V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Bellaaa
V2EX  ›  程序员

请问公司 vpn 的监控范围?

  •  
  •   Bellaaa · 172 天前 · 7300 次点击
    这是一个创建于 172 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有时晚上回家加班,做地产行业的。公司台式电脑统一安装了深信服 VPN 办公用,回到家里用个人笔记本电脑登录公司 easyconnectVPN 软件,算是接入公司内网了吗?请问这样会被监控到笔记本所有聊天记录 Or 上网浏览记录吗?感谢

    76 条回复    2022-02-23 16:36:45 +08:00
    Bellaaa
        1
    Bellaaa  
    OP
       172 天前
    如何避免家用笔记本登录公司 VPN 被监控?小白完全不懂电脑,感谢小哥哥小姐姐们!!求支招啊~
    potatowish
        2
    potatowish  
       171 天前 via iPhone
    不会,只有安装了 VPN 的电脑才会被监控,家用笔记本只是远程连接
    wunonglin
        3
    wunonglin  
       171 天前
    正常情况只有经过 vpn 的流量才会。

    但是先不管会不会,只要想着“装了这个你就没隐私了”这个前提去用就行了
    ZRS
        4
    ZRS  
       171 天前
    如果你的 VPN 客户端没有被加料的话,只有通过 VPN 的流量会被监控。
    GoodRui
        5
    GoodRui  
       171 天前 via iPhone   ❤️ 1
    很好奇楼主完全不懂电脑,是怎么来到这里的…
    Bellaaa
        6
    Bellaaa  
    OP
       171 天前
    @potatowish 笔记本是自己的,但也装了公司 vpn
    Bellaaa
        7
    Bellaaa  
    OP
       171 天前
    @wunonglin 那还是会被监控吗 TAT... 在笔记本上装个 Vmare ,在里面装 easyconnect 可以防止被监控吗?
    wunonglin
        8
    wunonglin  
       171 天前
    @Bellaaa #7 这样的话,如果你自己在 vm 里办公,在 vm 外做自己的事的话,按理是可以的,但仅限于按理。
    Bellaaa
        9
    Bellaaa  
    OP
       171 天前
    @wunonglin 谢谢!!真的不想在公司电脑被监控,回到家用自己笔记本登录个 oa (后台悄悄运行了 sangfor )还要被监控
    documentzhangx66
        10
    documentzhangx66  
       171 天前   ❤️ 1
    1.楼上不懂别乱说。

    2.会。

    3.原因很简单,第一是很多企业级管理软件,比如 VPN 、安全防火墙、入侵检测、甚至内网接入拨号软件,都会有这些功能。甚至一些无关软件,比如 VPN ,也能进行定制开发,加入这些监控功能。

    4.你想要逃避监控,也很简单,安装 VPN 那台电脑,准备一个网卡,比如 USB 网卡、PCIE 网卡等等。网卡连接交换机,然后再准备一台电脑,接入这个网络就行。网络连接走加密渠道就行了,比如 VPN 、https 、RDP ,等等。
    hyshuang2006
        11
    hyshuang2006  
       171 天前
    @Bellaaa 建议你家里电脑装个 simplewall 。注意,VPN 的软件在用的时候才放行。
    cxy2244186975
        12
    cxy2244186975  
       171 天前 via Android
    @GoodRui 可能 ts 就知道 ~~~~ 手动🤪
    wangyu17455
        13
    wangyu17455  
       171 天前 via Android
    我这边用的深信服的 vpn 是通过路由表工作的,似乎不会监听 qq 微信聊天记录
    humbass
        14
    humbass  
       171 天前   ❤️ 1
    各位没有讲到重点:VPN 是否节流,取决于 透过 VPN 访问的规则,如果只是公司软件需要用到 内网的特定地址,那就不会泄露你的其他软件的隐私。也就是说,只有你公司的软件要求使用 VPN ,其他的软件走正常网络,就没有监控的问题。 怎么判断呢:

    当连接上 VPN 后,打开普通的浏览器,例如 chrome, 输入网址 www.ip138.com ,看看 IP 地址是多少,对比没有连接 VPN 时的地址是否一致。


    if ( ip-before-vpn == ip-after-vpn) {
    你的流量没有被监听
    } else {
    流量被监听
    }
    docx
        15
    docx  
       171 天前 via Android   ❤️ 2
    整这么复杂还提心吊胆的,不如考虑物理隔离
    HawkinsSherpherd
        16
    HawkinsSherpherd  
       171 天前
    说真的,哪家公司带宽大得无聊让员工在外面用 VPN 访问公司内部网络还顺带把所有网络流量路由过去。
    w88975
        17
    w88975  
       171 天前   ❤️ 10
    明确的告诉你,会,16 年在新浪金融的时候,我司也是安装的深信服 VPN ,只是我是自带的电脑,当时我用的 MBP
    在没有连接 VPN 的情况下,当时我把电脑带回家,在家浏览 V2EX ,看到一家公司招聘,我回帖发了简历,然后第二天就被喊去谈话了,部门老大明确的告诉我,HR 那边检测到我近期有投简历,触发了关键字报警,找我问问是不是工作上有啥不顺心的诸如此类。
    因为这个原因,我第二天就离职了,一点隐私都没有,在公司连了 VPN 你可以监控,回家私人时间还 TM 搜集隐私,够不要脸的
    w88975
        18
    w88975  
       171 天前
    附上条,有些人可能说 HR 买了求职网站的离职倾向服务,但那时候我好像记得主流求职网站都没有上线该类服务,且最重要的一点是,我没有登录过求职网站,只是刷帖,回帖,发了简历邮件(私人邮箱)
    msg7086
        19
    msg7086  
       171 天前
    大企业都有定制 VPN 客户端,本来就可以对电脑进行扫描。比如我们登录的时候,会扫描防火墙设置,磁盘全盘加密状态,还有一些其他的东西,全 PASS 以后才可以连接成功。

    @HawkinsSherpherd 我司就是。公司笔记本 VPN 直接拦截所有流量,只保留到 VPN 服务器节点的 IP:端口这一个口子,其他所有的 IP ,所有的端口,全部都走 VPN 进内网,再走公司统一的防火墙出口。
    yiyiwa
        20
    yiyiwa  
       171 天前 via iPhone   ❤️ 3
    原来公司也用深信服的 VPN ,然后我是在笔记本上安装一个虚拟机,在虚拟机中连接公司 VPN 。虚拟机只干公司的活。
    levinit
        21
    levinit  
       171 天前 via iPhone
    不好说,担心的话上虚拟机里面用吧
    levinit
        22
    levinit  
       171 天前 via iPhone
    @GoodRui 而且还是妹子好像
    ZE3kr
        23
    ZE3kr  
       171 天前 via iPhone
    双系统最保险(指两个 macOS 或两个 Windows )。差一点的是虚拟机。最不济两个用户(但可能没作用)
    ZE3kr
        24
    ZE3kr  
       171 天前 via iPhone
    公司 VPN 不给管理员权限也能安装的话双用户就行
    jayyjh
        25
    jayyjh  
       171 天前
    安装虚拟机然后虚拟机里面开 VPN 应该比较稳妥
    skinny
        26
    skinny  
       171 天前
    不要在自己电脑安装公司的 VPN 或者相关工具,同样,不要在公司的电脑和网络干私事,包括不限于浏览求职网站、看娱乐视频。

    如果一定要在自己电脑安装 VPN 工作,像楼上说的,专门弄一个纯净的虚拟机干这事。
    acbot
        27
    acbot  
       171 天前
    哪些使用这种系统的公司老板有没有想过,自己公司的所有经营活动已经被大数据了,本来是未了防止泄密,结果把所有秘密都让人家看了,这些公司难道不怕吗?
    whypool
        28
    whypool  
       171 天前 via Android
    @acbot 你当合规合同是开玩笑呢?
    如果有证据证明合作公司泄露数据,能告到破产
    acbot
        29
    acbot  
       171 天前
    @whypool 嗯,你说的对! :-)
    joesonw
        30
    joesonw  
       171 天前 via iPhone   ❤️ 4
    openvpn ,tunnelblick 这种没问题。
    深信服老早出过很多后台监控的事。
    zliea
        31
    zliea  
       171 天前
    一般推荐虚拟机
    simplove
        32
    simplove  
       171 天前
    肯定是会的
    解决方法:
    笔记本上面用虚拟机连接 VPN ,只干公司相关的事情,这样就只有虚拟机会被监控到。
    物理机随便干什么都可以,不会被监控。
    Tink
        33
    Tink  
       171 天前 via Android
    vpn 会劫持所有流量,走公司网络出口
    Zirkelho
        34
    Zirkelho  
       171 天前 via Android
    我记得深信服设备是你走他的网络,ac 强制下发插件在电脑安装,里面你的微信消息都可以读取的。不知道现在有没有改变
    jorneyr
        35
    jorneyr  
       171 天前
    访问内网 VPN 的 IP 的数据才会从 VPN 的那个网卡走,普通流量还是走普通的线路,例如访问 V2EX 网站的数据就不会走公司的 VPN ,因为 IP 不在 VPN 的网段。
    Mac
        36
    Mac  
       171 天前
    我上游企业用深信服的 SSL VPN ,我们有时候会登陆他们的 VPN 传输数据。安全起见,我特地装了个虚拟机来做这事,虽然我知道不是所有流量都走 VPN ,但他本身也不透明告知有哪些流量是走的。
    Zizpop
        37
    Zizpop  
       171 天前
    哪有这么多花活,要么流量跑到公司去了才会被分析,要么 vpn 软件不干净才会被分析
    yfugibr
        38
    yfugibr  
       171 天前 via Android   ❤️ 2
    结合深信服前几天的新闻,建议工作电脑还是区分开比较好
    ctro15547
        39
    ctro15547  
       171 天前
    日常办公的话,可以买根 8G 内存条 ,开虚拟机把工作的所有东西都丢虚拟机里
    qwertyegg
        40
    qwertyegg  
       171 天前
    @ctro15547 你仔细想想这样有没有用

    所有未加密链接 /dns 全部能被监听。加密的数据 /dns 可以理解为还算安全
    neroxps
        41
    neroxps  
       171 天前
    emmm VPN 客户端可以做增加聊天记录监控,如果全局流量跑 VPN 出去,VPN 客户端也能安装 SSL 根证书,所以深信服网关能解密 SSL 数据。

    所以即使安装 VPN 客户端,也请使用虚拟机。

    当然网管没配置,或公司没设置监控是另一回事了。
    12101111
        42
    12101111  
       171 天前   ❤️ 2
    https://github.com/Hagb/docker-easyconnect
    在 docker 里运行 easyconnect, 并暴露 socks5 代理
    然后单独启动一个浏览器, 设置浏览器的代理到暴露的端口上
    IvanLi127
        43
    IvanLi127  
       171 天前 via Android
    你的所有网络包都到公司了,具体他监控不监控就不知道了。。。建议开虚拟机 在虚拟机里干活
    baobao1270
        44
    baobao1270  
       171 天前
    1 、一般 VPN 都是全局规则,所有网络通信都会被公司知道
    2 、不清楚 easyconnectVPN 这个软件是否会增加监控功能,比如获取你电脑上的活动。如果这个软件只做本职工作,那么只有网络会被监控;如果加了料,那就难说。
    3 、虚拟机里用的话,虚拟机里的网络会被监控,虚拟机外不受监控。但是公司可能有策略禁止在虚拟机里用 VPN 。
    4 、加密流量,比如 TLS ,分情况。如果你打开 HTTPS 网站,证书是网站的、CA 不是公司的,那就公司只能看到你上了哪个网站、不知道你上这个网站做什么;如果是公司自签证书、公司的 CA ,那么同 5 。
    5 、未加密的上网记录什么都可以看到、甚至能直接登录您的账号(获取 cookie )
    6 、QQ 、微信聊天记录可以看到,因为电脑端不加密。手机端是加密的而且做了公钥固定,公司看不到。
    Kiriya
        45
    Kiriya  
       171 天前   ❤️ 1
    不建议私人电脑安装深信服 VPN ,基本是被全局监控,包括浏览器浏览历史记录,QQ 微信等 IM 软件聊天记录,这些隐私信息对公司都是透明的
    Bellaaa
        46
    Bellaaa  
    OP
       171 天前
    @Kiriya 谢谢!我发现在公司电脑安装 VPN ,会自动安装四个“S”开头的软件,但是在家里安装只有“Sangfor”和“Sangfor service”,这么厉害么在家连上公司 VPN 也监控呀? TAT
    Bellaaa
        47
    Bellaaa  
    OP
       171 天前
    @w88975 我已经震惊的不知道说什么好了
    Bellaaa
        48
    Bellaaa  
    OP
       171 天前
    @yfugibr 有道理,回到办公室我是坚决不带自己电脑的,用的公司台式电脑上公司内网,但主要是苦逼地产人经常回家还要加班,在自己家用电脑上要登录公司 OA 。。。无可避免啊
    Bellaaa
        49
    Bellaaa  
    OP
       171 天前
    @w88975 我好害怕下周回公司被领导问话“你的电脑有什么不见的人的吗”
    Bellaaa
        50
    Bellaaa  
    OP
       171 天前
    @IvanLi127 请问是怎么操作? VWMARE 虚拟机里面安装公司深信服吗?然后用自己手机个人热点的 WIFI 或者走 ss 代理,在虚拟机运行这样可以防止被监控?
    Bellaaa
        51
    Bellaaa  
    OP
       171 天前
    @baobao1270 可能是加了料~因为在公司的电脑 USB 口都被封了不能插 U 盘、不能上外网、不能自己下载软件(只能通过公司某个软件里面安装软件)
    Bellaaa
        52
    Bellaaa  
    OP
       171 天前
    @humbass 公司电脑不能自行下载软件的,每台电脑都安装了个“软件中心”,统一从那里下载需要的软件
    pengtdyd
        53
    pengtdyd  
       171 天前
    不要使用任何公司网络,设备进行个人数据传输
    Bellaaa
        54
    Bellaaa  
    OP
       171 天前
    @skinny 谢谢!决定用虚拟机运行公司 VPN 了~ 虚拟机里面连接家里的 WIFI 安全吗?还是要走代理(在公司电脑走代理是上不了 OA ,未试过在家里走代理)
    IvanLi127
        55
    IvanLi127  
       171 天前
    @Bellaaa 是的,在虚拟机里创建一个操作系统,然后装公司提供的软件,这样你的公司只接管了虚拟机里的东西,你聊天不要在这虚拟机里聊就行了。
    另外,这只影响装了软件的电脑 /虚拟机,一般情况下不会危及到局域网内的其他设备,除非你们公司和深信服连脸都不要,还想往外偷窥。。。要不你可以考虑顺便开下路由器的 AP 隔离功能?
    duck2
        56
    duck2  
       171 天前
    泻药,深信服技术支持工程师一枚,sangforVPN 和 sslvpn 等 vpn 本身没有相关审计策略,无法检测具体干了啥,但是如果有,甚至说大概率有上网行为管理设备( AC )就会审计到你干了啥,非常详细,公司的电脑的话大概率有相关的准入插件,审计的范围会更加大和详细,
    huntagain2008
        57
    huntagain2008  
       171 天前
    本人小白,你这个帖子直接吓得我把家里的 Windows10 系统重置了(因为节假日下班要远程关公司的服务器,于是在个人电脑安装 easyconnectVPN),也许 easyconnect 不带监控仅仅是用作安全连接进公司网络,但是万一它监控我平时的隐私呢。
    jerryjhou
        58
    jerryjhou  
       171 天前 via iPad
    Easyconnect 是远程下发路由表,看你们公司怎么设置的。这种情况请默认被监控
    sutra
        59
    sutra  
       171 天前
    理论上,已经安装了软件,那就是裸奔了,https 也不再有效保护内容。
    latteczy
        60
    latteczy  
       171 天前
    @duck2 请教下你说的这个上网行为管理设备是个什么东西?部署在哪?是如何拿到你的信息的呢?
    Chen2
        61
    Chen2  
       171 天前
    @duck2 请教下如果把准入插件进程杀掉还会被审计到吗
    huntagain2008
        62
    huntagain2008  
       171 天前
    #57 windows10 系统直接重置了。人生首次安装 vmware player(是免费的),首次使用 qbittorrent 下载 LTSC 的 iso 文件,第一次在 windows10 里使用虚拟机 windows10 。最后发现重置的 windows10 的一般管理员账户竟然打不出中文,Administrator 账户倒是可以打出中文,折腾了一晚上,居然还要运行 gepedit 改 UAC 安全策略才搞定 windows10 输入法选项为灰色无法点击变为可以点击选项,为了保险起见将语言选项改为旧版拼音输入法。windows 毛病太多了。
    ysc3839
        63
    ysc3839  
       170 天前   ❤️ 1
    @huntagain2008 如果你说的“重置”是系统设置那个重置,那我会建议你再重装系统。因为这个重置工作原理不明。系统文件丢失、损坏了如何修复?第三方软件进行的修改如何恢复?我怀疑重置是清理不干净的。
    huntagain2008
        64
    huntagain2008  
       170 天前
    @ysc3839 #63 我愿意相信 reset 解决一切问题。而且重装系统的话,正版 windows 就没了。
    /t/827253
    kimgo110
        65
    kimgo110  
       170 天前 via Android
    虚拟机
    ikichen
        66
    ikichen  
       170 天前
    走公司内网的话,任何操作都会被记录的吧。
    Zien
        67
    Zien  
       170 天前 via iPhone
    得看访问规则了,通常只有组织内部的流量才走 VPN ,但是是不是流氓就需要自己测试了( Bing/Baidu 看下 IP 和不连 VPN 时是不是一样,一样就没事了
    hahahazhou
        68
    hahahazhou  
       170 天前
    不知道你公司有没有部署引流设备,有的话那就。。。。
    ysc3839
        69
    ysc3839  
       170 天前 via Android
    @huntagain2008
    你愿意相信是一回事,但是根据你前面的描述显然是出现了问题。你给的链接里,楼主也是遇到了问题。
    正常情况下正版不会没有,除非是一些特殊的授权模式。我没记错的话,面向最终用户的授权都是自动和硬件绑定的,重装之后能自动激活。
    huntagain2008
        70
    huntagain2008  
       170 天前
    @ysc3839 #69 本人小白。你不信任微软 windows 的重置系统,不建议别人用也正常,本来就不是开源的,可是你并没有验证试验,光是怀疑重置会出问题然后就不建议别人用就有点奇怪了。毕竟全世界用的人那么多了,也没看到有人报重置有问题。我自己遇到的问题,更可能出在 windows10 是家庭版,然后自己改了系统把家庭版本来没有的功能给开启了,新建多个账户,重置系统后账户保留下来了,但是系统不是我修改过的系统,所以用户访问控制(UAC)让中文输入法出了问题。
    /t/827253
    站长的帖子你也是在#7 提出 reset 工作原理不明确。我看#17 、#24 、#35 都给你回复了。“winsxs 里有系统文件的备份,不需要联网。不在固定几个文件夹的个人文件会被统统移走”。“reset 支持两种方式,当你重置时会提示你选择.
    1.本地恢复,这个如果文件损坏是可能导致问题的,没毛病
    2.云下载,自动下载完整的镜像恢复..本质就是保留 app/设置重装,自动化操作而已”
    我觉得对方已经讲的很清楚了。关于 reset 原理我查了下微软的文档
    https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/how-push-button-reset-features-work?view=windows-10
    ysc3839
        71
    ysc3839  
       170 天前
    @huntagain2008
    > 可是你并没有验证试验,光是怀疑重置会出问题然后就不建议别人用就有点奇怪了
    我自己是没有试验过,但是我已经听说过许多出问题的情况了。至于怀疑与不建议之间的关系,这显然是要看前提的,因为重装系统不麻烦,实践中遇到的问题也少,所以我才不建议使用重置。
    这里举一个反例,某个 QQ 群,一位刚加入的用户一句话都没说就发送了一个 Windows 程序,我说我怀疑这个程序可能是病毒,不建议下载运行,很合理吧?因为 Windows 权限太开放,运行后可能造成严重的后果,所以我不建议。假如对方发的是一个网站,我怀疑这个网站有问题,我大概不会不建议打开,因为浏览器有完善的沙盒环境,打开了大概也不会造成什么严重的后果。
    再者,这个帖子里很多人也是没有试验过各种 VPN 是否有监控,就不建议别人使用,这有问题吗?

    > 毕竟全世界用的人那么多了,也没看到有人报重置有问题
    比自己看到的人是多是少没有太大意义,我在一个解决电脑问题的群里,经常看到有人遇到问题后选择重置,虽然整个过程很顺利,但是问题还存在。

    至于你提到的另一个帖子,我当然知道能联网,所以我说:“那网络相关的损坏了呢?不是所有系统文件都在 WinSxS 里吧?再者,注册表呢?”似乎没人能回答。
    ysc3839
        72
    ysc3839  
       170 天前
    @huntagain2008
    刚刚我用虚拟机中的 Windows 10 测试了一下重置功能,选择的是云下载和删除所有数据,结果重置完发现之前安装的驱动仍然存在。
    印象中 EasyConnect 是会往系统中安装驱动的,所以你用重置可能并不能清除干净。
    huntagain2008
        73
    huntagain2008  
       169 天前
    @ysc3839 #72 本人小白,“If the customer performs recovery after upgrading from Windows 10 to Windows 10, version 1511, the drivers that are present during the upgrade will be restored, even if newer drivers have been installed since.”——引自微软的文档 How push-button reset features work

    我的理解是 reset 是恢复到最近一次升级的驱动,“到计算机管理-设备管理-网络适配器中找到 Sangfor ssl vpn 的虚拟网卡驱动”easyconnect 确实会安装驱动,之前我给忘记了。但是这有个前提,就是最近一次升级的系统未必会有新装的 easyconnect 有关驱动。就本人来说,reset 后的 windows10 版本是 21H1 ,我一直没有升级到 21H2 ,在微软想让我升级 21H2 时,我给电脑安装了 easyconnect ,但是我一直没有升级系统,所以 reset 会恢复到 21H1 时的驱动程序,那里不会有 easyconnect 。

    不过你提到的 easyconnect 会往系统安装驱动确实警醒了我。这种还写入驱动的程序实在太可怕了。
    sjzjams
        74
    sjzjams  
       169 天前
    只有上公司内网 不用担心吧,再说了回家还是用 vpn 只能证明你在家也工作哈哈哈
    James1976
        75
    James1976  
       169 天前
    看你公司的 vpn 设置的什么策略,有的是全局策略,就是只要你连 vpn ,一切流量皆走公司,不论你是上微信还是上公司 OA 。 有的是选择路由,就是只有访问公司的 IP 才走 VPN 。 有一点,就是只有走公司的流量才会被审计到, 但有个前提,公司没有在你的电脑上安装其他监控软件 。
    GoodRui
        76
    GoodRui  
       167 天前
    @levinit 妹子处对象包?
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2304 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 159ms · UTC 16:00 · PVG 00:00 · LAX 09:00 · JFK 12:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.