Вход | Регистрация
 

Может ли администратор домена видеть домашний комп, удаленно подключенный по VPN?

Может ли администратор домена видеть домашний комп, удаленно подключенный по VPN?
Я
   Глупый дятел
 
19.02.20 - 21:17
Может ли администратор домена видеть домашний комп, удаленно подключенный по VPn? В смысле отображение рабочего стола?
   vde69
 
1 - 19.02.20 - 21:19
если у тебя установлены и работают службы удаленного администрирования и нет фаервола - то да...

но у меня другой вопрос - зачем домашний комп вводить в домен?
   Глупый дятел
 
2 - 19.02.20 - 21:24
вопрос не зачем, а может ли подсматривать удаленный работодатель за домашним компом
   Midrash
 
3 - 19.02.20 - 21:28
(0) если комп введен в домен, то админ его может поставить то что хочет и смотреть то что хочет
   Глупый дятел
 
4 - 19.02.20 - 21:37
(3)
ну вот я просто подключаюсь, но ничего специально никуда не вводил. Можно ли при такой схеме удаленно подсматривать?
   vde69
 
5 - 19.02.20 - 21:39
(4) комп твой ? никакие специальные программы тебе не ставили?

если нет - то никто кроме спец хакеров не сможет видеть...
   Midrash
 
6 - 19.02.20 - 21:39
(4) нет, не парься
   такт
 
7 - 19.02.20 - 21:42
(0) теневое подключение к сессии пользователя ?
   ololoraise
 
8 - 19.02.20 - 23:32
(0) Представь, ты с ноутом в офис пришел и вифи подключил, много что увидел админ? Вместо офиса может быть мак, или метро...
   ololoraise
 
9 - 19.02.20 - 23:33
(7) про рдп вроде ни слова
   John83
 
10 - 19.02.20 - 23:57
(8) т.е. мой трафик он может посмотреть?
   acht
 
11 - 20.02.20 - 00:09
(10) Ессно.

Если впн для людей сделан, то тебе маршрутизация с впн-сервера и пушится. Да еще и днс в впн весь заворачивается, чтобы все обращения внутрь прозрачно работали. В результате все твои загрузки с порнхаба могут проходить через доброго админа, пушо надо делиться.
Ну и вдогонку еще сертификат левый тебе придется установить чтобы впн собсно и работал.

А ты как хотел в мире корпораций?
   Midrash
 
12 - 20.02.20 - 00:31
(11) У ВПНа  свой интерфейс, не весь трафик туда идет.
   NorthWind
 
13 - 20.02.20 - 06:23
(10) сильно зависит от реализации. Если приличный vpn-клиент, хотя бы shrew или cisco, то там создаётся отдельный виртуальный сетевой интерфейс и при установке соединения таблица маршрутизации перестраивается так, что только конторская сеть идёт через него, а остальное как было. В более примитивных случаях, например при использовании виндового pptp и l2tp, vpn-интерфейс может вставать основным и весь трафик, в том числе инетовский, пойдет через контору, если самостоятельно не менять маршруты.
   NorthWind
 
14 - 20.02.20 - 06:27
Думаю, что нормальным админам нафиг не надо через свои мощности тягать трафик телекоммьютеров, который не относится к работе, так что скорее всего используется грамотная настройка клиентов.
   NorthWind
 
15 - 20.02.20 - 06:49
Удаленный личный комп никто в домен вводить не будет, мне кажется. При вводе в домен винда достаточно серьезно перестраивается, плюс нужна corporate версия, а на компе, особенно если это ноут, вполне может быть home. Кому это надо? Другое дело выданный конторой ноут для командировок, вот там - да.
   acht
 
16 - 20.02.20 - 09:37
(12) Уиии, мой любимый мир розовых е... всезнающих 1Сников в тепличных условия лабораторок 11 класса.

Вот представь себе, что в сети предприятия есть подсеть 10.х.х.х, внутри которой находится Очень Важный SQL Сервер. Внутри сети предприятия маршрутизация настроена идеально, все очень прозрачно и эффективно.
Программист Вася Пупкин хочет работать с этим сервером удаленно из барбершопа, попивая смузи. Он только что доказал анониму на форуме, что выставлять RDP в интернет это зло и
сейчас требует организовать себе Удаленный Доступ через VPN. Админы предприятия проникаются Важностью Процесса, устанавливают и настраивают ему какой-нибудь энтерпрайзный AnyConnect.
И тут внезапно барбершоп предательски выдает Васе на wifi интерфейс адрес той же
подсети 10.х.х.х.

Ваши предложения?

Сменить барбершоп Васисуалий  не может - образ, понимаешь, и всетакое, окружение не оценит.
   Krigal
 
17 - 20.02.20 - 09:55
(16) О! Знакомая тема.
Админил отельчик небольшой. Приехали такие же ребята. Грозно смотрели и топали ножками.
Объяснил, что ради них сеть отеля перестраивать не буду.
Выход был такой: их телефоны подключаются к нашей сети, а дальше по кабелю раздают инет на ноуты =)

Решение может быть не элегантное и модным посетителям барбершопов будет западло подключать мобилу к ноуту проводом, но как говорится "вам шашечки или ехать?"
   Сияющий в темноте
 
18 - 20.02.20 - 09:57
и не стоит путать:
компьютер можно подключить к домену,чтобы он видел сетевве шары и т.п.
компьютер можно сделать частью домена,когда все управление идет через контроллер домена-в этом случае-все разрешения и аудит идут через еонтроллер домена,и еомпьютером можно удаленно управлять,при этом,еонечно,прямого просмотра экрана как бы неи,но можно удаленно запустить граббер экрана и смотреть,что там происходит.

у подключения через удаленный доступ,через который подключается vpn,есть галочка использовать как стандартный шлюз.
   acht
 
19 - 20.02.20 - 11:36
(17) Вот это как раз решение со стороны барбершопа (:

А когда таких барбершопов становится много, суровые ынтерпрайзные админы просто пушат с впн сервера маршрутизацию, заворачивающую все локальные подсети, которые 10... 192.168 и 176... внутрь к себе в впн. Попутно заворочивают туда же и днс, чтобы разрешить имена типа jira.local и уйти от зоопарка методов опеределения приорететов днс в разных операционках. Разрешенные имена ессно не попадают в диапазон локальных подсетей и идут на интерфейсы, смотрящие в интернет.

А попутно у безопасников появляется возможность завернуть разыменование того же порнохаба на свой айпи, прогнать трафик через себя и посмотреть каких цыпочек Васисуалий предпочитает работе с Очень Важным SQL Сервером.

И все. Как было правильно замечено - "вам шашечки или ехать"
   VladZ
 
20 - 20.02.20 - 11:40
(0) Нет, не может.
   dmpl
 
21 - 20.02.20 - 12:09
(0) Поднимай виртуалку для работы.
   Oftan_Idy
 
22 - 20.02.20 - 12:13
(16) Это все понятно.

Но главный вопрос был в том, сможет ли админ видеть то что происходит на удаленном компе? Залезть на винт, посмотреть рабочий стол.

Обычно при удаленном подключении в российской действительности бывает так.
1) VPN соединение типа "Parallels" или еще что-то, к сети предпрятия.
   Затем RDP подключение к терминальному серверу внутри предприятия для таких удаленщиков и работа их уже там с сетью предприятия.
   Также может быть RDP подключение напрямую к рабочему компу сотрудника в его кабинете в офисе

 2) Тупо подключение RDP к терминальному серверу внутри предприятия. Без всяких VPN.

Но обычно в итоге всегда есть RDP подключение в копу в офисной сети.

Может ли админ иметь доступ к данным клиента RDP, учитывая что на сервере RDP машины админ царь и бог ?
   NorthWind
 
23 - 20.02.20 - 18:24
странно что никто не задался вопросом - а на хрена админу это надо?
   Джинн
 
24 - 20.02.20 - 18:33
(0) Да забейте! Это порно админ уже десяток раз видел.
   Garykom
 
25 - 20.02.20 - 18:35
(24) Может там новое с веб-камеры?
Технически не вижу проблемы даже камеру перепрошить (чтобы "лампочка" не загоралась) удаленно админу грамотному если комп загнан в домен и отдельно внешний файрвол не настроен блочить ему доступ.
   pechkin
 
26 - 20.02.20 - 18:35
(24) так там же речь про халтурки.
   Фокусник
 
27 - 20.02.20 - 18:41
(0) ставь виртуальный PC и подключайся к VPN с него, так еще можно на разных VPN одновременно сидеть и локальному интернет трафику это не помешает...
   NorthWind
 
28 - 20.02.20 - 19:26
(25) а зря не видишь. Она аппаратно может быть присобачена параллельно питанию модуля камеры, и тогда перепрошивка лампочки в нерабочее состояние будет автоматически переводить в оное и камеру :))
   vde69
 
29 - 20.02.20 - 19:57
(19) нифига такого не происходит...
реальная маршрутиризация идет не по IP а по макам, по этому какая таблица у тебя в локальном кеше так и пойдет маршрутиризация...

то есть при совпадении IP у тебя банально не поднимится впн, и у тебя виртуальный интерфейс будет вообще без ИП, а точнее его назначит локальный комп, что-то вроде 192.168.70.99 или подобное.
   acht
 
30 - 20.02.20 - 20:05
(29) Ты, дядь Дим, при всем уважении - прочитал одно, вообразил себе другое, поспорил внутри себя с третьим и написал сюда четвертое.
 
 Рекламное место пустует
   Garykom
 
31 - 20.02.20 - 20:06
   Garykom
 
32 - 20.02.20 - 20:10
(28) Это не так, потому что камера по usb определяется и питание на нее идет а светодиод не горит, странно да?
Там стандартные чипы юзаются и прошивка за led отвечает практически в 99.9% случаев обычных веб-камер.
   vde69
 
33 - 20.02.20 - 20:24
(30) поясняю своими словами
1. физически подключение одно
2. при этом сначало происходит авторизация и после авторизации комп начинает получать все широковещательные пакеты
3. при этом комп по широковещательным пакетам ищет адрес WINS сервера, если он найден идет запрос и получение IP
4. после получения IP комп локально записывает в локальную базу DNS маршрутиризации маршрут до WINS сервера и шлюза, этот маршрут строится через мак адрес сетевого интерфейса физического соединения
5. далее начинается процесс vpn соединения, через физическое соединение устанавливается конетк с vpn сервером и получаем от туда настройки
6. на клиенте создается виртуальный сетевой интерфейс и к нему применяются сетевые настройки, при этом IP этого виртуального интерфейса нельзя назначить таким-же как и у физического, и даже из одного пула нельзя, попытка присвоения одинаковой маски подсети двум интерфейсам без дополнительной настройки локалной маршрутиризации вызовет ошибку (и интерфейсу будет переназначен IP и соединение перестанет работать)

ну как-то так в кратце....
   vde69
 
34 - 20.02.20 - 20:32
(33) +
ну еще есть тема с тегированием vlan ов, но она для компа не актуальна, это только для роутеров... и вот там действительно возможны пересекающиеся маски подсети
   Йохохо
 
35 - 20.02.20 - 20:43
(33) надо поменять буковки на арп дхцп маска
   Garykom
 
36 - 20.02.20 - 20:45
(34) Если админ может стукнуться по ip на комп юзера и этот комп заведен в домен то упс.
Можно (31)
   vde69
 
37 - 20.02.20 - 20:45
(35) ага :)
   it_looser
 
38 - 20.02.20 - 20:56
(0) а к чему вообще вопрос? Я админ, и если очень надо, то может.... но вот как ответили уже ни раз, а надо ли? Если только админу лет 25 и он хочет сказать какой он крутой и показать что видит что ты делаешь, то поверь не интересно.... а базы и так защитит. Ну если нормальный
   NorthWind
 
39 - 20.02.20 - 21:27
(32) то что питание идет на саму плату камеры (на устройство) - еще не означает что оно идет на сам модуль камеры, который физически осуществляет съемку. Мне думается, что индикатор подключен именно в цепь питания этого модуля, и аппаратно он не отключается. Если есть ссылки что кто-то реально отключил без паяльника при том что камера не утратила своих функций - ну, интересно было бы ознакомиться. А иначе это из области городских легенд...
   NorthWind
 
40 - 20.02.20 - 21:28
* и программно он не отключается читать
   Garykom
 
41 - 20.02.20 - 21:31
(39) (40) https://xakep.ru/2013/12/19/61789/

Там прикол что нет никакого отключения питания модуля камеры.
Устройство при старте должно проверить модуль камеры чтобы убедиться что он исправен и при этом ничего не загорается.
Иначе бы веб-камера при включении компа или подключении при проверке зажигала бы светодиод если питание было в одной цепи с модулем камеры.
   Midrash
 
42 - 20.02.20 - 21:32
(16) Изучи для начала что такое VPN
   Garykom
 
43 - 20.02.20 - 21:33
(42) Каким образом изучить что такое VPN поможет обойти проблему пересекающихся разных подсетей?
   Midrash
 
44 - 20.02.20 - 21:35
(43) iptables
   Йохохо
 
45 - 20.02.20 - 21:40
(44) тоже буковки, айпитаблес правильно пишется как ipv6
   vde69
 
46 - 20.02.20 - 21:41
(43) в принцепе пересечение подсетей возможно только в рамках выделеного vlan-a (за счет тегирования трафика номером vlana) или на уровне ниже tc/ip, для обычного домашнего компа такое практически не возможно
   NorthWind
 
47 - 20.02.20 - 21:44
(41) это печально, что так реализовали.
   Garykom
 
48 - 20.02.20 - 21:58
(44) Каким образом поможет iptables на windows машине имеющей два интерфейса (один физический и второй виртуальный от vpn) и получив на оба ip из одной подсетки?
   Garykom
 
49 - 20.02.20 - 22:02
(46)(48)+ Ну можно маршрутами конечно разрулить это дело, чтобы VPN пакеты не пошли в саму себя а отправлялись правильно по статике не физический.
Но это не просто подключился к VPN и все.

Можно наоборот дефолтный шлюз не трогать и оставить на физическом а маршруты до подсетки рабочей прописать на виртуальный vpn статикой, исключив дефолтный шлюз в них.
   Garykom
 
50 - 20.02.20 - 22:02
(49) *по статике на физический
   Garykom
 
51 - 20.02.20 - 22:03
(49) Если прописать маршруты то все ip внутри сетки провайдера будут недоступны, но благо там обычно только адрес шлюза нужен для доступа в инет и он известен.
   Garykom
 
52 - 20.02.20 - 22:06
А фактически пора переходить на ipv6 и не мучать уже старичка ipv4.
Там все эти проблемы исключены изначально.

Даже VPN становится ненужным, просто достаточно прописать адреса/маки с которых разрешен трафик и шлюз рабочий выставить инет напрямую.
Тогда по ipv6 рабочий комп через дефолтный шлюз без всякого VPN и прочих NAT будет иметь доступ куда надо.
   vde69
 
53 - 20.02.20 - 22:07
(49) после этого vpn тунель перестанет работать

единственный способ загнать весь трафик внутрь vpn это настроить 2 паралельных маршрута в инет и игратся приоритетами их применения.

не знаю могут-ли такое всякие впн клиенты, но это точно не дефолтные настройки
   Garykom
 
54 - 20.02.20 - 22:07
(52)+ В смысле удаленный комп с ipv6 доступом полноценным от любого провайдера легко найдет любой ip адрес v6
   Garykom
 
55 - 20.02.20 - 22:08
(53) Я написал что сделать чтобы не перестал работать, статику прописать но главное чтобы внутренний адрес сервера VPN   (не внешний для инета) и адрес шлюза у провайдера на физике не совпали.
Тут болт.
   Garykom
 
56 - 20.02.20 - 22:09
(55)+ Ну и по vpn будет недоступен тот адрес в рабочей сетке который совпал с адресом шлюза провайдера
   Midrash
 
57 - 20.02.20 - 22:20
(53) Да, конечно, маршрутизация не дефолтная
   CepeLLlka
 
58 - 20.02.20 - 22:54
(13)Ты сам определяешь использовать тебе IP роутера к которому ты цепанулся по VPN либо нет.. даже по PPTP..

https://help.keenetic.com/hc/article_attachments/115010013185/35803ccf-7282-4116-a936-b2e4cedc784b.jpg
   Сергиус
 
59 - 20.02.20 - 22:57
(0)Запусти на ноуте вирт.машину и с нее подключайся)


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.