RSS
 

Ammyy Admin или «еще одна дыра в безопасности»

25 Май

Прошло немного времени с момента закрытия мною доступа в сеть через TeamViewer и тут на горизонте новая проблема — вижу, «умные» пользователи начали использовать еще ону интересную утилиту — Ammyy Admin.

Чем хорош этот продукт? Делает все то, что и TeamViewer, но поменьше, не нужно устанавливать и, что очень привлекательно, можно ходить через свои сервера. Звучит заманчиво, правда? Однако, есть солидные ограничения. Во-первых, 15 часов в месяц на одну машину, что, в принципе, не мало. Во-вторых, триальная версия не разрешает использовать эти свои сервера. Вернее, разрешает, но серверной части к ней нигде нету. А та, что есть, не работает под эту утилитку. По крайней мене, у меня не получилось. Тем не менее, с триальной версией мы можем делать коннект через NAT и proxy, что очень радует непослушных пользователей. Как видно с картинки, эта утилитка соединяется со всоим роутером, который и является серверной частью этой утилиты. Так вот, пока мы не можем создать своего сервера, мы  должны, как и все смертные, ходить через публичные сервера. Тут то можно и разгуляться. Итак, заходим через меню Ammy в настройки и выбираем пункт сеть. Видим

Вот эти сети и необходимо закрыть на проксе или другом фаэрволе. Порты не трогаем, ибо это «святые» порты. После этого кому-то придется искать другие утилиты для удаленного администрирования через Интернет. Кстати, их не так уж и мало. Так что если постараться, то можно обойти все что угодно. Но для этого и существують безопасники… 🙂 Думаю, скоро напишу еще не одну статью по этому поводу. А пока видим

Что и нужно было сделать.

Удачи и безопасности вам!

 

Комментарии facebook

Комментарии vkontakte

13 комментариев

Опубликовано в Windows, Сети

 

Теги:

Оставить комментарий

 

 
  1. Baby

    Ноябрь 12, 2012 at 09:01

    кривое решение -кроме отображаемых в этом окошке адресов полно еще других доступных публичных роутеров (например 62.101.89.97), для решения вопроса достаточно закрыть только доступ к http://rl.ammyy.com (98.158.104.42: 80)

     
  2. ivan

    Июнь 13, 2013 at 05:31

    то есть, кто-то может посторонний подключиться если такая прога на компе установлена?

     
    • Александр Бойченко

      Июнь 13, 2013 at 07:18

      Да. Но, надо знать Ваш ID.

       
    • Alex

      Октябрь 17, 2013 at 12:53

      Знать АйДи мало — нужен человек с вашей стороны который нажмет кнопку «РАЗРЕШИТЬ». В ТимВьювере это решено принципом меняющихся паролей, тут же надо нажать кнопку. По крайней мере так в АА_v3, на второй версии не проверял.

       
  3. Zinc

    Июнь 19, 2013 at 04:31

    Каким образом злоумышленник узнает ID?Позвонит пользователю, попросит запустить прогу эту и спросит?У вас не правильное видение здесь «еще одна дыры в безопасности».АА часто использует техподдержка и хэлпдэск различных софтин, не хотите чтобы они помогали вашим юзерам, или вам это не трэба?-конечно режьте доступ, и разбирайтесь с траблами сами.

     
    • Александр Бойченко

      Июнь 19, 2013 at 11:45

      Имеется ввиду, доступ к внутренней сети предприятия через глобальные сети для пользователей этого предприятия, которым по регламенту запрещен какой либо доступ в средину снаружи. Это просто мера пресечения таких «умников». То есть, это мера безопасности, которая защищает не от внешних, а от внутренних угроз, которые, обычно, более распространенные и менее ожидаемы администраторами сети.

       
    • vlad

      Август 25, 2013 at 16:40

      Безопасность и техподдержка — это разные вещи. И техподдержка не должан вредить безопасности. Помогать юзерам тоже можно по разному. А еще лучше — софтины нормально писать, с нормальной докой, диагностикой

       
  4. Игорь

    Ноябрь 7, 2013 at 05:06

    Ammyy Admin может подключаться без ID, прямо по внешнему IP, при этом нет ограничения в 15 часов в free варианте, не требуется подключение к маршрутизаторам. Это удобно в локальной сети, но работает и во внешней. При этом есть некоторые проблемы с NAT, но они решаются без вмешательства в настройки шлюза. Так что требуется дополнительно контроль на уровне приложений, просто фильтрации IP маршрутизаторов недостаточно.

     
    • Дмитрий

      Ноябрь 17, 2013 at 20:21

      Не соединяется оно по IP, когда на одной стороне этот IP, а вызывающая сторона под NAT’ом

       
  5. Иванов Саша

    Январь 25, 2016 at 05:43

    А вот например у LiteManager как альтернатива присутствует id соединение с noip, запись экрана и др. функции с возможностью удаленного администрирования с бесплатной версией.