren gesamten Datenverkehr erfasst (oder nur den Datenverkehr zur Website des Konkurrenten usw.). Natürlich ist die Aktivierung des VPN für den gesamten Datenverkehr an sich nicht bösartig, aber Ihr Client kann Sie dadurch überwachen.

Und in Ihrem Fall ist „Meine IP-Adresse ist anders, wenn ich mit deren VPN verbunden bin“ ein starker Hinweis darauf, dassallesgeht über das VPN.

Aber zweitens sind Sie nicht 100% sicher, ob sie installiert habenNurein VPN. Siekönnteandere Software installiert haben, z. B. etwas, das gezielt alle Ihre Browserbesuche protokolliert oder verfolgt, welches Programm gerade aktiv ist.

Kann ich verhindern, dass der Client meine anderen Aufgaben überwacht?

Sie haben dem Kunden erlaubt, Software auf Ihrem Computer zu installieren – Sie haben bereits verloren.

EsIstEs ist möglich, über ein VPN eine Verbindung zum Netzwerk des Clients herzustellen und dabei trotzdem sicher zu bleiben. Wie Sie dabei genau vorgehen, hängt allerdings davon ab, welchen VPN-Client Sie verwenden müssen.

Zunächst müssen Sie den VPN-Client selbst anhand der bereitgestellten Informationen herunterladen und konfigurieren (anstatt dies dem Client zu überlassen) und Sie müssen sicherstellen, dass der VPN-Client keine „Remote Provisioning“-Funktionen besitzt, die ihm die lokale Installation weiterer Komponenten ermöglichen würden.

Installieren Sie im Zweifelsfall vom Client bereitgestellte Software nur auf einem separaten Computer (möglicherweise einer VM) – niemals auf Ihrem Hauptcomputer.

Question 2

Der Kunde hat ein VPN installiert,

Ja, sie können Ihnen prinzipiell alles antun, was sie wollen, einschließlich Spionage. Wenn Sie ihnen nicht absolut vertrauen, ist es für vorbeugende Maßnahmen bereits zu spät. Da sie wahrscheinlich nicht wirklich bösartig sind, reicht es wahrscheinlich aus, den Computer einfach zu löschen (d. h. das Betriebssystem/die Software neu zu installieren).

Meine Frage ist: Wenn ich über VPN verbunden bin, kann der Client dann überwachen, was ich auf meinem Rechner mache (z. B. YouTube ansehen, Bildschirm teilen oder an dem Projekt eines anderen Kunden arbeiten)?

Abgesehen davon, dass sie Ihren Rechner bereits gerootet haben, gibt es aus reiner Netzwerkperspektive mehrere Möglichkeiten, ein VPN zu konfigurieren. Eine davon besteht darin, den gesamten Datenverkehr durch den Tunnel zu leiten, sodass der VPN-Endpunkt Sie mit dem Internet verbindet. In diesem Fall könnten sie Metadaten darüber sehen, welche Websites Sie wann besuchen, aber die verschlüsselten Nutzdaten von HTTPS- oder SSH-Verbindungen sollten sicher sein. Abgesehen davon, dass sie die Verschlüsselung sabotieren könnten, sodass sie tiefer schnüffeln können ... einigeUnternehmenNetzwerktools im alten Stil tun dies standardmäßig, wenn sie Client-Endpunktsoftware installieren.

Vorbeugende Maßnahmen für das nächste Mal

Erlauben Sie Kunden nicht, Software auf Ihrem Computer zu installieren. Niemals. Insbesondere, wenn Sie sich dabei unwohl fühlen. Wenn es ihnen sehr wichtig ist, die Kontrolle über Ihren Entwicklungscomputer zu haben, bitten Sie darum, dass ihnen einer zur Verfügung gestellt wird. Andernfalls kaufen Sie eine Kopie einer guten Virtualisierungssoftware (im Wesentlichen VMWare Workstation) und konfigurieren Sie das VPN selbst innerhalb einer Entwicklungs-VM.

Answer

Der Kunde hat ein VPN installiert,

Ja, sie können Ihnen prinzipiell alles antun, was sie wollen, einschließlich Spionage. Wenn Sie ihnen nicht absolut vertrauen, ist es für vorbeugende Maßnahmen bereits zu spät. Da sie wahrscheinlich nicht wirklich bösartig sind, reicht es wahrscheinlich aus, den Computer einfach zu löschen (d. h. das Betriebssystem/die Software neu zu installieren).

Meine Frage ist: Wenn ich über VPN verbunden bin, kann der Client dann überwachen, was ich auf meinem Rechner mache (z. B. YouTube ansehen, Bildschirm teilen oder an dem Projekt eines anderen Kunden arbeiten)?

Abgesehen davon, dass sie Ihren Rechner bereits gerootet haben, gibt es aus reiner Netzwerkperspektive mehrere Möglichkeiten, ein VPN zu konfigurieren. Eine davon besteht darin, den gesamten Datenverkehr durch den Tunnel zu leiten, sodass der VPN-Endpunkt Sie mit dem Internet verbindet. In diesem Fall könnten sie Metadaten darüber sehen, welche Websites Sie wann besuchen, aber die verschlüsselten Nutzdaten von HTTPS- oder SSH-Verbindungen sollten sicher sein. Abgesehen davon, dass sie die Verschlüsselung sabotieren könnten, sodass sie tiefer schnüffeln können ... einigeUnternehmenNetzwerktools im alten Stil tun dies standardmäßig, wenn sie Client-Endpunktsoftware installieren.

Vorbeugende Maßnahmen für das nächste Mal

Erlauben Sie Kunden nicht, Software auf Ihrem Computer zu installieren. Niemals. Insbesondere, wenn Sie sich dabei unwohl fühlen. Wenn es ihnen sehr wichtig ist, die Kontrolle über Ihren Entwicklungscomputer zu haben, bitten Sie darum, dass ihnen einer zur Verfügung gestellt wird. Andernfalls kaufen Sie eine Kopie einer guten Virtualisierungssoftware (im Wesentlichen VMWare Workstation) und konfigurieren Sie das VPN selbst innerhalb einer Entwicklungs-VM.

Question 3

Meine IP-Adresse ist anders, wenn ich mit ihrem VPN verbunden bin.

Angenommen, Sie beziehen sich auf Ihre öffentliche IP-Adresse im Internet, wie sie von einem Dienst wie WIMI (What Is My IP) angezeigt wird.https://wimi.com/

Das bedeutet, dass der VPN-Client Ihren gesamten Datenverkehr über das VPN umleitet. OpenVPN nennt das „Standard-Gateway-Umleitung“ und Ihr gesamter Internetverkehr geht über Ihren Internet-Link zu ihrem, durch ihr Netzwerk und wieder zurück ins Internet.

Jedes Proxyserver-/Firewall-Gerät in ihrem Netzwerk könnte Ihren Datenverkehr überwachen.

Die kurzfristige Lösung besteht darin, die Routing-Tabelle des Systems auf Ihrem lokalen Computer zu ändern und Ihr Standard-Gateway wiederherzustellen, sobald die VPN-Verbindung hergestellt ist.

Starten Sie eine Administrator-Eingabeaufforderung und führen Sie aus

 route print

Hier ist die Spitze der Windows-IPv4-Routingtabelle.

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

Ich schlage vor, dass Sie die Unterschiede zwischen der Leitung des Standard-Gateways vergleichen, wenn das Kunden-VPN verbunden ist und wenn es nicht verbunden ist.

Ich denke, der Befehl, den Sie (als Administrator) unmittelbar nach der Verbindung mit dem Client-VPN ausführen möchten, wird etwa so aussehen:

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

Dadurch werden alle IPv6-Änderungen, die das VPN möglicherweise vornimmt, ignoriert. Außerdem müssen Sie Ihre DNS-Resolver überprüfen, falls das VPN alle Ihre DNS-Anfragen an die DNS-Server des Clients sendet.

Wenn das Client-VPNOpenVPNbasierend, können Sie die lokale Konfigurationsdatei bearbeiten und eine Zeile wie

 pull-filter ignore redirect-gateway

Wenn Sie die mit dem VPN gelieferten DNS-Server überschreiben möchten, werden diese Einstellungen mit einer Zeile wie dieser ignoriert:

 pull-filter ignore "dhcp-option DNS "

Dokumentiert beihttps://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

Answer