规定必须要安装网络准入客户端才能上网,有办法绕开么

2023-04-19 10:24:17 +08:00
 mikeluckybiy

网络准入客户端安装包 200 多 MB ,说是简单登录账号就可以联网,但按照这个大小来看应该是包含了本地网络流量 DPI 拦截的网络层驱动在内,也就是本机无论上什么网,就算是开 proxy ,也会被准入客户端看得清清楚楚,没有隐私

1223 次点击
所在节点    程序员
12 条回复
Eiden
2023-04-19 10:50:27 +08:00
抓包逆向, 然后自己写个客户端
mikeluckybiy
2023-04-19 12:01:50 +08:00
@Eiden 这难度对我太大了些。。。不会逆向
eudemonwind
2023-04-19 19:36:50 +08:00
另外搞个电脑 A ,桥接到这个被监控的机子 B 的网段上,然后 B 上装个代理软件,A 通过 B 上面的代理上网。至于隐私,就不要想了。。
mikeluckybiy
2023-04-19 22:29:58 +08:00
@eudemonwind 本来也是这么想的,发现有个问题,电脑 A 没办法桥接过来,因为电脑 A 没有安装准入客户端,所以没办法连内网,也就没办法连到 B 上
Tamamopoi
2023-04-20 15:43:15 +08:00
深信服的 UniAccessAgent ?不连接无法进内网,没啥办法的。问问网络组看不看这些数据吧,不出事一般没人看的。
Tamamopoi
2023-04-20 15:44:56 +08:00
平时用手机投屏摸鱼吧。不过深信服的这个有监控屏幕的插件,我司没购买。需要从网络组探探口风...
mikeluckybiy
2023-04-20 18:19:19 +08:00
@Tamamopoi 对的,就是 UniAccessAgent 这个,网络组肯定可以看到,为了避免他们偷看有没有办法,目前看到的客户端是带远程协助功能的,看后台数据流量似乎只是上传了数据包,没有太大流量,应该没有监控屏幕
Tamamopoi
2023-04-21 10:25:42 +08:00
@mikeluckybiy 目前没办法,这个软件很流氓,关闭 /卸载都要管理员密码。除非你的部门是法外之地。
远程协助,解析 QQ 微信聊天记录这些都是要额外花钱买的可能不会有,统计访问网址貌似是自带的功能。
我也是偶尔听网络组提到这些,他们摸鱼不会看记录的,除非访问啥网址触发报警才会看看。
尽量别用公司电脑摸鱼就好...可以试试 qtscrcpy 投屏手机,哈哈。
mikeluckybiy
2023-04-21 11:16:00 +08:00
@Tamamopoi 我简单分析过这个软件权限和操作,可以理解为一个合法的病毒,有自我保护,拥有系统防火墙等模块的最高权限,阻止系统内核层面的第三方,杀软也无法阻止它,安装目录下的文件都是隐藏的,肯定可以获取到所有的访问网址,https 可能也无法隐藏,毕竟有权限可以读取浏览器历史记录和网页临时文件,主要是这么操作的话个人隐私完全就没了,很不习惯被监控
ComTNT
2023-04-21 16:35:06 +08:00
有一个简单的绕过方法,准入系统都有 web 认证准入,一般情况下 web 认证的方式是给 PC 装不了准入客户端或者移动端准入认证用的,你可以把准入认证页面切换成移动端试试,我这边是可以绕过的
mikeluckybiy
2023-04-21 17:58:32 +08:00
@ComTNT 这个之前试过,web 认证页面可以打开,但输入账号密码提示错误认证失败,不知道是不是禁止了 web 端的简易登录
eudemonwind
2023-04-21 20:17:14 +08:00
@mikeluckybiy
A 上面不需要准入客户端授权什么的啊
把 A / B 都接到一个交换机上面,
然后, B 上面保留原来的网络设置, 把准入客户端什么的都授权好.

方法 1:
然后, A 额外添加 IP=192.168.1.1
然后, B 额外添加 IP=192.168.1.2
能互相 ping 通就 ok 了. 切记不要给这俩设置网关, 相当于搞了个小内网, 两台机子之间数据不走网关.
剩下就是装 proxy 的问题了.

方法 2:
A 添加一个跟 B 同网段的 IP, 跟原来分配的 ip 在一个 C 段的, 假设 B 原来给的 IP 是 10.0.0.123/24, 那么 A 连好交换机后添加一个 10.0.0.111 的 ip, 不要设置网关, 看看能不能通, 有些时候分配的 ip 并不是 /24, 需要自己找 C 段是多少... 但是这种方法可能会发生跟其他 ip 冲突等等奇怪问题.搞定以后剩下就还是装 proxy 的问题了.

我在(北-衅-源)上面这么搞过, 不过没啥意义, 真要隐私还得在去搞个内网肉鸡 C, 不可能拿自己电脑这么搞吧?



替代方案:
1. 如果没硬性要求建议拿自己个人电脑工作, 搞完了在把成果考办公电脑上去.

2. 或者搞个双系统, 另外装个系统, 工作的时候用自己装的, 日常不要连内网. 需要交流文件在切回去.

3. 如果公司没有限制连外网, 还有一种更好的方法, 那就是搞个 win 系统的 VPS, 日常摸鱼 RDP 到 VPS 上进行工作 /休闲 /摸鱼, 需要交流文件直接 RDP 在考回去, IT 审计也只能看到你连了 RDP, 日常操作完全都看不到

4. 再高级点的, 切安全模式 or 进 winRE/PE 什么的 把监控软件黑了

5. 结合上面方法 1 or 2, RDP 到自己的带的电脑上

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/933671

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX