不受信任的 VPN 用戶端可以監控我的網路活動嗎?

tag-icon tag-icon networking vpn internet-security
不受信任的 VPN 用戶端可以監控我的網路活動嗎?

我的場景是:

  • 這是我自己的 Windows 10 機器。
  • 客戶安裝了 VPN,將我連接到他們的伺服器。當我的 Windows 10 電腦啟動時,VPN 會自動連線。
  • 如果我沒有使用 VPN,我將無法連接到他們的伺服器。
  • 當我連接到他們的 VPN 時,我的 IP 位址是不同的。

我的問題是,當我透過他們的 VPN 連線時,客戶端可以監控我在電腦上所做的事情(例如觀看 YouTube、螢幕分享或處理其他客戶的專案)嗎?

我可以阻止客戶監控我的其他任務嗎? (我將這台特定的機器用於多個客戶專案。)

答案1

當我透過 VPN 連線時,用戶端能否監控我在電腦上所做的事情

這取決於他們實際安裝的內容以及 VPN 用戶端的設定方式。

普通的 VPN 用戶端通常不會傳輸有關您正在執行的操作的資訊 - 伺服器不知道您正在編輯文件,也不知道您正在編輯哪個文件。

但它確實處理您的網路流量(顯然),並且可以從該流量中確定很多資訊。例如,VPN 伺服器的管理員可以知道您是否正在使用 TeamViewer(但不是實際資料 - 已加密),或者您是否正在觀看 YouTube(但不是實際影片 URL - 已加密),或者您是否正在使用發送電子郵件(但不是實際的電子郵件內容)。換句話說,他們會看到您的 ISP 會看到的所有內容,但通常僅此而已。

首先,VPN 用戶端可以設定為任一路由全部通過隧道的流量,或只是特定的流量。 (使用僅連接到學校/公司網路而保持其他網路不變的 VPN 是很常見的,也稱為「分割隧道」VPN。)

如果客戶端是誠實的(而不是懶惰的),他們可以將 VPN 配置為僅捕獲到該客戶端伺服器的流量,而不捕獲其他流量。然而,他們也可以設定 VPN 用戶端來捕獲您的所有流量(或僅捕獲其競爭對手網站的流量等)。當然,為所有流量啟用 VPN 本身並不是惡意的,但它確實允許您的用戶端監視您。

就您而言,「當我連接到他們的 VPN 時,我的 IP 位址不同」強烈表明一切透過VPN。

但其次,你不能 100% 確定他們是否安裝了只是一個VPN。他們可以安裝了其他軟體,例如專門記錄所有瀏覽器存取或追蹤當前活動程式的軟體。

我可以阻止客戶監控我的其他任務嗎?

你允許客戶在你的電腦上安裝軟體——你已經輸了。

可使用 VPN 連接到客戶端網絡,同時保持安全;但是,具體如何執行此操作取決於您需要使用的 VPN 用戶端。

首先,您需要根據提供的資訊自行下載和設定 VPN 用戶端(而不是讓用戶端執行此操作),並且您需要確保 VPN 用戶端沒有任何「遠端設定」功能,這會導致允許它在本機安裝更多組件。

如果有疑問,請僅將任何用戶端提供的軟體安裝到單獨的電腦(可能是虛擬機器)上,而不要安裝到您的主電腦上。

答案2

用戶端已安裝VPN,

是的,從概念上講,他們可以對你做任何他們想做的事,包括間諜活動。如果您不完全信任他們,那麼採取預防措施就為時已晚。由於它們可能實際上並不是惡意的,因此只需擦除電腦(即重新安裝作業系統/軟體)可能就足夠了。

我的問題是,當我透過 VPN 連線時,用戶端可以監控我在電腦上執行的操作(例如觀看 YouTube、螢幕分享或處理其他客戶專案)

除此之外,他們已經對您的電腦進行了 root 操作,從網路角度來看,還有多種配置 VPN 的方法。其中之一是透過隧道路由所有流量,以便 VPN 端點將您連接到網際網路。在這種情況下,他們可以看到有關您訪問哪些網站以及何時訪問的元數據,但 HTTPS 連接或 SSH 連接的加密有效負載應該是安全的。好吧,除了他們可能破壞加密以便他們可以更深入地窺探這一事實之外......一些企業安裝客戶端端點軟體時,樣式網路工具預設執行此操作。

下次預防措施

不允許客戶端在您的電腦上安裝軟體。曾經。尤其是當你對此感到不安時。如果控制您的開發機器對他們來說非常重要,請要求一台。否則,購買一份好的虛擬化軟體(基本上是VMWare Workstation)並自行在開發虛擬機器中設定VPN。

答案3

當我連接到他們的 VPN 時,我的 IP 位址是不同的。

假設您指的是網際網路上的公用 IP 位址,如 WIMI(What Is My IP)等服務所示https://wimi.com/

這意味著 VPN 用戶端正在透過 VPN 重新導向您的所有流量。 OpenVPN 將此稱為“預設網關重定向”,您的所有互聯網流量都會通過您的 inet 鏈接傳遞到他們的鏈接,通過他們的網絡並返回到互聯網。

網路中的任何代理伺服器/防火牆設備都可以監控您的流量。

短期修復方法是修改本機電腦上的系統路由表,並在 VPN 連線後恢復預設閘道。

啟動管理員命令提示字元並執行

 route print

這是 Windows ipv4 路由表的頂端。

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

我建議您比較客戶 VPN 連線時與未連線時的預設閘道線路之間的差異。

我認為連接客戶端 VPN 後您想要立即執行(以管理員身份)的命令將類似於:

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

這掩蓋了 VPN 可能做出的任何 IPv6 變更。此外,您還需要檢查您的 DNS 解析器,以防 VPN 將您的所有 DNS 請求傳送到用戶端的 DNS 伺服器。

如果客戶端 VPN 是開放VPN基於,您可以編輯本機設定檔並新增以下行

 pull-filter ignore redirect-gateway

如果您想要覆蓋 VPN 附帶的 DNS 伺服器,那麼類似這樣的行將忽略這些設定:

 pull-filter ignore "dhcp-option DNS "

記錄於https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

相關內容