¿Puede un cliente VPN que no sea de confianza monitorear mi actividad de red?

Question 1

Cuando estoy conectado a través de VPN, ¿puede el cliente monitorear lo que estoy haciendo en mi máquina?

Depende de lo que realmente instalaron y de cómo esté configurado el cliente VPN.

Un cliente VPN normal no transfiere información sobre lo que estás haciendo en general: el servidor no sabe que estás editando un archivo y no sabe qué archivo estás editando.

Pero sí maneja el tráfico de su red (obviamente) y se puede determinar mucha información a partir de ese tráfico. Por ejemplo, el administrador del servidor VPN puede saber si estás usando TeamViewer (pero no los datos reales, que están cifrados), o si estás viendo YouTube (pero no la URL del vídeo real, que está cifrado), o si estás enviar un correo electrónico (pero no el contenido real del correo electrónico). En otras palabras, verán todo lo que vería su ISP, pero normalmente nada más.

Primero, se puede configurar un cliente VPN para cualquier rutatodotráfico a través del túnel, o simplemente tráfico específico. (Es muy común usar VPN que se conectan solo a las redes de la escuela/empresa y dejan todo lo demás intacto, también conocidas como VPN de "túnel dividido").

Si el cliente es honesto (y no perezoso), puede configurar la VPN para que solo capture el tráfico hacia los servidores de ese cliente, y nada más. Sin embargo, ellospoderTambién configure el cliente VPN para capturar todo su tráfico (o solo el tráfico al sitio web de su competidor, etc.). Por supuesto, habilitar la VPN para todo el tráfico no es malicioso en sí mismo, pero permite que su cliente lo monitoree.

Y en su caso, "Mi dirección IP es diferente cuando estoy conectado a su VPN" es una fuerte indicación de quetodopasa por la VPN.

Pero segundo, no estás 100% seguro de si instalaronjustouna VPN. Ellospodríaha instalado otro software, por ejemplo, algo que registre específicamente todas las visitas a su navegador o rastree qué programa está activo actualmente.

¿Puedo evitar que el cliente supervise mis otras tareas?

Permitiste que el cliente instalara software en tu computadora; ya perdiste.

Éleses posible utilizar una VPN para conectarse a la red del cliente sin dejar de ser seguro; sin embargo, exactamente cómo hacerlo depende del cliente VPN que deba utilizar.

Para empezar, necesitará descargar y configurar el cliente VPN usted mismo a partir de la información proporcionada (en lugar de dejar que el cliente lo haga), y deberá asegurarse de que el cliente VPN no tenga ninguna función de "aprovisionamiento remoto" que permitirle instalar localmente más componentes.

En caso de duda, instale únicamente el software proporcionado por el cliente en una máquina separada (tal vez una VM), nunca en su computadora principal.

Answer

Cuando estoy conectado a través de VPN, ¿puede el cliente monitorear lo que estoy haciendo en mi máquina?

Depende de lo que realmente instalaron y de cómo esté configurado el cliente VPN.

Un cliente VPN normal no transfiere información sobre lo que estás haciendo en general: el servidor no sabe que estás editando un archivo y no sabe qué archivo estás editando.

Pero sí maneja el tráfico de su red (obviamente) y se puede determinar mucha información a partir de ese tráfico. Por ejemplo, el administrador del servidor VPN puede saber si estás usando TeamViewer (pero no los datos reales, que están cifrados), o si estás viendo YouTube (pero no la URL del vídeo real, que está cifrado), o si estás enviar un correo electrónico (pero no el contenido real del correo electrónico). En otras palabras, verán todo lo que vería su ISP, pero normalmente nada más.

Primero, se puede configurar un cliente VPN para cualquier rutatodotráfico a través del túnel, o simplemente tráfico específico. (Es muy común usar VPN que se conectan solo a las redes de la escuela/empresa y dejan todo lo demás intacto, también conocidas como VPN de "túnel dividido").

Si el cliente es honesto (y no perezoso), puede configurar la VPN para que solo capture el tráfico hacia los servidores de ese cliente, y nada más. Sin embargo, ellospoderTambién configure el cliente VPN para capturar todo su tráfico (o solo el tráfico al sitio web de su competidor, etc.). Por supuesto, habilitar la VPN para todo el tráfico no es malicioso en sí mismo, pero permite que su cliente lo monitoree.

Y en su caso, "Mi dirección IP es diferente cuando estoy conectado a su VPN" es una fuerte indicación de quetodopasa por la VPN.

Pero segundo, no estás 100% seguro de si instalaronjustouna VPN. Ellospodríaha instalado otro software, por ejemplo, algo que registre específicamente todas las visitas a su navegador o rastree qué programa está activo actualmente.

¿Puedo evitar que el cliente supervise mis otras tareas?

Permitiste que el cliente instalara software en tu computadora; ya perdiste.

Éleses posible utilizar una VPN para conectarse a la red del cliente sin dejar de ser seguro; sin embargo, exactamente cómo hacerlo depende del cliente VPN que deba utilizar.

Para empezar, necesitará descargar y configurar el cliente VPN usted mismo a partir de la información proporcionada (en lugar de dejar que el cliente lo haga), y deberá asegurarse de que el cliente VPN no tenga ninguna función de "aprovisionamiento remoto" que permitirle instalar localmente más componentes.

En caso de duda, instale únicamente el software proporcionado por el cliente en una máquina separada (tal vez una VM), nunca en su computadora principal.

Question 2

el cliente ha instalado una VPN,

Sí, conceptualmente pueden hacerte lo que quieran, incluido espiar. Si no se confía plenamente en ellos, ya será demasiado tarde para tomar medidas preventivas. Dado que probablemente no sean realmente maliciosos, probablemente sea suficiente limpiar la máquina (es decir, reinstalar el sistema operativo/software).

Mi pregunta es, cuando estoy conectado a través de VPN, ¿puede el cliente monitorear lo que estoy haciendo en mi máquina (como ver YouTube, compartir pantalla o trabajar en el proyecto de otro cliente)?

Además de que ya han rooteado su máquina, si miramos esto desde una perspectiva de red, hay varias formas de configurar una VPN. Uno de ellos es enrutar todo el tráfico a través del túnel de modo que el punto final de VPN lo conecte a Internet. En este caso, podrían ver metadatos sobre qué sitios está visitando y cuándo, pero las cargas útiles cifradas de las conexiones HTTPS o SSH deberían ser seguras. Bueno, además del hecho de que podrían sabotear el cifrado para poder husmear más profundamente... algunosempresaLas herramientas de red de estilo hacen esto de forma predeterminada al instalar el software de punto final del cliente.

Medidas preventivas para la próxima vez

No permita que los clientes instalen software en su máquina. Alguna vez. Especialmente si te sientes incómodo al respecto. Si tener control sobre su máquina de desarrollo es muy importante para ellos, solicite que se le proporcione una. De lo contrario, compre una copia de un buen software de virtualización (básicamente VMWare Workstation) y configure usted mismo la VPN dentro de una VM de desarrollo.

Answer

el cliente ha instalado una VPN,

Sí, conceptualmente pueden hacerte lo que quieran, incluido espiar. Si no se confía plenamente en ellos, ya será demasiado tarde para tomar medidas preventivas. Dado que probablemente no sean realmente maliciosos, probablemente sea suficiente limpiar la máquina (es decir, reinstalar el sistema operativo/software).

Mi pregunta es, cuando estoy conectado a través de VPN, ¿puede el cliente monitorear lo que estoy haciendo en mi máquina (como ver YouTube, compartir pantalla o trabajar en el proyecto de otro cliente)?

Además de que ya han rooteado su máquina, si miramos esto desde una perspectiva de red, hay varias formas de configurar una VPN. Uno de ellos es enrutar todo el tráfico a través del túnel de modo que el punto final de VPN lo conecte a Internet. En este caso, podrían ver metadatos sobre qué sitios está visitando y cuándo, pero las cargas útiles cifradas de las conexiones HTTPS o SSH deberían ser seguras. Bueno, además del hecho de que podrían sabotear el cifrado para poder husmear más profundamente... algunosempresaLas herramientas de red de estilo hacen esto de forma predeterminada al instalar el software de punto final del cliente.

Medidas preventivas para la próxima vez

No permita que los clientes instalen software en su máquina. Alguna vez. Especialmente si te sientes incómodo al respecto. Si tener control sobre su máquina de desarrollo es muy importante para ellos, solicite que se le proporcione una. De lo contrario, compre una copia de un buen software de virtualización (básicamente VMWare Workstation) y configure usted mismo la VPN dentro de una VM de desarrollo.

Question 3

Mi dirección IP es diferente cuando estoy conectado a su VPN.

Suponiendo que te refieres a tu dirección IP pública en Internet, como lo muestra un servicio como WIMI (Cuál es mi IP)https://wimi.com/

Esto significa que el cliente VPN está redirigiendo todo su tráfico a través de la VPN. OpenVPN llama a esto "redireccionamiento de puerta de enlace predeterminada" y todo su tráfico de Internet pasa por su enlace inet, ingresa al de ellos, a través de su red y regresa a Internet.

Cualquier servidor proxy/dispositivo de firewall en su red podría monitorear su tráfico.

La solución a corto plazo sería modificar la tabla de enrutamiento del sistema en su máquina local y restaurar su puerta de enlace predeterminada una vez que la VPN se haya conectado.

Inicie un símbolo del sistema de administrador y ejecute

 route print

Aquí está la parte superior de la tabla de rutas ipv4 de Windows.

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

Le sugiero que compare las diferencias entre la línea de puerta de enlace predeterminada cuando la VPN del cliente está conectada y cuando no está conectada.

Creo que el comando que desea ejecutar (como administrador) inmediatamente después de conectar la VPN del cliente será algo como:

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

Esto pasa por alto cualquier cambio de IPv6 que pueda realizar la VPN. Además, deberá verificar sus solucionadores de DNS en caso de que la VPN envíe todas sus solicitudes de DNS a los servidores DNS del cliente.

Si la VPN del cliente esOpenVPNbasado, puede editar el archivo de configuración local y agregar una línea como

 pull-filter ignore redirect-gateway

Si desea sobrescribir los servidores DNS que vienen con la VPN, una línea como esta ignorará esas configuraciones:

 pull-filter ignore "dhcp-option DNS "

Documentado enhttps://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

Answer