公司是做防火墙 /云安全的,工作场所只有公司的 WiFi,所有流量过公司防火墙,必须用自己工作 ID 登录,后台 log 上输入员工 ID 直接能看到所有网站的访问记录.
我自己搭一个 VPN,这样公司防火墙上应该就只能看到我访问 VPN 的记录了吧? VPN 是 openVPN,有加密,公司在不知道密钥的前提下,即使做中间人 Replay,也只能看到密文,我这么理解有问题么?
实在不想让自己在别人面前裸奔啊,虽然不见得有人愿意看我.
This topic created in 3515 days ago, the information mentioned may be changed or developed.
Supplement 1 · Oct 27, 2016
谢谢大家回复,不过好像我没说清楚问题
- 公司允许用 VPN,而且我在的组就是做关于 VPN 的东西,所以用 VPN 这件事本身是完全没关系的.
- 周围的同事都在建自己的 VPN 做测试
- 我不担心公司知道我用 VPN, 我担心公司知道我访问了哪些网站
- 笔记本是我自己的, 公司发的只拿来收发公司的邮件. (我的 BOSS 也是这么做的, 没问题)
- 我不看毛片,但是我想跳槽,所以不想让公司知道我天天刷 LinkedIn
- 公司允许用 VPN,而且我在的组就是做关于 VPN 的东西,所以用 VPN 这件事本身是完全没关系的.
- 周围的同事都在建自己的 VPN 做测试
- 我不担心公司知道我用 VPN, 我担心公司知道我访问了哪些网站
- 笔记本是我自己的, 公司发的只拿来收发公司的邮件. (我的 BOSS 也是这么做的, 没问题)
- 我不看毛片,但是我想跳槽,所以不想让公司知道我天天刷 LinkedIn
Supplement 2 · Oct 27, 2016
所以大家回复了这么多, 我还是不知道通过加密的VPN访问网站,公司能否知道我访问了哪些网站.
- 晚上弄当然可以
- 用手机流量当然也可以
- 直接问问同事, 当然也可以
- 即使我用了VPN, 我白天干了啥依然可以通过我的表情/我眼镜的反光/我的屏幕/我有没有抖腿/ 来判断我是不是在给公司干活
可以, 我的问题是, ##通过加密的VPN访问网站,公司能否知道我访问了哪些网站. 大家可以回答这个问题吗?##
 |
1
squid157 Oct 27, 2016
如果没有在机器上做任何监视,我觉得 OpenVPN 是安全的。但你这样明确的留下一个记录,亮明自己不愿意服从规定,可能也不太好吧
|
 |
2
ldbC5uTBj11yaeh5 Oct 27, 2016 via Android
自建个 http2 代理,这样特征最小。
|
 |
3
xuan880 Oct 27, 2016 via Android
小心被开除
|
 |
4
shiny PRO 不怕价值观有问题么
|
 |
5
RHFS Oct 27, 2016 via iPhone
告诉你 还是老老实实买流量卡吧
|
 |
6
yyfearth Oct 27, 2016
防火墙可以 decap 常见 vpn/ssh/https 不过一般情况下你会发觉
如果 decap 不了 完全可以记录和 block 到时候如果真的追究起来 还是会有记录的 @jigloo http2 可能好一些 毕竟比较新 但是 https 代理防火墙可以中间人监听的 |
 |
7
Lonely Oct 27, 2016 via iPhone
分分钟滚蛋
|
 |
8
shiji Oct 27, 2016 via Android  2
我觉得既然在为公司做事,监视工作用的电脑没毛病。相信你也不会用公司电脑看毛片吧?问题在于你公司一旦出什么问题,没查出来,发现你自己在用 VPN ,你很有可能成为被怀疑的对象,不好证明清白。
openvpn 特征很明显,家用路由器都能屏蔽,别用了。 |
 |
9
v9ox OP |
 |
10
RqPS6rhmP3Nyn3Tm Oct 27, 2016 via iPhone
@yyfearth 为什么 https 可以中间人攻击啊,不会证书报错或是回退到 http ,很容易看出来啊
|
 |
11
laoyuan Oct 27, 2016
手机流量没法共享给 MBP 使用?我在大学自习室里天天手机流量工作都快两年了。。 WIFI 热点、蓝牙共享。。
|
 |
12
Mutoo Oct 27, 2016
你在的组就是做关于 VPN 的东西,为啥你对 VPN 这么不了解。
|
 |
14
redsonic Oct 27, 2016
都没人提到 TOR ,这个连国家队都没搞定
|
 |
15
princeofwales Oct 27, 2016
应该可以
我们公司在用深信服的上网行为管理 有一段时间,我全程 SSL VPN 上网,没遇到过一次上网被拦截的 |
 |
16
tees Oct 27, 2016
即便是不监控,你在刷 LinkedIn ,不会被别人看到么?
既然被别人看到了。。。。 |
|
17
laoyuan Oct 27, 2016
蓝牙啊,蓝牙共享网络很方便的,安全又卫生
|
|
18
yyfearth Oct 27, 2016 via iPhone
@BXIA 因为公司内部会推送 CA
然后防火墙用这个 CA 签发证书来中间人就可以了 而且你必须接受这个 CA 否则企业内部软件和服务没法使用 更何况还有 MDM 设备管理 推送各种软件以及证书 一般情况下 知名服务是不做 https 解密的 但是一般的证书 尤其是自签证书 用中间人解密是没有什么问题的 |
 |
20
bao3 Oct 27, 2016 via Android
shadowsocks SSR 混淆应该非常符合你的需要,每个请求都伪造成第三方的合法网站,公司永远也不会知道你在干嘛。
|
 |
22
helloccav Oct 27, 2016
@yyfearth 请问一下,假如我在电脑系统接受了公司推送的 CA 证书, 然后我装一个虚拟机, 虚拟机系统里不接受公司推送的 CA 证书, 然后在虚拟机里用 https 上网, 还会被中间人攻击吗?
|
 |
23
cyr1l Oct 27, 2016 via iPhone
你所在的组就是做关于 VPN 的,你的同事都在做关于 VPN 的测试。
然后你来问 VPN 能不能屏蔽监控? 怀疑你的业务水平另外为什么不直接问同事? |
 |
24
miketeam Oct 27, 2016
好像你一天到晚都在上班似的,下班弄不行吗
|
|
25
v9ox OP |
|
26
v9ox OP @cyr1l 哦 说到业务水平 我的业务水平确实不高 所以才想跳槽 才会来问问题啊 要是我知道答案 我就不来问问题了
所以你能直接而简洁地回答下, ##通过加密的 VPN 访问网站,公司能否知道我访问了哪些网站## 这个问题吗? |
 |
27
shoaly Oct 27, 2016 1
答案是可以了, 放心吧. 即便是 gfw 也只能感染 组织 vpn 握手, 无法看到里面的内容
|
 |
30
Vizogood Oct 27, 2016 via Android
Openvpn 加密的内容是看不到的,正如你说的。但是得看是什么加密方式了...
|
|
31
shoaly Oct 27, 2016
@v9ox 是的, 只要是 vpn 的 都可以放心. vpn 可以保证你的公司只能看到你和跟跳板机之间有通讯, 基于 vpn 的, 但是内容是什么 并不知道
|
 |
33
Quaintjade Oct 27, 2016 3
如果 VPN 配置和使用方式正确,且没有加入公司域或者安装公司部署的软件的情况下,可以认为是安全的。
主系统装 CA (只装了 CA 证书,没装其他软件)、虚拟机没有装的情况下,虚拟机一般是安全的。 主系统装了软件的话,虚拟机就不一定安全了。最简单的例子:主系统隔短时间截一次屏,或者监视键盘看有没有连续输入 linkedin 这样的词。 至于配置错误的例子,比如配置了 VPN 路由表结果把 linkedin.com 设成直连了,比如域名解析走了本地 DNS 。 使用方式错误的例子,比如无视证书错误警告。 |
 |
34
shingoxray Oct 27, 2016
可以。从你电脑到 VPN 服务器这段是加密的,无法审查。
|
 |
35
YvesX Oct 27, 2016 via iPhone
可以。但是制度问题是不能用技术解决的。
|
 |
36
coolrc Oct 27, 2016 via Android
你自己就是做 VPN 的,结果连这个都不知道。。。
|
|
37
v9ox OP @YvesX 和制度无关... vpn 的目的并不是只有翻墙. 我现在用 vpn 的目的是工作时间刷题找工作, 下班时间打游戏(对, 公司的水果饮料零食让我不想回家)
|
 |
39
riomade Oct 27, 2016
你只关注了网络层的监控... 用 VPN 等加密方式只要确保验证证书,确保网站证书正确,就可以不用担心中间人.
有没有去想想主机层面的监控呢,, 深信服, 网管软件等等,都是通过主机安装监控 agent 实现的 |
 |
40
wupher Oct 27, 2016
@riomade 楼上正解。网络层面使用 VPN 没大问题。主机层面就不好办了,除非你自己携带笔记本上班,否则无法保证你的机器上没有装 Agent 。即使网络层和主机层都搞定,公司还有办公室摄像头这个大杀器……
|
|
41
v9ox OP @Quaintjade 这得是什么公司才会这么监控员工…成本好高啊
|
|
42
v9ox OP |
|
43
Quaintjade Oct 27, 2016
@v9ox
不需要专用浏览器。像 IE,Chrome,Opera 都是基于系统证书库的,只要把证书加到系统信任的根证书,然后链路上随便怎么劫持都行。只有 Firefox 是基于自带的证书库,得额外往里面添加,用 Portable 版的也许能逃过一般的监控劫持。 |
 |
44
ipconfiger Oct 27, 2016
起码能看到你搞 VPN 是没问题的, 然后老板就会联想你在干什么不可见人的事情, 虽然你并没有干什么不可见人的事情,但是现在已经有口莫辩了. 国外这么强调人权自由的在大公司里面也会有网络审计, 监控, 不然那个外包到中国来的程序员是怎么被发现的. 不知道楼举还矫情个啥呢
|
|
45
ipconfiger Oct 27, 2016
看完附言发现楼主果然有见不得人的事情, 所以这个时候自己手机当热点连手机刷网络就是了, 上班时间刷跳槽网站本来就不好, 花自己话费刷权当求心安吧
|
|
46
v9ox OP |
|
47
v9ox OP @ipconfiger 看到我搞 vpn 真的没问题
因为最近公司调试 整个公司把 l2tp 禁掉了 我前一阵子还和 boss 说 他说你可以建一个 ipsec 或者 openvpn 的 或者去拿跟网站走有线 有线数据不过测试防火墙 然而我一想有线网口物理上都固定了 更不靠谱 还是用无线吧 tether 的话因为楼主过于猥琐 用的是免费手机卡 流量免费但是 tether 要收费 所以要 tether 只能给手机越狱 这个行不通了 摄像头这些都没有 我背后就是窗户和墙 周围的人也有网购看视频的 其实并没有人管 我只是不想隐私被别人获取 哪怕不跳槽 也不想被人知道今天上过哪些网站搜了哪些关键词 |
 |
48
billlee Oct 27, 2016
openvpn 的安全性是很好的,能是实现保密和消息认证,无法通过监听来发现你访问的是什么网站。
但你要保证 1. 你的主机是干净的,没有被安装后门程序 2. 在客户端和服务器之间传递 ca 证书和客户端证书申请的过程是可靠的,没有被篡改。 |
 |
49
ddd2500 Oct 27, 2016
1. 自己的机器是干净。
2. vpn 传输使用的加密哪个复杂用哪个, 不过最简单的以一个普通公司的资源也是破解不了的。 |
|
50
yyfearth Oct 28, 2016 via iPhone 1
@helloccav 会的 中间人替换证书 反代 https 网站
和你有没有装 CA 没关系 区别仅仅是 装了 CA 换了证书 你浏览器还是信任的 可以正常访问 没装 CA 那么就好跳出证书不受信的警告 然而 你并没办法干什么 来跳过中间人 除非用其他的 tunnel |
 |
51
ZRS Oct 28, 2016
ss 这种场景会更合适一点吧
|
Select Language