Um cliente VPN não confiável pode monitorar minha atividade de rede?

Question 1

quando estou conectado via VPN, o cliente pode monitorar o que estou fazendo na minha máquina

Depende do que eles realmente instalaram e de como o cliente VPN está configurado.

Um cliente VPN normal não transfere informações sobre o que você está fazendo em geral – o servidor não sabe que você está editando um arquivo e não sabe qual arquivo você está editando.

Mas ele lida com o tráfego da sua rede (obviamente) e muitas informações podem ser determinadas a partir desse tráfego. Por exemplo, o administrador do servidor VPN pode saber se você está usando o TeamViewer (mas não os dados reais – que são criptografados), ou se você está assistindo ao YouTube (mas não o URL do vídeo real – que é criptografado), ou se você está enviar um e-mail (mas não o conteúdo real do e-mail). Em outras palavras, eles verão tudo o que o seu ISP veria, mas geralmente nada mais.

Então, primeiro, um cliente VPN pode ser configurado para roteartodostráfego através do túnel, ou apenas tráfego específico. (É muito comum usar VPNs que se conectam apenas a redes escolares/empresariais, deixando todo o resto intacto, também conhecidas como VPNs de "túnel dividido".)

Se o cliente for honesto (e não preguiçoso), ele poderá configurar a VPN para capturar apenas o tráfego dos servidores desse cliente e nada mais. No entanto, elespodeconfigure também o cliente VPN para capturar todo o seu tráfego (ou apenas o tráfego para o site do concorrente, etc.). É claro que habilitar a VPN para todo o tráfego não é nada malicioso por si só, mas permite que seu cliente monitore você.

E no seu caso, "Meu endereço IP é diferente quando estou conectado à VPN deles" é uma forte indicação de quetudopassa pela VPN.

Mas segundo, você não tem 100% de certeza se eles instalaramapenasuma VPN. Elespoderiainstalou outro software, por exemplo, algo que registre especificamente todas as visitas do seu navegador ou rastreie qual programa está ativo no momento.

Posso impedir que o cliente monitore minhas outras tarefas?

Você permitiu que o cliente instalasse software em seu computador – você já perdeu.

Istoéé possível usar uma VPN para conectar-se à rede do cliente mantendo-se seguro; no entanto, exatamente como fazer isso depende de qual cliente VPN você deve usar.

Para começar, você mesmo precisaria baixar e configurar o cliente VPN a partir das informações fornecidas (em vez de deixar o cliente fazer isso) e precisaria ter certeza de que o cliente VPN não possui nenhum recurso de "provisionamento remoto" que poderia permitir que ele instale localmente mais componentes.

Em caso de dúvida, instale qualquer software fornecido pelo cliente apenas em uma máquina separada (talvez uma VM) – nunca em seu computador principal.

Answer

quando estou conectado via VPN, o cliente pode monitorar o que estou fazendo na minha máquina

Depende do que eles realmente instalaram e de como o cliente VPN está configurado.

Um cliente VPN normal não transfere informações sobre o que você está fazendo em geral – o servidor não sabe que você está editando um arquivo e não sabe qual arquivo você está editando.

Mas ele lida com o tráfego da sua rede (obviamente) e muitas informações podem ser determinadas a partir desse tráfego. Por exemplo, o administrador do servidor VPN pode saber se você está usando o TeamViewer (mas não os dados reais – que são criptografados), ou se você está assistindo ao YouTube (mas não o URL do vídeo real – que é criptografado), ou se você está enviar um e-mail (mas não o conteúdo real do e-mail). Em outras palavras, eles verão tudo o que o seu ISP veria, mas geralmente nada mais.

Então, primeiro, um cliente VPN pode ser configurado para roteartodostráfego através do túnel, ou apenas tráfego específico. (É muito comum usar VPNs que se conectam apenas a redes escolares/empresariais, deixando todo o resto intacto, também conhecidas como VPNs de "túnel dividido".)

Se o cliente for honesto (e não preguiçoso), ele poderá configurar a VPN para capturar apenas o tráfego dos servidores desse cliente e nada mais. No entanto, elespodeconfigure também o cliente VPN para capturar todo o seu tráfego (ou apenas o tráfego para o site do concorrente, etc.). É claro que habilitar a VPN para todo o tráfego não é nada malicioso por si só, mas permite que seu cliente monitore você.

E no seu caso, "Meu endereço IP é diferente quando estou conectado à VPN deles" é uma forte indicação de quetudopassa pela VPN.

Mas segundo, você não tem 100% de certeza se eles instalaramapenasuma VPN. Elespoderiainstalou outro software, por exemplo, algo que registre especificamente todas as visitas do seu navegador ou rastreie qual programa está ativo no momento.

Posso impedir que o cliente monitore minhas outras tarefas?

Você permitiu que o cliente instalasse software em seu computador – você já perdeu.

Istoéé possível usar uma VPN para conectar-se à rede do cliente mantendo-se seguro; no entanto, exatamente como fazer isso depende de qual cliente VPN você deve usar.

Para começar, você mesmo precisaria baixar e configurar o cliente VPN a partir das informações fornecidas (em vez de deixar o cliente fazer isso) e precisaria ter certeza de que o cliente VPN não possui nenhum recurso de "provisionamento remoto" que poderia permitir que ele instale localmente mais componentes.

Em caso de dúvida, instale qualquer software fornecido pelo cliente apenas em uma máquina separada (talvez uma VM) – nunca em seu computador principal.

Question 2

cliente instalou uma VPN,

Sim, eles podem conceitualmente fazer o que quiserem com você, incluindo espionagem. Se você não confia totalmente neles, já é tarde demais para medidas preventivas. Como eles provavelmente não são realmente maliciosos, apenas limpar a máquina (ou seja, reinstalar o sistema operacional/software) é provavelmente suficiente.

Minha pergunta é: quando estou conectado via VPN, o cliente pode monitorar o que estou fazendo na minha máquina (como visualizar o YouTube, compartilhar tela ou trabalhar em outro projeto de cliente)?

Além de já terem feito root na sua máquina, olhando isso apenas do ponto de vista da rede, existem várias maneiras de configurar uma VPN. Uma delas é rotear todo o tráfego através do túnel de forma que o endpoint da VPN conecte você à Internet. Nesse caso, eles poderiam ver metadados sobre quais sites você está visitando e quando, mas as cargas criptografadas de conexões HTTPS ou conexões SSH devem ser seguras. Bem, além do fato de que eles podem sabotar a criptografia de modo que possam bisbilhotar mais profundamente... algunsempreendimentoferramentas de rede de estilo fazem isso por padrão ao instalar o software de terminal cliente.

Medidas preventivas para a próxima vez

Não permita que clientes instalem software em sua máquina. Sempre. Principalmente se você se sentir desconfortável com isso. Se ter controle sobre sua máquina de desenvolvimento é profundamente importante para eles, solicite que uma seja fornecida. Caso contrário, compre uma cópia de um bom software de virtualização (basicamente VMWare Workstation) e configure você mesmo a VPN em uma VM de desenvolvimento.

Answer

cliente instalou uma VPN,

Sim, eles podem conceitualmente fazer o que quiserem com você, incluindo espionagem. Se você não confia totalmente neles, já é tarde demais para medidas preventivas. Como eles provavelmente não são realmente maliciosos, apenas limpar a máquina (ou seja, reinstalar o sistema operacional/software) é provavelmente suficiente.

Minha pergunta é: quando estou conectado via VPN, o cliente pode monitorar o que estou fazendo na minha máquina (como visualizar o YouTube, compartilhar tela ou trabalhar em outro projeto de cliente)?

Além de já terem feito root na sua máquina, olhando isso apenas do ponto de vista da rede, existem várias maneiras de configurar uma VPN. Uma delas é rotear todo o tráfego através do túnel de forma que o endpoint da VPN conecte você à Internet. Nesse caso, eles poderiam ver metadados sobre quais sites você está visitando e quando, mas as cargas criptografadas de conexões HTTPS ou conexões SSH devem ser seguras. Bem, além do fato de que eles podem sabotar a criptografia de modo que possam bisbilhotar mais profundamente... algunsempreendimentoferramentas de rede de estilo fazem isso por padrão ao instalar o software de terminal cliente.

Medidas preventivas para a próxima vez

Não permita que clientes instalem software em sua máquina. Sempre. Principalmente se você se sentir desconfortável com isso. Se ter controle sobre sua máquina de desenvolvimento é profundamente importante para eles, solicite que uma seja fornecida. Caso contrário, compre uma cópia de um bom software de virtualização (basicamente VMWare Workstation) e configure você mesmo a VPN em uma VM de desenvolvimento.

Question 3

Meu endereço IP é diferente quando estou conectado à VPN deles.

Supondo que você esteja se referindo ao seu endereço IP público na Internet, conforme mostrado por um serviço como o WIMI (What Is My IP)https://wimi.com/

Isso significa que o cliente VPN está redirecionando todo o seu tráfego através da VPN. O OpenVPN chama isso de “redirecionamento de gateway padrão” e todo o seu tráfego de Internet está passando pelo seu link inet, para o deles, através da rede deles e de volta para a Internet.

Qualquer dispositivo de servidor proxy/firewall em sua rede pode monitorar seu tráfego.

A solução de curto prazo seria modificar a tabela de roteamento do sistema em sua máquina local e restaurar seu gateway padrão assim que a VPN estiver conectada.

Inicie um prompt de comando do administrador e execute

 route print

Aqui está o topo da tabela de rotas ipv4 do Windows.

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

Sugiro que você compare as diferenças entre a linha de gateway padrão quando a VPN do cliente está conectada e quando não está conectada.

Acho que o comando que você deseja executar (como administrador) imediatamente após conectar o cliente VPN será algo como:

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

Isso encobre quaisquer alterações de IPv6 que a VPN possa fazer. Além disso, você precisará verificar seus resolvedores de DNS caso a VPN envie todas as suas solicitações de DNS para os servidores DNS do cliente.

Se a VPN do cliente forOpenVPNcom base, você pode editar o arquivo de configuração local e adicionar uma linha como

 pull-filter ignore redirect-gateway

Se você quiser sobrescrever quais servidores DNS vêm com a VPN, uma linha como esta irá ignorar essas configurações:

 pull-filter ignore "dhcp-option DNS "

Documentado emhttps://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

Answer