我的情况是:
- 这是我自己的 Windows 10 机器。
- 客户安装了 VPN,用于将我连接到他们的服务器。当我的 Windows 10 计算机启动时,VPN 会自动连接。
- 如果我没有使用 VPN,我就无法连接到他们的服务器。
- 当我连接到他们的 VPN 时,我的 IP 地址不同。
我的问题是,当我通过他们的 VPN 连接时,客户端可以监控我在我的机器上所做的事情吗(例如观看 YouTube、屏幕共享或处理另一个客户的项目)?
我可以阻止客户监视我的其他任务吗?(我将这台特定的机器用于多个客户项目。)
答案1
当我通过 VPN 连接时,客户端可以监控我在机器上所做的事情吗
这取决于他们实际安装的内容以及 VPN 客户端的配置方式。
普通 VPN 客户端不会传输有关您通常所做操作的信息 – 服务器不知道您正在编辑文件,也不知道您正在编辑哪个文件。
但它确实会处理您的网络流量(显然),并且可以从该流量中确定很多信息。例如,VPN 服务器的管理员可以知道您是否在使用 TeamViewer(但不知道实际数据——数据已加密),或者您是否在观看 YouTube(但不知道实际视频 URL——数据已加密),或者您是否在发送电子邮件(但不知道实际电子邮件内容)。换句话说,他们会看到您的 ISP 可以看到的所有内容,但通常仅此而已。
首先,VPN 客户端可以配置为路由全部隧道中的流量,或只是特定流量。(使用仅连接到学校/公司网络而其他所有网络保持不变的 VPN 非常常见,也称为“分割隧道”VPN。)
如果客户端诚实(并且不懒惰),他们可以将 VPN 配置为仅捕获发往该客户端服务器的流量,而不捕获其他流量。但是,他们能还可以配置 VPN 客户端来捕获您的所有流量(或仅捕获到竞争对手网站的流量等)。当然,为所有流量启用 VPN 本身并不是恶意的,但它确实允许您的客户端监视您。
而对于你的情况,“当我连接到他们的 VPN 时,我的 IP 地址不同”强烈表明一切通过 VPN。
但其次,你不能 100% 确定他们是否安装了只是VPN。他们可以安装了其他软件,例如专门记录所有浏览器访问或跟踪当前处于活动状态的程序的软件。
我可以阻止客户端监视我的其他任务吗?
您允许客户在您的计算机上安装软件——您已经输了。
它是可以使用 VPN 连接到客户端网络同时仍然保持安全;但是,具体如何操作取决于您需要使用什么 VPN 客户端。
首先,您需要根据提供的信息自行下载并配置 VPN 客户端(而不是让客户端自行配置),并且您需要确保 VPN 客户端没有任何“远程配置”功能,这样它就可以在本地安装更多组件。
如果有疑问,请仅将任何客户端提供的软件安装到单独的机器(可能是虚拟机)上 - 而不要安装到主计算机上。
答案2
客户端已安装VPN,
是的,从概念上讲,他们可以对你做任何他们想做的事情,包括监视。如果你不完全信任他们,那么采取预防措施已经太迟了。因为他们可能不是真正的恶意行为,所以只需清除机器(即重新安装操作系统/软件)就足够了。
我的问题是,当我通过 VPN 连接时,客户端可以监控我在机器上所做的事情吗(例如观看 YouTube、屏幕共享或处理另一个客户的项目)
除此之外,他们已经获取了你的机器的 root 权限,从网络角度来看,有几种配置 VPN 的方法。其中之一是将所有流量路由到隧道,以便 VPN 端点将你连接到互联网。在这种情况下,他们可以看到你访问的网站和时间的元数据,但 HTTPS 连接或 SSH 连接的加密负载应该是安全的。好吧,除了他们可能会破坏加密以便更深入地窥探之外……一些企业安装客户端端点软件时,样式网络工具默认执行此操作。
下次的预防措施
不要允许客户在您的机器上安装软件。永远不要。特别是如果您对此感到不安。如果控制您的开发机器对他们来说非常重要,请要求提供。否则,请购买一份好的虚拟化软件(基本上是 VMWare Workstation)并自行在开发 VM 中配置 VPN。
答案3
当我连接到他们的 VPN 时,我的 IP 地址不同。
假设你指的是互联网上的公共 IP 地址,如 WIMI(我的 IP 是什么)等服务所示https://wimi.com/
这意味着 VPN 客户端正在通过 VPN 重定向您的所有流量。OpenVPN 将此称为“默认网关重定向”,您的所有互联网流量都将通过您的 inet 链接,进入他们的网络,通过他们的网络,然后返回到互联网。
其网络中的任何代理服务器/防火墙设备都可以监控您的流量。
短期解决方法是修改本地机器上的系统路由表,并在 VPN 连接后恢复默认网关。
启动管理员命令提示符并运行
route print
这是 Windows IPv4 路由表的顶部。
IPv4 Route Table
=================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 456.789.104.1 456.789.105.201 25 <-- my default gateway
888.1.0.0 255.255.240.0 198.18.18.1 198.18.18.5 35 <-- a VPN
....
我建议您比较一下客户 VPN 连接时和未连接时默认网关线路之间的差异。
我认为您在连接客户端 VPN 后立即运行的命令(以管理员身份)将是这样的:
route CHANGE 0.0.0.0 MASK 0.0.0.0 (your-default-GWIP-when-VPN-off)
route CHANGE 0.0.0.0 MASK 0.0.0.0 456.789.105.1 # for me
这可以掩盖 VPN 可能做出的任何 IPv6 更改。此外,您还需要检查 DNS 解析器,以防 VPN 将所有 DNS 请求发送到客户端的 DNS 服务器。
如果客户端 VPNOpenVPN基于此,你可以编辑本地配置文件并添加如下行
pull-filter ignore redirect-gateway
如果您想覆盖 VPN 附带的 DNS 服务器,则如下行将忽略这些设置:
pull-filter ignore "dhcp-option DNS "
记录于https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway