200*_*ess 5 firewall teamviewer
鉴于越来越多的指控称 TeamViewer 已被黑客入侵,以及犯罪分子以某种方式未经授权访问启用了 TeamView 的工作站,我们希望完全阻止 TeamViewer。
TeamViewer 会话建立协议如何工作?我们可以使用哪些防火墙规则或其他措施来防止我们网络中的所有工作站通过 TeamViewer 进行控制?
我们有一个异构的环境;控制必须在网络级别完成,而不是通过组策略之类的任何东西。
第一步阻止DNS
TeamViewer 客户端使用 80 端口进行出站连接,使用端口基础很难阻止。因此,因为 TeamViewer 客户端必须首先连接到 TeamViewer 服务器,所以我们可以使用另一种方法,即阻止对 *.teamviewer.com 和/或 *.dyngate.com 的每个 dns 请求。
第二步块IP地址范围
TeamViewer IP 地址范围为 178.77.120.0/24,但您必须再次检查。
出于完整性考虑,TeamViewer 按特定顺序使用三个不同的端口。
5938是 TeamViewer 首选使用的主要端口。这也是目前 Android、Windows Mobile 和 BlackBerry 客户端使用的唯一端口。443。这实际上是最有问题的部分,因为阻止默认 HTTPS 端口443将阻止所有安全网站。篡改数据将涉及使用伪造的根 CA 并解密数据,否则很难检测它是 TeamViewer 流量还是普通的 TLS 加密 HTTPS。80是第三种选择。这很容易阻止,例如通过使用透明代理,但完全没有必要,因为443在此之前使用了。因此,阻止来自任何客户端(包括 BYOD)的网络级别连接将涉及:
伪造或阻止对*.teamviewer.com. 如果您相信 TeamViewer GmbH 的话(出于相反的目的),这实际上应该是最有效的方式:
TeamViewer 软件与我们位于世界各地的主服务器建立连接。这些服务器使用许多不同的 IP 地址范围,这些范围也经常变化。因此,我们无法提供我们的服务器 IP 列表。但是,我们所有的 IP 地址都有解析为
*.teamviewer.com. 您可以使用它来限制允许通过防火墙或代理服务器的目标 IP 地址。
此外,阻止 TeamViewer 的已知 IP 地址范围,但我们很快就会看到,这可能会出现问题且难以维护:
178.77.120.0/25; DE-HE-MASTER-EXT; 团队查看器有限公司159.8.209.208/28; NETBLK-SOFTLAYER-RIPE-CUST-SS30641-RIPE; 团队查看器有限公司92.51.156.64/26; 归 Host Europe GmbH 所有;误报风险...如果你不信任的TeamViewer有限公司,并作为工作的TeamViewer端口上443,并80使用独立TeamViewerQS.exe的组策略(如软件限制策略)将是一个很好的补充是在Windows机器上增加保护加入到AD域。
| 归档时间: |
|
| 查看次数: |
19606 次 |
| 最近记录: |