Безопасно ли использовать VPN-клиент моего колледжа на личном ноутбуке с точки зрения конфиденциальности?

Колледж попросил меня установить клиент Sophos SSL VPN на мой личный ноутбук, чтобы подключаться к сети колледжа из дома (для выполнения таких задач, как регистрация на курсы и т. д.). Я уже установил клиент и несколько раз им пользовался.

Есть ли у моего колледжа доступ к моим личным данным, когда:

1. программа клиента VPN находится в подключенном режиме? (подключена к сети колледжа)

2. клиент VPN находится в отключенном режиме?

Если да, то к каким данным колледж имеет доступ?

и,

Как я могу защитить свою конфиденциальность, если удаление этого программного обеспечения не является вариантом?

Колледж имеет доступ к нешифрованным данным, которые вы отправляете через VPN. Это может включать, например, данные вебсайтов (если сайт использует незашифрованный HTTP) или домены, к которым вы обращаетесь (если VPN назначает новый DNS-сервер, который либо управляется колледжем, либо использует незашифрованный DNS).

Если клиент VPN отключен, никаких данных не отправляется через VPN – если только вы не считаете, что клиент на самом деле является вредоносным ПО, в этом случае его следует удалить немедленно.

Чтобы избежать случайной отправки данных через VPN, вы можете сделать следующее:

• Если хотите быть абсолютно уверены, удалите сервер VPN в качестве шлюза по умолчанию и вместо этого вручную создайте маршруты для конкретных IP-адресов или подсетей, которые должны быть доступны через VPN (например, вебсайты колледжа). Обратите внимание, что это может потребовать много проб и ошибок, в зависимости от сложности сетевой инфраструктуры.
• Убедитесь, что вы используете свой собственный DNS-сервер, а не предоставленный VPN.
• Используйте зашифрованные протоколы, когда это возможно, например, HTTPS вместо HTTP и DNS-over-TLS или DNS-over-HTTPS вместо DNS.

https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/VPN/RemoteAccessVPN/VPNSophosConnectClient/index.html звучит так, будто Sophos SSL VPN – это просто OpenVPN с косметикой, до такой степени, что они даже говорят просто использовать клиент OpenVPN на платформах, которые они не поддерживают. OpenVPN надежен (и является open-source, так что вы можете проверить его, даже если не доверяете ему), так что вам следует использовать его вместо Sophos, даже если вы на платформе, которую поддерживает Sophos. Просто убедитесь, что вы внимательно изучили файл .ovpn вашего колледжа, потому что у них много полномочий.

Я бы сказал, что риск довольно низок. Но поскольку установка любого программного обеспечения, особенно того, которое требует прав администратора для создания VPN-туннеля, несет в себе некоторый риск, вы можете создать виртуальную машину и установить его там. VirtualBox, вероятно, самый удобный инструмент для выполнения этой задачи.

Также openconnect является open-source заменой различных коммерческих решений VPN. Это клиент VPN. Я активно использую его во время тестирования на проникновение, чтобы минимизировать риск установки программного обеспечения VPN, которое будет перенаправлять весь мой трафик через шлюз VPN и работать с правами root в качестве другого, потенциально уязвимого процесса.

https://github.com/openconnect

У него даже есть графический интерфейс.

Если у вас есть VPN для учебы, он должен использоваться только для учебных нужд. В идеале, вы должны использовать отдельную учетную запись с ограниченными правами (особенно на Windows), где вы настраиваете профиль VPN. Если им нужны функции управления устройствами (MDM) или программное обеспечение, это будет “безопасная политика BYOD”, хотя это и является чрезмерным для школы. Вы должны иметь возможность отключить их или не использовать их, или воспользоваться виртуальной машиной, если вам необходимо использовать это. Им также может потребоваться зашифрованное устройство, в таком случае вы можете зашифровать эту виртуальную машину, используя либо шифрование устройства, либо BitLocker (вам не нужно платить за Pro-версию Windows, вы можете просто установить ее и нажать “Пропустить” в поле ключа продукта, все функции работают так же, только сложнее поменять обои рабочего стола).

Вам, вероятно, следует избегать печати чего-либо через VPN, если вы не находитесь физически там, ради сохранения конфиденциальности. Если только это не используется специально как служба “факса”.

Хотя, конечно, это не сработает с глупым прокторинговым программным обеспечением (которое не должно существовать). Если они требуют прокторинговое программное обеспечение, первый шаг – попытаться отменить это решение. Лучший способ сделать это – подойти к этому вопросу с точки зрения конфиденциальности, используя подписи в петиции. Эти программы обычно небезопасны, крайне навязчивы и нарушают права человека, прямо тиранически. Если вам не удается донести свою точку зрения, последним средством может стать наличие отдельного компьютера, который ТОЛЬКО для этой прокторинговой задачи, выключен в любое другое время и, желательно, находится в отдельной VLAN, без камер и т. д.

Если они говорят вам пропускать интернет через это, это плохая идея, так как это, вероятно, централизованный, небезопасный способ перехватить весь ваш интернет-трафик. Особенно если они пытаются заставить вас установить корневой сертификат (Корневой сертификат удостоверяющего центра). Максимум, что у них должно быть, – это фильтрующий прокси, и даже тогда он должен блокировать домены, а не расшифровывать, читать все URL и так далее.

*На любом личном компьютере/устройстве, которое вы используете регулярно*, не давайте никакому программному обеспечению или установщику программного обеспечения привилегированные/администраторские права, так как это дает им фактически полный контроль над устройством, чтобы делать что угодно, даже если это всего лишь на ограниченное время, они теоретически могли бы оставить какой-либо уязвимый доступ или заднюю дверь в зависимости от программного обеспечения и т. д.