V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
v9ox
V2EX  ›  问与答

VPN 应该是可以逃过公司审查的吧

  •  
  •   v9ox · 2016-10-27 01:07:54 +08:00 · 17418 次点击
    这是一个创建于 2977 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司是做防火墙 /云安全的,工作场所只有公司的 WiFi,所有流量过公司防火墙,必须用自己工作 ID 登录,后台 log 上输入员工 ID 直接能看到所有网站的访问记录.

    我自己搭一个 VPN,这样公司防火墙上应该就只能看到我访问 VPN 的记录了吧? VPN 是 openVPN,有加密,公司在不知道密钥的前提下,即使做中间人 Replay,也只能看到密文,我这么理解有问题么?

    实在不想让自己在别人面前裸奔啊,虽然不见得有人愿意看我.

    第 1 条附言  ·  2016-10-27 04:25:56 +08:00
    谢谢大家回复,不过好像我没说清楚问题
    - 公司允许用 VPN,而且我在的组就是做关于 VPN 的东西,所以用 VPN 这件事本身是完全没关系的.
    - 周围的同事都在建自己的 VPN 做测试
    - 我不担心公司知道我用 VPN, 我担心公司知道我访问了哪些网站
    - 笔记本是我自己的, 公司发的只拿来收发公司的邮件. (我的 BOSS 也是这么做的, 没问题)
    - 我不看毛片,但是我想跳槽,所以不想让公司知道我天天刷 LinkedIn
    第 2 条附言  ·  2016-10-27 10:00:03 +08:00

    所以大家回复了这么多, 我还是不知道通过加密的VPN访问网站,公司能否知道我访问了哪些网站.

    • 晚上弄当然可以
    • 用手机流量当然也可以
    • 直接问问同事, 当然也可以
    • 即使我用了VPN, 我白天干了啥依然可以通过我的表情/我眼镜的反光/我的屏幕/我有没有抖腿/ 来判断我是不是在给公司干活

    可以, 我的问题是, ##通过加密的VPN访问网站,公司能否知道我访问了哪些网站. 大家可以回答这个问题吗?##

    52 条回复    2016-10-28 01:26:58 +08:00
    squid157
        1
    squid157  
       2016-10-27 01:23:45 +08:00
    如果没有在机器上做任何监视,我觉得 OpenVPN 是安全的。但你这样明确的留下一个记录,亮明自己不愿意服从规定,可能也不太好吧
    ldbC5uTBj11yaeh5
        2
    ldbC5uTBj11yaeh5  
       2016-10-27 01:25:14 +08:00 via Android
    自建个 http2 代理,这样特征最小。
    xuan880
        3
    xuan880  
       2016-10-27 01:54:03 +08:00 via Android
    小心被开除
    shiny
        4
    shiny  
       2016-10-27 02:46:53 +08:00 via iPhone
    不怕价值观有问题么
    RHFS
        5
    RHFS  
       2016-10-27 02:50:15 +08:00 via iPhone
    告诉你 还是老老实实买流量卡吧
    yyfearth
        6
    yyfearth  
       2016-10-27 03:06:48 +08:00
    防火墙可以 decap 常见 vpn/ssh/https 不过一般情况下你会发觉
    如果 decap 不了 完全可以记录和 block
    到时候如果真的追究起来 还是会有记录的

    @jigloo http2 可能好一些 毕竟比较新 但是 https 代理防火墙可以中间人监听的
    Lonely
        7
    Lonely  
       2016-10-27 03:21:53 +08:00 via iPhone
    分分钟滚蛋
    shiji
        8
    shiji  
       2016-10-27 03:39:10 +08:00 via Android   ❤️ 2
    我觉得既然在为公司做事,监视工作用的电脑没毛病。相信你也不会用公司电脑看毛片吧?问题在于你公司一旦出什么问题,没查出来,发现你自己在用 VPN ,你很有可能成为被怀疑的对象,不好证明清白。
    openvpn 特征很明显,家用路由器都能屏蔽,别用了。
    v9ox
        9
    v9ox  
    OP
       2016-10-27 04:29:31 +08:00
    @squid157 @shiny @yyfearth @shiji
    用 VPN 本身在我公司没问题,大家都在用,因为我们做的就是关于 VPN 的事情. 用 VPN 被发现不可耻. 我唯一担心的是我用了 VPN 之后,访问的网站依然会被审查到.

    @RHFS 我手机倒是有 4GB 的流量每个月, 然而没法共享给 MBP 使用吧.

    @xuan880 @Lonely 你们公司风气这么严么? 用个 VPN 就要被开除了.
    RqPS6rhmP3Nyn3Tm
        10
    RqPS6rhmP3Nyn3Tm  
       2016-10-27 05:22:18 +08:00 via iPhone
    @yyfearth 为什么 https 可以中间人攻击啊,不会证书报错或是回退到 http ,很容易看出来啊
    laoyuan
        11
    laoyuan  
       2016-10-27 06:36:36 +08:00
    手机流量没法共享给 MBP 使用?我在大学自习室里天天手机流量工作都快两年了。。 WIFI 热点、蓝牙共享。。
    Mutoo
        12
    Mutoo  
       2016-10-27 06:57:44 +08:00
    你在的组就是做关于 VPN 的东西,为啥你对 VPN 这么不了解。
    v9ox
        13
    v9ox  
    OP
       2016-10-27 07:12:27 +08:00 via iPhone
    @Mutoo 因为我刚来一个月
    @laoyuan 然而别人能看到热点的名字 不就暴露了么
    redsonic
        14
    redsonic  
       2016-10-27 07:27:21 +08:00
    都没人提到 TOR ,这个连国家队都没搞定
    princeofwales
        15
    princeofwales  
       2016-10-27 08:40:22 +08:00
    应该可以
    我们公司在用深信服的上网行为管理
    有一段时间,我全程 SSL VPN 上网,没遇到过一次上网被拦截的
    tees
        16
    tees  
       2016-10-27 08:43:46 +08:00
    即便是不监控,你在刷 LinkedIn ,不会被别人看到么?
    既然被别人看到了。。。。
    laoyuan
        17
    laoyuan  
       2016-10-27 08:50:37 +08:00
    蓝牙啊,蓝牙共享网络很方便的,安全又卫生
    yyfearth
        18
    yyfearth  
       2016-10-27 08:59:39 +08:00 via iPhone
    @BXIA 因为公司内部会推送 CA
    然后防火墙用这个 CA 签发证书来中间人就可以了
    而且你必须接受这个 CA 否则企业内部软件和服务没法使用
    更何况还有 MDM 设备管理 推送各种软件以及证书

    一般情况下 知名服务是不做 https 解密的
    但是一般的证书 尤其是自签证书 用中间人解密是没有什么问题的
    HannibaI
        19
    HannibaI  
       2016-10-27 09:14:56 +08:00 via iPhone
    @redsonic tor 太慢了
    bao3
        20
    bao3  
       2016-10-27 09:16:41 +08:00 via Android
    shadowsocks SSR 混淆应该非常符合你的需要,每个请求都伪造成第三方的合法网站,公司永远也不会知道你在干嘛。
    seashell
        21
    seashell  
       2016-10-27 09:19:51 +08:00
    @v9ox USB 热点
    helloccav
        22
    helloccav  
       2016-10-27 09:23:07 +08:00
    @yyfearth 请问一下,假如我在电脑系统接受了公司推送的 CA 证书, 然后我装一个虚拟机, 虚拟机系统里不接受公司推送的 CA 证书, 然后在虚拟机里用 https 上网, 还会被中间人攻击吗?
    cyr1l
        23
    cyr1l  
       2016-10-27 09:36:59 +08:00 via iPhone
    你所在的组就是做关于 VPN 的,你的同事都在做关于 VPN 的测试。

    然后你来问 VPN 能不能屏蔽监控?
    怀疑你的业务水平另外为什么不直接问同事?
    miketeam
        24
    miketeam  
       2016-10-27 09:39:31 +08:00
    好像你一天到晚都在上班似的,下班弄不行吗
    v9ox
        25
    v9ox  
    OP
       2016-10-27 09:56:56 +08:00
    @miketeam 下班弄当然可以.然而我的问题是我上班弄,到底会不会被公司知道我上了什么网站.
    @cyr1l 我同事都是阿三,我不想傻呵呵地问阿三我用 VPN 找工作你们能发现吗.
    @bao3 所以 openvpn 这个方案到底可行吗?
    @tees 我们是开放式办公, 没人管几点来几点走你坐哪.我的背后只有百叶窗,所以屏幕没人能看到.
    v9ox
        26
    v9ox  
    OP
       2016-10-27 10:04:07 +08:00
    @cyr1l 哦 说到业务水平 我的业务水平确实不高 所以才想跳槽 才会来问问题啊 要是我知道答案 我就不来问问题了

    所以你能直接而简洁地回答下, ##通过加密的 VPN 访问网站,公司能否知道我访问了哪些网站## 这个问题吗?
    shoaly
        27
    shoaly  
       2016-10-27 10:28:29 +08:00   ❤️ 1
    答案是可以了, 放心吧. 即便是 gfw 也只能感染 组织 vpn 握手, 无法看到里面的内容
    v9ox
        28
    v9ox  
    OP
       2016-10-27 10:51:00 +08:00
    @shoaly 我也只是想确认下 毕竟密钥的存在就是防中间人偷窥的 结果大家回复了 20 多楼也没有一个答案

    是我问的方式不对么...
    Vizogood
        29
    Vizogood  
       2016-10-27 11:03:19 +08:00 via Android
    @redsonic 你想多了,树大招风。
    Vizogood
        30
    Vizogood  
       2016-10-27 11:04:38 +08:00 via Android
    Openvpn 加密的内容是看不到的,正如你说的。但是得看是什么加密方式了...
    shoaly
        31
    shoaly  
       2016-10-27 11:07:35 +08:00
    @v9ox 是的, 只要是 vpn 的 都可以放心. vpn 可以保证你的公司只能看到你和跟跳板机之间有通讯, 基于 vpn 的, 但是内容是什么 并不知道
    v9ox
        32
    v9ox  
    OP
       2016-10-27 11:10:06 +08:00
    @Vizogood 看了下密钥长度 2024bit RSA 非对称加密 应该没啥问题了... 我觉得没人会去做 DPI 的 最多看个报头
    Quaintjade
        33
    Quaintjade  
       2016-10-27 11:24:00 +08:00   ❤️ 3
    如果 VPN 配置和使用方式正确,且没有加入公司域或者安装公司部署的软件的情况下,可以认为是安全的。

    主系统装 CA (只装了 CA 证书,没装其他软件)、虚拟机没有装的情况下,虚拟机一般是安全的。
    主系统装了软件的话,虚拟机就不一定安全了。最简单的例子:主系统隔短时间截一次屏,或者监视键盘看有没有连续输入 linkedin 这样的词。

    至于配置错误的例子,比如配置了 VPN 路由表结果把 linkedin.com 设成直连了,比如域名解析走了本地 DNS 。
    使用方式错误的例子,比如无视证书错误警告。
    shingoxray
        34
    shingoxray  
       2016-10-27 11:57:39 +08:00
    可以。从你电脑到 VPN 服务器这段是加密的,无法审查。
    YvesX
        35
    YvesX  
       2016-10-27 12:41:36 +08:00 via iPhone
    可以。但是制度问题是不能用技术解决的。
    coolrc
        36
    coolrc  
       2016-10-27 13:37:12 +08:00 via Android
    你自己就是做 VPN 的,结果连这个都不知道。。。
    v9ox
        37
    v9ox  
    OP
       2016-10-27 13:54:34 +08:00
    @YvesX 和制度无关... vpn 的目的并不是只有翻墙. 我现在用 vpn 的目的是工作时间刷题找工作, 下班时间打游戏(对, 公司的水果饮料零食让我不想回家)
    v9ox
        38
    v9ox  
    OP
       2016-10-27 13:55:12 +08:00
    @coolrc 我确实不能确定啊 所以来问问
    riomade
        39
    riomade  
       2016-10-27 14:00:25 +08:00
    你只关注了网络层的监控... 用 VPN 等加密方式只要确保验证证书,确保网站证书正确,就可以不用担心中间人.

    有没有去想想主机层面的监控呢,, 深信服, 网管软件等等,都是通过主机安装监控 agent 实现的
    wupher
        40
    wupher  
       2016-10-27 14:22:04 +08:00
    @riomade 楼上正解。网络层面使用 VPN 没大问题。主机层面就不好办了,除非你自己携带笔记本上班,否则无法保证你的机器上没有装 Agent 。即使网络层和主机层都搞定,公司还有办公室摄像头这个大杀器……
    v9ox
        41
    v9ox  
    OP
       2016-10-27 14:22:16 +08:00 via iPhone
    @Quaintjade 这得是什么公司才会这么监控员工…成本好高啊
    v9ox
        42
    v9ox  
    OP
       2016-10-27 14:27:38 +08:00 via iPhone
    @riomade
    @wupher

    我公司是把员工当成测试用户了 所以把所有流量送到了一个防火墙监控 目的并不是监控员工 用 guest WIFI 也能上网 只是速度不好 我就用自己的笔记本工作 公司的笔记本就收发公司邮件和同步公司代码

    我好奇如果公司用另外的证书处理加密的连接 那是不是必须用专用的浏览器才行? 要不然从根证书一路走下来 用户浏览器就发现证书不对了啊
    Quaintjade
        43
    Quaintjade  
       2016-10-27 14:51:07 +08:00
    @v9ox
    不需要专用浏览器。像 IE,Chrome,Opera 都是基于系统证书库的,只要把证书加到系统信任的根证书,然后链路上随便怎么劫持都行。只有 Firefox 是基于自带的证书库,得额外往里面添加,用 Portable 版的也许能逃过一般的监控劫持。
    ipconfiger
        44
    ipconfiger  
       2016-10-27 15:01:01 +08:00
    起码能看到你搞 VPN 是没问题的, 然后老板就会联想你在干什么不可见人的事情, 虽然你并没有干什么不可见人的事情,但是现在已经有口莫辩了. 国外这么强调人权自由的在大公司里面也会有网络审计, 监控, 不然那个外包到中国来的程序员是怎么被发现的. 不知道楼举还矫情个啥呢
    ipconfiger
        45
    ipconfiger  
       2016-10-27 15:02:55 +08:00
    看完附言发现楼主果然有见不得人的事情, 所以这个时候自己手机当热点连手机刷网络就是了, 上班时间刷跳槽网站本来就不好, 花自己话费刷权当求心安吧
    v9ox
        46
    v9ox  
    OP
       2016-10-27 15:05:10 +08:00 via iPhone
    @Quaintjade 学到了 明天白天再看下这块

    我还以为都要从根证书一路走下来呢
    v9ox
        47
    v9ox  
    OP
       2016-10-27 15:11:28 +08:00 via iPhone
    @ipconfiger 看到我搞 vpn 真的没问题

    因为最近公司调试 整个公司把 l2tp 禁掉了 我前一阵子还和 boss 说 他说你可以建一个 ipsec 或者 openvpn 的 或者去拿跟网站走有线 有线数据不过测试防火墙

    然而我一想有线网口物理上都固定了 更不靠谱 还是用无线吧

    tether 的话因为楼主过于猥琐 用的是免费手机卡 流量免费但是 tether 要收费 所以要 tether 只能给手机越狱 这个行不通了

    摄像头这些都没有 我背后就是窗户和墙 周围的人也有网购看视频的 其实并没有人管

    我只是不想隐私被别人获取 哪怕不跳槽 也不想被人知道今天上过哪些网站搜了哪些关键词
    billlee
        48
    billlee  
       2016-10-27 22:08:42 +08:00
    openvpn 的安全性是很好的,能是实现保密和消息认证,无法通过监听来发现你访问的是什么网站。
    但你要保证

    1. 你的主机是干净的,没有被安装后门程序
    2. 在客户端和服务器之间传递 ca 证书和客户端证书申请的过程是可靠的,没有被篡改。
    ddd2500
        49
    ddd2500  
       2016-10-27 23:27:11 +08:00
    1. 自己的机器是干净。
    2. vpn 传输使用的加密哪个复杂用哪个, 不过最简单的以一个普通公司的资源也是破解不了的。
    yyfearth
        50
    yyfearth  
       2016-10-28 00:21:51 +08:00 via iPhone   ❤️ 1
    @helloccav 会的 中间人替换证书 反代 https 网站
    和你有没有装 CA 没关系
    区别仅仅是 装了 CA 换了证书 你浏览器还是信任的 可以正常访问
    没装 CA 那么就好跳出证书不受信的警告
    然而 你并没办法干什么 来跳过中间人
    除非用其他的 tunnel
    ZRS
        51
    ZRS  
       2016-10-28 00:55:04 +08:00
    ss 这种场景会更合适一点吧
    v9ox
        52
    v9ox  
    OP
       2016-10-28 01:26:58 +08:00
    @ZRS SS 不能做全局代理 QQ/微信 /LOL 就暴露了吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2222 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 00:19 · PVG 08:19 · LAX 16:19 · JFK 19:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.