Cum să blocați TeamViewer? (Administrarea sistemului, Firewall, Teamviewer)

200_succes a intrebat.
a intrebat.

Având în vedere acuzațiilor din ce în ce mai multe conform cărora TeamViewer a fost piratat și că infractorii obțin cumva acces neautorizat la stațiile de lucru cu TeamView, am dori să blocăm complet TeamViewer.

Cum funcționează protocolul de stabilire a sesiunii TeamViewer? Ce reguli de firewall sau alte măsuri putem utiliza pentru a împiedica ca toate stațiile de lucru din rețeaua noastră să fie controlate prin TeamViewer?

Avem un mediu eterogen; controalele ar trebui să se facă la nivelul rețelei și nu prin intermediul unei politici de grup.

Comentarii

  • Întrebarea conexă de la Information Security nu are în prezent răspunsuri bune. –  > Por 200_succes.
  • Dacă aș fi în locul tău, aș contacta echipa de asistență a oricărui tip de firewall pe care îl ai acolo și i-aș întreba cum să blocheze Teamviewer. –  > Por Noor Khaldi.
  • @NoorKhaldi Cunoscând Cisco, probabil că ar încerca să-mi vândă mai mult decât să-mi dea o regulă de firewall. –  > Por 200_succes.
  • Iată câteva abordări diferite pe care le puteți încerca: mediarealm.com.au/articles/2014/10/block-teamviewer-network –  > Por Anthony Eden.
4 răspunsuri
Esa Jokinen

Doar pentru a fi complet, TeamViewer utilizează trei porturi diferite în ordine specifică.

  1. Port TCP/UDP 5938 este portul principal pe care TeamViewer preferă să îl utilizeze. Acesta este, de asemenea, în prezent, singurul port utilizat de clienții Android, Windows Mobile și BlackBerry.
  2. În cazul în care conexiunea eșuează, TeamViewer încearcă TCP 443 următor. Aceasta este, de fapt, partea cea mai problematică, deoarece blocarea portului HTTPS implicit 443 va bloca toate site-urile web securizate. Manipularea datelor ar implica utilizarea unei CA rădăcină false și decriptarea datelor, iar fără acest lucru este foarte greu de detectat dacă este vorba de traficul TeamViewer sau doar de un HTTPS normal criptat TLS.
  3. Port HTTP implicit, TCP 80 este a treia alternativă. Acesta ar fi ușor de blocat, de exemplu, prin utilizarea unui protocol proxy transparent, , dar este total inutilă, deoarece 443 este utilizat înainte de aceasta.

Prin urmare, blocarea conexiunilor pe nivelul rețelei de la orice client (inclusiv BYOD) ar implica:

  • falsificarea sau blocarea interogărilor DNS pentru *.teamviewer.com. Aceasta ar trebui să fie de fapt cea mai eficientă metodă, dacă aveți încredere în TeamViewer GmbH. word (în scopuri opuse):

    Software-ul TeamViewer realizează conexiuni la serverele noastre principale situate în întreaga lume. Aceste servere folosesc o serie de intervale diferite de adrese IP, care se schimbă, de asemenea, în mod frecvent. Ca atare, nu putem furniza o listă cu IP-urile serverelor noastre. Cu toate acestea, toate adresele noastre IP au înregistrări PTR care se rezolvă către *.teamviewer.com. Puteți folosi acest lucru pentru a restricționa adresele IP de destinație pe care le permiteți prin firewall-ul sau serverul proxy.

  • În plus, blocarea intervalelor de adrese IP cunoscute ale TeamViewer, dar, după cum vom vedea în curând, acest lucru poate fi problematic și greu de întreținut:

    • 178.77.120.0/25; DE-HE-MASTER-EXT; TeamViewer GmbH
    • 159.8.209.208/28; NETBLK-SOFTLAYER-RIPE-CUST-SS30641-RIPE; TeamViewer GmbH
    • Unele în 92.51.156.64/26; deținute de Host Europe GmbH; risc de falsuri pozitive…
    • etc.; de asemenea, risc pentru falsuri pozitive și necesitatea de eliminare în viitor.
  • În plus, administratorii foarte paranoici ar putea utiliza unele Inspecție profundă a pachetelor.

Dacă nu aveți încredere în TeamViewer GmbH, și întrucât TeamViewer funcționează pe porturile 443 și 80 cu un sistem autonom de TeamViewerQS.exe, , politica de grup (de ex. Politici de restricție a software-ului) ar fi o bună completare care sporește protecția pe mașinile Windows unite la un domeniu AD.

stambata

Primul pas: blocați DNS

Clientul TeamViewer care utilizează portul 80 pentru conexiunea de ieșire, este dificil de blocat folosind baza portului. Astfel, deoarece clientul TeamViewer trebuie să fie conectat mai întâi la serverul TeamViewer, putem folosi o altă abordare, adică blocarea fiecărei cereri DNS pentru *.teamviewer.com și/sau *.dyngate.com.

Al doilea pas: blocarea intervalului de adrese IP

Intervalul de adrese IP TeamViewer este 178.77.120.0/24, dar trebuie să verificați din nou.

Comentarii

  • Cu puțină căutare pe Google, acest răspuns sună aproape corect. –  > Por Noor Khaldi.
  • The A record pentru teamviewer.com este 46.163.100.220. Este blocarea 178.77.120.0/24 de fapt eficientă? –  > Por 200_succes.
  • Nu. După părerea mea, trebuie să blocați și DYNGATE.COM, dar dacă o parte din rețeaua dvs. utilizează servere DNS externe, acest lucru nu va funcționa. Din acest motiv, vă sugerez să blocați și să introduceți traficul din intervalul de IP 178.77.120.0/24.  > Por stambata.
  • Cu Windows 10 adaugă suport pentru DNS prin HTTPS, , aceasta nu mai este suficientă ca soluție. –  > Por 200_succes.
Andrew Davis

Când am revăzut blocurile noastre de rețea folosind această metodă, am constatat că Teamviwer se conecta la subrețele și nume DNS diferite de cele enumerate aici. Acum se conectează la router[1-16].teamviewer.com.

Singura problemă este că gazdele sunt peste tot, deoarece au servere în întreaga lume la ANEXIA Internetdienstleistungs, iar blocarea subrețelelor ar duce la o mulțime de rezultate fals pozitive. Conform whois, se pare că acestea sunt asociate cu servere dedicate, așa că am pus blocări IP bazate pe DNS pentru acele domenii și se pare că împiedică TeamViewr să se conecteze din nou.

Dacă aveți nevoie să obțineți IP-urile, următorul script (bazat pe scriptul de mai sus) face treaba:

for i in $(seq 1 16);
do
    a="router"$i".teamviewer.com"
    b=$(dig +short $a)
    echo "RESULT: $b"
    if [[ "$b" == "" ]]; then
        continue
    fi
    echo "$b" >> ip_to_block.txt
    echo "$a" >> domains_to_block.txt
done

Сергей Фурсов

Aplicația Teamviewer se conectează întotdeauna la unul dintre servere, cum ar fi serverXXXXX.teamviewer.com prin httphttps.

Rulați scriptul bash ceva de genul


for i in `seq 10000 99999`;
do
    a="server"$i".teamviewer.com"
    b=`dig +short $a`
    if [[ "$b" == "" ]]; then
        continue
    fi

    echo "$b" >> ip_to_block.txt
done

Și blocați toate IP-urile din ip_to_block.txt după terminarea scriptului. Acest lucru blochează 100% toți clienții Teamviewer.