Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » TeamViewer и безопасность

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

mastertron

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Присоеденяюсь!!! Деньги получаю ( как администратор ) не только за " так все ж работает!!?!", но и за безопасность, и она стоит во главе угла наравне с функционированием систем. Использование сторонних программ, предоставляющих доступ к ресурсам одного компа, а следовательно и к сети, должно всегда порождать мысль о том, что " доверять человеку нужно, но вверять себя человеку нельзя" (библейская мудрость). Далек от мысли, что разработчики обсуждаемого софта ( и всего подобного ) не имеют возможности " заглянуть" к вам в комп или дальше. При поддержании коннекта со своим сервером могут и данные передаваться ...  Рад бы поверить, что все только для блага клиента и данные передаются исключительно для статистики ...  Сложность взлома паролей - дело техники и доступа к трафику клиента. Да, я параноик, но только по профессии. Не хочу много писать ...
Политика  - запретить все и всем, разрешить только ...  И речь идет не о конкретном софте, это и скайп, "головы" подгружающих свое "тело" из нета, трояны и т.д. В этом мне помог проксик сквид. Детали - http://forum.lissyara.su/viewtopic.php?f=4&t=30321
 
Всего записей: 10 | Зарегистр. 23-06-2008 | Отправлено: 10:42 07-02-2011
sergey1325



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в локалке предприятия можно отключить вьевер от интеренета и он будет видеть только локалку. а то что есть промежуточное звено через интернет однозначно не безопасно. для интеренета нужно другое например openvpn
 
кстати и в локалке на ноутбуки если его ставить то возможно существует возможность слушать через микрофон этот ноутбук и смотреть через его веб камеру.
Всего записей: 128 | Зарегистр. 15-12-2007 | Отправлено: 02:20 08-02-2011 | Исправлено: sergey1325, 02:23 08-02-2011
Andrew_Matveyev



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так вот на вопрос мне кажется не ответил никто.
Пусть кто-то считает его безопасным, кто-то нет.  
Но нам как админам нужно решение как закрыть его внутри сетки, чтобы контроль над удаленными клиентами в сети предприятия имели только системные администраторы.
я уже задавал вопрос в паралелльном топике.
 
меня это очень сильно беспокоит.
если какой-нить дядя вася поставит этот софт в бухгалтерии или у экономистов или еще где-то, чтобы он никоем образом удаленно со своего компа не мог попасть на тачки в сети.
Всего записей: 106 | Зарегистр. 09-06-2005 | Отправлено: 15:43 22-02-2011
sergey1325



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
чтоб его поставить нужны права админа локального. а если просто запустить без установки то через интернет доступа не будет (черный экран). а запретить его в домене или запретить ему выход в инетернет легко на прокси.
Всего записей: 128 | Зарегистр. 15-12-2007 | Отправлено: 02:38 24-02-2011
bugxxx

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а вот несколько муторный способ, но должен сработать.. ставим инет-сервак, на нем терминал-сервер.. разрешаем доступы в инет только с этого инет-сервака.. остальные машины сети подключаются как терминал-клиенты.. запреты на установку на инет-серваке дополнительных программ (хотя не обязательно).. запуск TV на машинах пользователей ни к чему привести не должен))) скаченное через инет-терминал-сервер переносим на комп пользователя маппингом дисков.. мультики ютюба будут дергаться.. но для РАБОТЫ это не помеха))))
Всего записей: 1 | Зарегистр. 23-03-2011 | Отправлено: 13:55 23-03-2011
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bugxxx

Цитата:
тавим инет-сервак, на нем терминал-сервер.. разрешаем доступы в инет только с этого инет-сервака..

Епт! Ты в "Газпроме" работаешь?


----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 14:24 23-03-2011
Sergey_41

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
может лучше будет средствами WIndwos запретить запуск exe от TeamViewer или попытаться например на Касперском запретить запуск данного софта, правда второй вариант сам не пробовал
Всего записей: 64 | Зарегистр. 07-06-2008 | Отправлено: 15:06 23-03-2011
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Sergey_41
Лучше всего вообще запретить политиками юзерам запуск левых программ...

----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 15:09 23-03-2011
suijuris



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кусок из фаера. Вставлять перед иными правилами таблицы PREROUTING во избежание мимопопаданий. Пользуйтесь. Если будет еще пролетать, открыть тимвьювер ручками (сервис, открыть файл журнала, TeamViewer6_Logfile(выше или ниже версии на будущее), находим строки типа  
2011/04/22 14:00:40.257  5320  4340 G1!  CTerminalServer::GetUsername() No valid user name - try to use fallback!
2011/04/22 14:00:40.258  5320  4340 G1   CCT.TM_WaitAtGateway.92.51.171.92:443 - CT12 - S12
2011/04/22 14:00:40.259  5320  4340 G1   CCT.Connect.92.51.171.92:443
2011/04/22 14:00:40.303  5320  4340 G1   S12 NC.ConnectPort443.Connected
2011/04/22 14:00:40.304  5320  4340 G1   CCT.Connected
2011/04/22 14:00:40.304  5320  5480 G1   CT12 CT.Run
Копируем айпишник 92.51.171.92 в файл /куданибудь/teamviewer_ip.txt(см.инстр.ниже) а лучше сразу подсеть /24
Итак:
 
echo "PREROUTING TEAMVIEWER BLOCK"
for view_ip in `cat /куданибудь/teamviewer_ip.txt`
do
for view_port in `cat /куданибудь/teamviewer_ports.txt`
do
echo "$view_ip and $view_port"
/sbin/iptables -t nat -A PREROUTING -s $LOCAL0 -d $view_ip -p tcp --dport $view_port -j DROP
done
done
echo "END"
 
 
Теперь нужно создать папки соответственно и там же посоздавать файлы текстовые.
Содержание тхт файлов
/куданибудь/teamviewer_ip.txt
92.51.171.71
46.4.68.241
151.1.182.135
46.105.99.126
46.165.192.0/24
95.211.58.0/24
89.185.96.0/24
178.77.120.0/24
202.143.0.0/16
216.108.0.0/16
217.172.187.0/24
80.237.0.0/16
81.169.0.0/16
87.230.0.0/16
205.188.0.0/16
 
 
/куданибудь/teamviewer_ports.txt
80
443
5938
 
 
Порты и айпишники можно добавлять, только не забывать перезагружать сам скрипт для вступления в силу новых добавлений.
Всего записей: 12 | Зарегистр. 07-02-2005 | Отправлено: 21:20 22-09-2011 | Исправлено: suijuris, 21:28 22-09-2011
Vadimkrd

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В этой статье есть нужные диапазоны IP  
http://www.glazavezde.ru/nastroyka-programm-v-korporativnyh-setyah/294-blokiruem-icq-mail-agent-i-mnogoe-drugoe.html#sel=24:1:4WP,47:7:y6x
Всего записей: 3 | Зарегистр. 13-12-2011 | Отправлено: 22:52 13-12-2011
wwladimir



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Через рестрикшен в GPO его не прибить (как и Касперским)-файлы портабельные и с разными хешем и запуском из разных мест.
Долго боролся на прокси (Керио), прибивал ip серверов teamviewer. Постоянно появляются новые сервера.  
Блокировка по "словам" приводит к невозможности пользоваться, например, WEB-интерфейсом почты, если там присутствует блокируемое слово.
Vadimkrd -
У меня список подсетей примерно в 10 раз больше получился (четверть германии там).
 
В дополнение на DNS создал зоны teamviewer.com и  dyngate.com с левой А-записью. Пока помогло.
До тех пока юзеры не сообразят про 8.8.8.8 и 8.8.4.4 например.
Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 23:52 13-12-2011 | Исправлено: wwladimir, 00:47 14-12-2011
wildmoon

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ну даже если сообразят можно на фаерволе роутера прикрыть все обращения по udp 53 port оставив только свои ДНС. Вопрос что делать, если они еще умней и начнут править файл host ? или не дай бог придумают как отправить и получить ответ от ДНС не по порту 53
Всего записей: 2 | Зарегистр. 03-02-2008 | Отправлено: 14:26 23-12-2011
wwladimir



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wildmoon
>придумают как отправить и получить ответ от ДНС не по порту 53-
А вот этим Вы меня сильно озадачили - я не знаю "прямого" способа изменения порта DNS
на клиентской машине... И гугль молчит... Между серверами нашел http://support.microsoft.com/?id=198410
А вдруг у меня юзеры знают ?
 
DNS на шлюзах оставил только серверам, а о host у меня Касперский позаботится.  
teamviewer могу считать (временно) побежденным (и с ним logmein,Ammyy,crossloop,gotomypc,bomgar),
 чего не могу сказать о полусотне аналогичных программ.
Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 23:36 24-12-2011 | Исправлено: wwladimir, 00:07 25-12-2011
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
wwladimir

Цитата:
придумают как отправить и получить ответ от ДНС не по порту 53-
А вот этим Вы меня сильно озадачили - я не знаю "прямого" способа изменения порта DNS  

Такие юзеры уже сами запрещают...

----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 16:10 25-12-2011
wwladimir



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza
Что-то я торможу. И ваш комментарий я тоже не понял.
Пойти в топик про DNS поспрашивать..?
Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 21:30 25-12-2011 | Исправлено: wwladimir, 21:35 25-12-2011
XINSIDE



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Teamviewer, powershell и циска
 
http://habrahabr.ru/blogs/powershell/133740/
Всего записей: 329 | Зарегистр. 12-12-2005 | Отправлено: 11:34 06-01-2012 | Исправлено: XINSIDE, 11:36 06-01-2012
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
wwladimir
Ну как бы юзер, который сможет получить ответ DNS не по 53 порту, уже далеко не простой юзер и с большой вероятностью он уже администратор, не?

----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 12:07 06-01-2012
wildmoon

Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ruza, ну как бы да)) это была шутка в моем исполнении, каюсь... wwladimir как-то сурьезно ее воспринял...
Всего записей: 2 | Зарегистр. 03-02-2008 | Отправлено: 12:38 24-01-2012
XINSIDE



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как заблокировать доступ для приложения TeamViewer. Kerio Control.
http://kb.kerio.com/article/Как-заблокировать-доступ-для-приложения-teamviewer-936.html
Всего записей: 329 | Зарегистр. 12-12-2005 | Отправлено: 13:14 24-12-2012
ph5

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем! Народ, кто сможет подсказать правило для isa 2004, что бы закрыть доступ из вне по тимвьюеру в локальную сеть, а то один человечек слов не понимает, а до разборок с начальством дело не хочеца доводить
Всего записей: 226 | Зарегистр. 18-08-2011 | Отправлено: 12:03 29-12-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » TeamViewer и безопасность


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru