公司是做防火墙 /云安全的,工作场所只有公司的 WiFi,所有流量过公司防火墙,必须用自己工作 ID 登录,后台 log 上输入员工 ID 直接能看到所有网站的访问记录.
我自己搭一个 VPN,这样公司防火墙上应该就只能看到我访问 VPN 的记录了吧? VPN 是 openVPN,有加密,公司在不知道密钥的前提下,即使做中间人 Replay,也只能看到密文,我这么理解有问题么?
实在不想让自己在别人面前裸奔啊,虽然不见得有人愿意看我.
所以大家回复了这么多, 我还是不知道通过加密的VPN访问网站,公司能否知道我访问了哪些网站.
可以, 我的问题是, ##通过加密的VPN访问网站,公司能否知道我访问了哪些网站. 大家可以回答这个问题吗?##
1
squid157 2016-10-27 01:23:45 +08:00
如果没有在机器上做任何监视,我觉得 OpenVPN 是安全的。但你这样明确的留下一个记录,亮明自己不愿意服从规定,可能也不太好吧
|
2
ldbC5uTBj11yaeh5 2016-10-27 01:25:14 +08:00 via Android
自建个 http2 代理,这样特征最小。
|
3
xuan880 2016-10-27 01:54:03 +08:00 via Android
小心被开除
|
4
shiny 2016-10-27 02:46:53 +08:00 via iPhone
不怕价值观有问题么
|
5
RHFS 2016-10-27 02:50:15 +08:00 via iPhone
告诉你 还是老老实实买流量卡吧
|
6
yyfearth 2016-10-27 03:06:48 +08:00
防火墙可以 decap 常见 vpn/ssh/https 不过一般情况下你会发觉
如果 decap 不了 完全可以记录和 block 到时候如果真的追究起来 还是会有记录的 @jigloo http2 可能好一些 毕竟比较新 但是 https 代理防火墙可以中间人监听的 |
7
Lonely 2016-10-27 03:21:53 +08:00 via iPhone
分分钟滚蛋
|
8
shiji 2016-10-27 03:39:10 +08:00 via Android 2
我觉得既然在为公司做事,监视工作用的电脑没毛病。相信你也不会用公司电脑看毛片吧?问题在于你公司一旦出什么问题,没查出来,发现你自己在用 VPN ,你很有可能成为被怀疑的对象,不好证明清白。
openvpn 特征很明显,家用路由器都能屏蔽,别用了。 |
9
v9ox OP |
10
RqPS6rhmP3Nyn3Tm 2016-10-27 05:22:18 +08:00 via iPhone
@yyfearth 为什么 https 可以中间人攻击啊,不会证书报错或是回退到 http ,很容易看出来啊
|
11
laoyuan 2016-10-27 06:36:36 +08:00
手机流量没法共享给 MBP 使用?我在大学自习室里天天手机流量工作都快两年了。。 WIFI 热点、蓝牙共享。。
|
12
Mutoo 2016-10-27 06:57:44 +08:00
你在的组就是做关于 VPN 的东西,为啥你对 VPN 这么不了解。
|
14
redsonic 2016-10-27 07:27:21 +08:00
都没人提到 TOR ,这个连国家队都没搞定
|
15
princeofwales 2016-10-27 08:40:22 +08:00
应该可以
我们公司在用深信服的上网行为管理 有一段时间,我全程 SSL VPN 上网,没遇到过一次上网被拦截的 |
16
tees 2016-10-27 08:43:46 +08:00
即便是不监控,你在刷 LinkedIn ,不会被别人看到么?
既然被别人看到了。。。。 |
17
laoyuan 2016-10-27 08:50:37 +08:00
蓝牙啊,蓝牙共享网络很方便的,安全又卫生
|
18
yyfearth 2016-10-27 08:59:39 +08:00 via iPhone
@BXIA 因为公司内部会推送 CA
然后防火墙用这个 CA 签发证书来中间人就可以了 而且你必须接受这个 CA 否则企业内部软件和服务没法使用 更何况还有 MDM 设备管理 推送各种软件以及证书 一般情况下 知名服务是不做 https 解密的 但是一般的证书 尤其是自签证书 用中间人解密是没有什么问题的 |
20
bao3 2016-10-27 09:16:41 +08:00 via Android
shadowsocks SSR 混淆应该非常符合你的需要,每个请求都伪造成第三方的合法网站,公司永远也不会知道你在干嘛。
|
22
helloccav 2016-10-27 09:23:07 +08:00
@yyfearth 请问一下,假如我在电脑系统接受了公司推送的 CA 证书, 然后我装一个虚拟机, 虚拟机系统里不接受公司推送的 CA 证书, 然后在虚拟机里用 https 上网, 还会被中间人攻击吗?
|
23
cyr1l 2016-10-27 09:36:59 +08:00 via iPhone
你所在的组就是做关于 VPN 的,你的同事都在做关于 VPN 的测试。
然后你来问 VPN 能不能屏蔽监控? 怀疑你的业务水平另外为什么不直接问同事? |
24
miketeam 2016-10-27 09:39:31 +08:00
好像你一天到晚都在上班似的,下班弄不行吗
|
25
v9ox OP |
26
v9ox OP @cyr1l 哦 说到业务水平 我的业务水平确实不高 所以才想跳槽 才会来问问题啊 要是我知道答案 我就不来问问题了
所以你能直接而简洁地回答下, ##通过加密的 VPN 访问网站,公司能否知道我访问了哪些网站## 这个问题吗? |
27
shoaly 2016-10-27 10:28:29 +08:00 1
答案是可以了, 放心吧. 即便是 gfw 也只能感染 组织 vpn 握手, 无法看到里面的内容
|
28
v9ox OP |
30
Vizogood 2016-10-27 11:04:38 +08:00 via Android
Openvpn 加密的内容是看不到的,正如你说的。但是得看是什么加密方式了...
|
31
shoaly 2016-10-27 11:07:35 +08:00
@v9ox 是的, 只要是 vpn 的 都可以放心. vpn 可以保证你的公司只能看到你和跟跳板机之间有通讯, 基于 vpn 的, 但是内容是什么 并不知道
|
32
v9ox OP @Vizogood 看了下密钥长度 2024bit RSA 非对称加密 应该没啥问题了... 我觉得没人会去做 DPI 的 最多看个报头
|
33
Quaintjade 2016-10-27 11:24:00 +08:00 3
如果 VPN 配置和使用方式正确,且没有加入公司域或者安装公司部署的软件的情况下,可以认为是安全的。
主系统装 CA (只装了 CA 证书,没装其他软件)、虚拟机没有装的情况下,虚拟机一般是安全的。 主系统装了软件的话,虚拟机就不一定安全了。最简单的例子:主系统隔短时间截一次屏,或者监视键盘看有没有连续输入 linkedin 这样的词。 至于配置错误的例子,比如配置了 VPN 路由表结果把 linkedin.com 设成直连了,比如域名解析走了本地 DNS 。 使用方式错误的例子,比如无视证书错误警告。 |
34
shingoxray 2016-10-27 11:57:39 +08:00
可以。从你电脑到 VPN 服务器这段是加密的,无法审查。
|
35
YvesX 2016-10-27 12:41:36 +08:00 via iPhone
可以。但是制度问题是不能用技术解决的。
|
36
coolrc 2016-10-27 13:37:12 +08:00 via Android
你自己就是做 VPN 的,结果连这个都不知道。。。
|
37
v9ox OP @YvesX 和制度无关... vpn 的目的并不是只有翻墙. 我现在用 vpn 的目的是工作时间刷题找工作, 下班时间打游戏(对, 公司的水果饮料零食让我不想回家)
|
39
riomade 2016-10-27 14:00:25 +08:00
你只关注了网络层的监控... 用 VPN 等加密方式只要确保验证证书,确保网站证书正确,就可以不用担心中间人.
有没有去想想主机层面的监控呢,, 深信服, 网管软件等等,都是通过主机安装监控 agent 实现的 |
40
wupher 2016-10-27 14:22:04 +08:00
@riomade 楼上正解。网络层面使用 VPN 没大问题。主机层面就不好办了,除非你自己携带笔记本上班,否则无法保证你的机器上没有装 Agent 。即使网络层和主机层都搞定,公司还有办公室摄像头这个大杀器……
|
41
v9ox OP @Quaintjade 这得是什么公司才会这么监控员工…成本好高啊
|
42
v9ox OP |
43
Quaintjade 2016-10-27 14:51:07 +08:00
@v9ox
不需要专用浏览器。像 IE,Chrome,Opera 都是基于系统证书库的,只要把证书加到系统信任的根证书,然后链路上随便怎么劫持都行。只有 Firefox 是基于自带的证书库,得额外往里面添加,用 Portable 版的也许能逃过一般的监控劫持。 |
44
ipconfiger 2016-10-27 15:01:01 +08:00
起码能看到你搞 VPN 是没问题的, 然后老板就会联想你在干什么不可见人的事情, 虽然你并没有干什么不可见人的事情,但是现在已经有口莫辩了. 国外这么强调人权自由的在大公司里面也会有网络审计, 监控, 不然那个外包到中国来的程序员是怎么被发现的. 不知道楼举还矫情个啥呢
|
45
ipconfiger 2016-10-27 15:02:55 +08:00
看完附言发现楼主果然有见不得人的事情, 所以这个时候自己手机当热点连手机刷网络就是了, 上班时间刷跳槽网站本来就不好, 花自己话费刷权当求心安吧
|
46
v9ox OP |
47
v9ox OP @ipconfiger 看到我搞 vpn 真的没问题
因为最近公司调试 整个公司把 l2tp 禁掉了 我前一阵子还和 boss 说 他说你可以建一个 ipsec 或者 openvpn 的 或者去拿跟网站走有线 有线数据不过测试防火墙 然而我一想有线网口物理上都固定了 更不靠谱 还是用无线吧 tether 的话因为楼主过于猥琐 用的是免费手机卡 流量免费但是 tether 要收费 所以要 tether 只能给手机越狱 这个行不通了 摄像头这些都没有 我背后就是窗户和墙 周围的人也有网购看视频的 其实并没有人管 我只是不想隐私被别人获取 哪怕不跳槽 也不想被人知道今天上过哪些网站搜了哪些关键词 |
48
billlee 2016-10-27 22:08:42 +08:00
openvpn 的安全性是很好的,能是实现保密和消息认证,无法通过监听来发现你访问的是什么网站。
但你要保证 1. 你的主机是干净的,没有被安装后门程序 2. 在客户端和服务器之间传递 ca 证书和客户端证书申请的过程是可靠的,没有被篡改。 |
49
ddd2500 2016-10-27 23:27:11 +08:00
1. 自己的机器是干净。
2. vpn 传输使用的加密哪个复杂用哪个, 不过最简单的以一个普通公司的资源也是破解不了的。 |
50
yyfearth 2016-10-28 00:21:51 +08:00 via iPhone 1
@helloccav 会的 中间人替换证书 反代 https 网站
和你有没有装 CA 没关系 区别仅仅是 装了 CA 换了证书 你浏览器还是信任的 可以正常访问 没装 CA 那么就好跳出证书不受信的警告 然而 你并没办法干什么 来跳过中间人 除非用其他的 tunnel |
51
ZRS 2016-10-28 00:55:04 +08:00
ss 这种场景会更合适一点吧
|