RSS
 

Закрыть брешь в защите или «Как запретить TeamViewer»

07 Фев

teamviewerДолго стараясь защитить сеть от всякого вида доступа с мира, я уже было думал, что закрыл все, что можно. Однако, есть поистине классная програмулина, которая разрешает соединяться с удаленным компьютером, если вы имеете доступ в интернет. Она называется TeamViewer. Многие ее знают не понаслышке. Многим она помогала в сложных ситуациях. И это очень хорошо. Однако когда сеть на 1000 хостов и серверов на несколько миллионов $, невольно начинаешь думать о том, что если найдется «редиска» и начнет делать каку, или, что еще хуже, передаст такую возможность кому-то еще, то хлопот до конца жизни хватит.

Многое можно закрыть на фаерволе, многое — на самых локальных машинах. Но прелесть этой программы в том, что она работает и через NAT и через прокси-сервер. Работает это ПО по 80 порту, который закрывать нету смысла. А инициализация соединения осуществляется изнутри локальной сети, что дает право фаерволу впускать трафик-ответ на посланный программой запрос. То есть, сначала программа соединяется с каким-то сервером и получает от него данные (логин, пароль). И когда кто-то, такой же зарегистрированный пользователь начинает коннект к вашей машине, то он сначала отправляет запрос на сервер, а там уже то ли создается какой-то тонель, то ли иным макаром, но сервер соединяет ваши машины.  В итоге, и волки сыты, и овцы целы . А юзера обычно имеют права локального администратора, что не дает возможности запретить им установку данного ПО. Казалось бы все понятно. Но как быть? В интернете есть некоторые списки IP серверов, куда делает коннект ваша программа. Закрыть на них исходящий трафик — вариант, но ненадолго. Адреса могут сколь угодно раз меняться. Можно в логах прокси-сервера посмотреть куда идет коннект, но это утомительно — все адреса вряд ли выловишь. Да и поменяться им можно без проблем.

Однако, есть на удивление простой способ — закрыть имена серверов. Они то меняться вряд ли будут ибо висят на домене своего создателя. Короче, на прокси-сервере нужно запретить исходящий трафик на домены dyngate.com, и teamviewer.com и их поддомены. Проверил — работает. Однако, на прокси-сервере нужно создать соответствующие политики — а вдруг «папе» надо… ? Но это уже совсем другая история.

Безопасности вам!

 

Комментарии facebook

Комментарии vkontakte

8 комментариев

Опубликовано в Windows, Сети

 

Теги:

Оставить комментарий

 

 
  1. Володя

    Декабрь 23, 2012 at 15:14

    Спасибо! У меня не большой офис (15 машин), разгребаю косяки предыдущего админа! поркси нет, а вот указанные зоны завернул на localhost в настройках DNS.

    Спасибо!

     
  2. Валерий

    Февраль 8, 2013 at 03:44

    Тоже пришел разгребать дела бывшего админа, пол офииса,у всех стоит teamviwer !!!!

    Говорят работают из дома….:)

     
    • Александр Бойченко

      Февраль 8, 2013 at 05:59

      Для удаленного доступа к корпоративной сети есть VPN. А teamViewer существует для временного подключения к удаленному рабочему столу при присутствии удаленного абонента. Хоть он и разрешает настроить неконтролируемый доступ с паролем, это очень опасная практика и любой админ должен себя оградить от таких умников для своей же безопасности и защиты от вожможных последствий.

       
    • КАПИТОША

      Февраль 3, 2014 at 14:17

      пипец! и что страшного в том, что действительно приходится работать из дома??? всё-таки 21-й век как-никак! заблокировали всё накорню — «стражи порядка» деловые блин! порой находясь в отпуске срочно коллегам понадобится моя помощь, так мне, чтобы показать пару движений, приходится прерывать отпуск и мчаться на работу, чтобы показать… бред!!! НЭПовские времена! от «божьих одуванчиков» на 7 замков запираются, а то, что реальные маньяки бродят на свободе — никто и не видит… йопть… :((((( а обойти этот запрет простым смертным нереально ваще что ли? раскройте секрет пожалуйста, строгие стражи, божьим одуванчикам, а?

       
      • Владимир

        Декабрь 5, 2016 at 08:38

        изменить настройки ДНС на какой нить публичный сервер..

         
  3. Игорь Ш

    Июнь 28, 2013 at 03:46

    В том то и дело, что только этого мало. Закрывал эти доменные имена на cisco, определяя через class-map и применяя police-map на внешний интерфейс. И ничего… Софтина спокойно получает id и пароль

     
    • Александр Бойченко

      Июнь 30, 2013 at 08:44

      Не пробовал, сказать тяжело что именно не так. Но то, что через прокси закрывается обычной acl — это факт. По сей день так все закрыто.