Может ли ненадежный VPN-клиент отслеживать мою сетевую активность?

Question 1

Когда я подключен через VPN, может ли клиент контролировать то, что я делаю на своем компьютере?

Это зависит от того, что именно установлено и как настроен VPN-клиент.

Обычный VPN-клиент вообще не передает информацию о том, что вы делаете — сервер не знает, что вы редактируете файл, и не знает, какой именно файл вы редактируете.

Но он обрабатывает ваш сетевой трафик (очевидно), и из этого трафика можно получить много информации. Например, администратор VPN-сервера может знать, используете ли вы TeamViewer (но не сами данные — они зашифрованы), или смотрите ли вы YouTube (но не сам URL-адрес видео — он зашифрован), или отправляете ли вы электронное письмо (но не его содержимое). Другими словами, они увидят все, что увидит ваш интернет-провайдер, но обычно не более того.

Итак, во-первых, VPN-клиент можно настроить на маршрутизациювсетрафик через туннель или только определенный трафик. (Очень распространено использование VPN, которые подключаются только к школьным/корпоративным сетям, оставляя все остальное нетронутым, так называемые VPN с «разделенным туннелем».)

Если клиент честен (и не ленив), он может настроить VPN так, чтобы он ловил только трафик к серверам этого клиента и ничего больше. Однако ониможеттакже настройте VPN-клиент для захвата всего вашего трафика (или только трафика на сайт конкурента и т. д.). Конечно, включение VPN для всего трафика само по себе не является вредоносным, но это позволяет вашему клиенту следить за вами.

И в вашем случае «Мой IP-адрес отличается, когда я подключаюсь к их VPN» — это весомый признак того, чтовсепроходит через VPN.

Но во-вторых, вы не уверены на 100%, установили ли онитолькоVPN. Онимогустановили другое программное обеспечение, например, что-то, что специально регистрирует все посещения вашего браузера или отслеживает, какая программа активна в данный момент.

Могу ли я запретить клиенту контролировать выполнение моих других задач?

Вы позволили клиенту установить программное обеспечение на ваш компьютер — вы уже проиграли.

Этоявляетсяможно использовать VPN для подключения к сети клиента, оставаясь при этом в безопасности; однако, как именно это сделать, зависит от того, какой VPN-клиент вам необходимо использовать.

Для начала вам необходимо будет самостоятельно загрузить и настроить VPN-клиент на основе предоставленной информации (вместо того, чтобы позволить клиенту сделать это), а также убедиться, что VPN-клиент не имеет функций «удалённой подготовки», которые позволили бы ему локально устанавливать дополнительные компоненты.

Если вы сомневаетесь, устанавливайте любое клиентское программное обеспечение только на отдельную машину (возможно, виртуальную машину) — никогда не устанавливайте его на основной компьютер.

Answer

Когда я подключен через VPN, может ли клиент контролировать то, что я делаю на своем компьютере?

Это зависит от того, что именно установлено и как настроен VPN-клиент.

Обычный VPN-клиент вообще не передает информацию о том, что вы делаете — сервер не знает, что вы редактируете файл, и не знает, какой именно файл вы редактируете.

Но он обрабатывает ваш сетевой трафик (очевидно), и из этого трафика можно получить много информации. Например, администратор VPN-сервера может знать, используете ли вы TeamViewer (но не сами данные — они зашифрованы), или смотрите ли вы YouTube (но не сам URL-адрес видео — он зашифрован), или отправляете ли вы электронное письмо (но не его содержимое). Другими словами, они увидят все, что увидит ваш интернет-провайдер, но обычно не более того.

Итак, во-первых, VPN-клиент можно настроить на маршрутизациювсетрафик через туннель или только определенный трафик. (Очень распространено использование VPN, которые подключаются только к школьным/корпоративным сетям, оставляя все остальное нетронутым, так называемые VPN с «разделенным туннелем».)

Если клиент честен (и не ленив), он может настроить VPN так, чтобы он ловил только трафик к серверам этого клиента и ничего больше. Однако ониможеттакже настройте VPN-клиент для захвата всего вашего трафика (или только трафика на сайт конкурента и т. д.). Конечно, включение VPN для всего трафика само по себе не является вредоносным, но это позволяет вашему клиенту следить за вами.

И в вашем случае «Мой IP-адрес отличается, когда я подключаюсь к их VPN» — это весомый признак того, чтовсепроходит через VPN.

Но во-вторых, вы не уверены на 100%, установили ли онитолькоVPN. Онимогустановили другое программное обеспечение, например, что-то, что специально регистрирует все посещения вашего браузера или отслеживает, какая программа активна в данный момент.

Могу ли я запретить клиенту контролировать выполнение моих других задач?

Вы позволили клиенту установить программное обеспечение на ваш компьютер — вы уже проиграли.

Этоявляетсяможно использовать VPN для подключения к сети клиента, оставаясь при этом в безопасности; однако, как именно это сделать, зависит от того, какой VPN-клиент вам необходимо использовать.

Для начала вам необходимо будет самостоятельно загрузить и настроить VPN-клиент на основе предоставленной информации (вместо того, чтобы позволить клиенту сделать это), а также убедиться, что VPN-клиент не имеет функций «удалённой подготовки», которые позволили бы ему локально устанавливать дополнительные компоненты.

Если вы сомневаетесь, устанавливайте любое клиентское программное обеспечение только на отдельную машину (возможно, виртуальную машину) — никогда не устанавливайте его на основной компьютер.

Question 2

клиент установил VPN,

Да, они концептуально могут сделать с вами все, что захотят, включая шпионаж. Если вы не доверяете им полностью, уже слишком поздно для профилактических мер. Поскольку они, вероятно, на самом деле не являются вредоносными, простого стирания машины (т. е. переустановки ОС/ПО) вероятно будет достаточно.

У меня такой вопрос: когда я подключен через VPN, может ли клиент отслеживать, что я делаю на своем компьютере (например, просматриваю YouTube, или предоставляю общий доступ к экрану, или работаю над проектом другого клиента)?

Помимо того, что они уже рутировали вашу машину, рассматривая это только с точки зрения сети, есть несколько способов настроить VPN. Один из них — направить весь трафик через туннель, чтобы конечная точка VPN подключала вас к Интернету. В этом случае они могли бы видеть метаданные о том, какие сайты вы посещаете и когда, но зашифрованные полезные данные HTTPS-соединений или SSH-соединений должны быть защищены. Ну, помимо того, что они могут саботировать шифрование, чтобы иметь возможность шпионить глубже... некоторыепредприятиеСетевые инструменты в стиле делают это по умолчанию при установке клиентского программного обеспечения конечной точки.

Профилактические меры на следующий раз

Не позволяйте клиентам устанавливать программное обеспечение на вашу машину. Никогда. Особенно, если вы чувствуете себя неловко из-за этого. Если контроль над вашей машиной разработки крайне важен для них, попросите предоставить его. В противном случае купите копию хорошего ПО для виртуализации (в основном VMWare Workstation) и настройте VPN в виртуальной машине разработки самостоятельно.

Answer

клиент установил VPN,

Да, они концептуально могут сделать с вами все, что захотят, включая шпионаж. Если вы не доверяете им полностью, уже слишком поздно для профилактических мер. Поскольку они, вероятно, на самом деле не являются вредоносными, простого стирания машины (т. е. переустановки ОС/ПО) вероятно будет достаточно.

У меня такой вопрос: когда я подключен через VPN, может ли клиент отслеживать, что я делаю на своем компьютере (например, просматриваю YouTube, или предоставляю общий доступ к экрану, или работаю над проектом другого клиента)?

Помимо того, что они уже рутировали вашу машину, рассматривая это только с точки зрения сети, есть несколько способов настроить VPN. Один из них — направить весь трафик через туннель, чтобы конечная точка VPN подключала вас к Интернету. В этом случае они могли бы видеть метаданные о том, какие сайты вы посещаете и когда, но зашифрованные полезные данные HTTPS-соединений или SSH-соединений должны быть защищены. Ну, помимо того, что они могут саботировать шифрование, чтобы иметь возможность шпионить глубже... некоторыепредприятиеСетевые инструменты в стиле делают это по умолчанию при установке клиентского программного обеспечения конечной точки.

Профилактические меры на следующий раз

Не позволяйте клиентам устанавливать программное обеспечение на вашу машину. Никогда. Особенно, если вы чувствуете себя неловко из-за этого. Если контроль над вашей машиной разработки крайне важен для них, попросите предоставить его. В противном случае купите копию хорошего ПО для виртуализации (в основном VMWare Workstation) и настройте VPN в виртуальной машине разработки самостоятельно.

Question 3

Мой IP-адрес отличается, когда я подключаюсь к их VPN.

Предположим, вы имеете в виду свой публичный IP-адрес в Интернете, отображаемый такой службой, как WIMI (What Is My IP)https://wimi.com/

Это означает, что VPN-клиент перенаправляет весь ваш трафик через VPN. OpenVPN называет это «перенаправлением шлюза по умолчанию», и весь ваш интернет-трафик проходит через вашу ссылку inet, в их сеть, через их сеть и обратно в интернет.

Любой прокси-сервер/брандмауэр в их сети может отслеживать ваш трафик.

Краткосрочным решением будет изменение таблицы маршрутизации системы на локальном компьютере и восстановление шлюза по умолчанию после подключения VPN.

Запустите командную строку администратора и выполните

 route print

Вот верхняя часть таблицы маршрутизации Windows IPv4.

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

Предлагаю вам сравнить разницу между строкой шлюза по умолчанию, когда VPN-соединение клиента подключено и когда оно не подключено.

Я думаю, команда, которую вам нужно выполнить (как администратор) сразу после подключения клиентского VPN, будет выглядеть примерно так:

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

Это затушевывает любые изменения IPv6, которые может внести VPN. Также вам нужно будет проверить ваши DNS-резолверы на случай, если VPN отправляет все ваши DNS-запросы на DNS-серверы клиента.

Если клиент VPNOpenVPNна основе этого вы можете отредактировать локальный файл конфигурации и добавить строку вроде

 pull-filter ignore redirect-gateway

Если вы хотите перезаписать DNS-серверы, поставляемые с VPN, то такая строка проигнорирует эти настройки:

 pull-filter ignore "dhcp-option DNS "

Документировано наhttps://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

Answer