Como bloquear o TeamViewer?

Navegue suas respostas
4

Em vista das crescentes denúncias de que o TeamViewer foi invadido e de que os criminosos estão, de alguma forma, obtendo acesso não autorizado a estações de trabalho habilitadas para TeamView, gostaria de bloquear o TeamViewer.

Como funciona o protocolo de estabelecimento de sessão do TeamViewer? Quais regras de firewall ou outras medidas podemos usar para impedir que todas as estações de trabalho em nossa rede sejam controladas através do TeamViewer?

Temos um ambiente heterogêneo; controles teriam que ser feitos no nível da rede, e não através de qualquer coisa como uma Política de Grupo.

    
por 200_success 02.06.2016 / 21:26

3 respostas

8

DNS do bloco de primeiro passo

Cliente TeamViewer usando a porta 80 para a conexão de saída, é difícil bloquear usando a base de porta. Portanto, como o cliente do TeamViewer deve estar conectado primeiro ao servidor TeamViewer, podemos usar outra abordagem, que está bloqueando todas as solicitações de DNS para o * .teamviewer.com e / ou * .dyngate.com.

Intervalo de endereços IP do bloco de segundo passo

O intervalo de endereços IP do TeamViewer é 178.77.120.0/24, mas você precisa verificar novamente.

    
por 02.06.2016 / 21:58
3

Apenas para completar, o TeamViewer usa três portas diferentes em uma ordem específica.

  1. A porta TCP / UDP 5938 é a porta principal que o TeamViewer prefere usar. Essa também é atualmente a única porta usada pelos clientes Android, Windows Mobile e BlackBerry.
  2. Se a conexão falhar, o TeamViewer tenta TCP 443 em seguida. Esta é realmente a parte mais problemática, porque o bloqueio da porta HTTPS padrão443 bloqueará todos os sites seguros. A adulteração dos dados envolveria o uso de CA raiz falsa e a descriptografia dos dados e, sem isso, é realmente difícil detectar se é o tráfego do TeamViewer ou apenas o HTTPS criptografado por TLS normal.
  3. Porta HTTP padrão, TCP 80 é a terceira alternativa. Isso seria fácil de bloquear, e. usando um proxy transparente , mas é totalmente desnecessário, porque o 443 é usado antes disso.

Portanto, o bloqueio das conexões no nível de rede de qualquer cliente (incluindo BYOD) envolveria:

  • Fingindo ou bloqueando consultas DNS para *.teamviewer.com . Esta deve ser a maneira mais eficiente, se você confiar na palavra (para os propósitos opostos):

    The TeamViewer software makes connections to our master servers located around the world. These servers use a number of different IP address ranges, which are also frequently changing. As such, we are unable to provide a list of our server IPs. However, all of our IP addresses have PTR records that resolve to *.teamviewer.com. You can use this to restrict the destination IP addresses that you allow through your firewall or proxy server.

  • Além disso, bloqueia os intervalos de endereços IP conhecidos do TeamViewer, mas, como podemos ver em breve, isso pode ser problemático e difícil de manter:

    • %código%; %código%; TeamViewer GmbH
    • %código%; %código%; TeamViewer GmbH
    • Alguns em 178.77.120.0/25 ; propriedade da Host Europe GmbH; risco para falsos positivos ...
    • etc .; também risco de falsos positivos e necessidade de remoções no futuro.
  • Além disso, administradores muito paranoicos podem utilizar algumas Inspeção profunda de pacotes .

Se você não confia no TeamViewer GmbH e como o TeamViewer funciona nas portas DE-HE-MASTER-EXT e 159.8.209.208/28 com um NETBLK-SOFTLAYER-RIPE-CUST-SS30641-RIPE autônomo, a Política de Grupo (por exemplo, Políticas de Restrição de Software ) seria uma boa adição que aumenta a proteção em máquinas Windows associadas a um domínio do AD.

    
por 28.06.2017 / 08:59
0

O aplicativo Teamviewer sempre se conecta a um dos servidores como serverXXXXX.teamviewer.com via http \ https.

Execute um script bash como 

for i in 'seq 10000 99999';
do
    a="server"$i".teamviewer.com"
    b='dig +short $a'
    if [[ "$b" == "" ]]; then
        continue
    fi

    echo "$b" >> ip_to_block.txt
done

E bloqueie todo o IP em ip_to_block.txt após terminar o script. Isso é 100% bloquear todos os clientes do Teamviewer.

    
por 27.06.2017 / 12:59

Tags

Processadores Intel Xeon: Diferença entre a escalabilidade 2S / 4S e S2S / S4S Existe uma maneira de alterar as senhas em vários servidores simultaneamente?