» TeamViewer и безопасность

Собственно вопрос: а насколько безопасно использовать данный софт доступа на рабочий комп из дома? Можно ли как-нибудь узнать/взломать данные для авторизации в этой софтине и юзать ее для доступа к чужим компам?
Прога хорошая, спору нет, но вот меня терзают смутные сомнения...
если здесь есть спецы по безопасности, помогите оценить риск
TeamViewer_SecurityStatement

endimoon
Вполне безопасно. У многих контор счас есть возможность удаленно зайти, например, на сервер терминалов и если что-то надо поработать, например, из дома.

речь не про терминальные сервера, а про данный конкретный продукт

ну секурней чем терминал :)

Сам факт наличия интернета наносит больший урон безопасности, так что не парьтесь. Относительно безопасно.

Если безопасно, то как его гарантированно закрыть, чтобы пользователи не устанавливали удаленный доступ к своим рабочим компам из дома. Ловить по поведению умными цисками или блокировать промежуточные сервера?

dbf
Несколько вариантов... (Или всё вместе)
1. Заблокировать IP 190.198.81.101
2. Заблокировать часть URL "/din.aspx ?s="
3. Заблокировать UserAgent = "DynGate"

спасибо , попробую...

Есть полезная статья по заданному вопросу.
Лежит здесь http://www.anbat.ru/IT/TeamViewer.php

к сожалению данная статья не полное решение, т.к. на самом деле перед тем, как teamviewer обратится к своим серверам по ip он делает запрос к dns, соответственно ip серверов могут меняться со временем.. а какие имена резолвить - кто его знает, может через надцать дней прога полезет на другие сервера..

Цитата:

а насколько безопасно использовать данный софт доступа на рабочий комп из дома?

У вас там на компьютере что, конфиденциальные данные? Откуда такая паранойя? Вы думаете, поддержке TeamViewer очень интересно рыться на миллионах компьютеров их клиентов, смотреть фотки с последней вечеринки?
Если есть что-то действительно не предназначенное для посторонних глаз, то это нужно защитить другими методами, например используя вольюмы TrueCrypt. Или этих вы тоже подозреваете?

Цитата:

Вы думаете, поддержке TeamViewer очень интересно рыться на миллионах компьютеров их клиентов, смотреть фотки с последней вечеринки?

vlary, ты вообще по жизни чуешь разницу между "у них нет доступа" и "у них есть доступ, но им не интересно им пользоваться"?

Цитата:

vlary, ты вообще по жизни чуешь разницу между "у них нет доступа" и "у них есть доступ, но им не интересно им пользоваться"?

Безусловно. Возможно, мне нужно было употребить выражение "даже если". Поскольку создатели сервиса на своем сайте утверждают, что соединение абсолютно защищено и вариант "man in the middle" совершенно исключен.

Цитата:

TeamViewer includes full encryption, based on RSA private-/public key exchange and AES (256 Bit) session encoding. This technology is based on the same standards as https/SSL and is considered completely safe by today's standards.
The key exchange also guarantees a full client-to-client data protection. This means that even our routing servers will not be able to read the data stream.

Но мы ведь никому не верим на слово?

vlary, всё верно, никому

Цитата:

TeamViewer includes full encryption, based on RSA private-/public key exchange and AES (256 Bit) session encoding. This technology is based on the same standards as https/SSL and is considered completely safe by today's standards.
The key exchange also guarantees a full client-to-client data protection. This means that even our routing servers will not be able to read the data stream.

Это ведь написали непосредственно сами авторы, а не некие авторитетные третьи лица, которые строчка за строчкой проверили код и функционал должным образом, подписали своей цифровой подписью, сертифицировали как действительно надёжный и безопасный продукт в своём классе, и выкинули в розницу.


Из всего этого я пока вижу только кучу девелоперов, которые сваяли какую-то программку (функционал которой для некоторых типа меня вообще является избыточным, при наличии под рукой стандартных бесплатных средств), выкинули на сайт, оформили комментарий с умными словами, и занялись распределением доходов от её реализации.

Да, авторы утверждают, что всё очень-таки секьюрно. Хм, а кто бы на их месте стал утверждать обратное?

Цитата:

Да, авторы утверждают, что всё очень-таки секьюрно. Хм, а кто бы на их месте стал утверждать обратное?

Понятно, что никто. Посему есть всегда два варианта выбора.
Первый - таки поверить, что https, SSL, IPSec, TeamViewer, Hamachi обеспечивают нам достаточный для наших скромных персон уровень безопастности.
Второй - всю информацию спрятать в запароленные архивы, архивы сунуть в вольюмы TrueCrypt, их поместить на диски BestCrypt, и обязательно отключить Интернет.
"Береженного бог бережет!" - сказала монахиня, одевая презерватив на стеариновую свечку.

vlary

Цитата:

своем сайте утверждают, что соединение абсолютно защищено и вариант "man in the middle" совершенно исключен.

Гы... А мы потом про "эшелон" шумим... При любом раскладе, при обращении "компетентных органов" владельцы ресурса сдают всю базу, а дальше никакой секюрности уже нету...

Вона спам-оборона (или как то по другому) написало что то типа:

...Мы ни разу не храним и не перехватываем сообщения...
....
...Данные о почтовой переписке могут быть предоставлены по судебному решению или обращению уполномоченных органов...
....

Парадокс, не?

vlary, не, ну я не призываю в крайности впадать (хотя, чего уж греха таить, TrueCrypt хорош, хорош ), но и верить заявлениям разрабов тоже не могу, мало ли кто там у них устроился на работу. Тем более с их менталитетом, когда они по первому зову готовы всё и вся отдать любому встречному с корочкой, и сами ещё в придачу готовы отдаться


Ruza, однако - да, он самый

никакой секъюрности и быть не может, я ставил себе а на след. день в mail войти не смог не только я но и напарник на свою почту, пришлось ломать пароли обратно, там(вкомпании) ребята только рекламой занимаются, а весь трафик через их DNS идёт.

так, что в корпоративном варианте не стоит его разворачивать?

Цитата:

так, что в корпоративном варианте не стоит его разворачивать?

В корпоративном варианте нужно разворачивать нормальный VPN сервер, и работать через него. Зависеть в таком вопросе от каких-то незнакомых дядей считаю в корне неправильным.

vlary
не, я в принципе склоняю вопрос к тому, что в нутри организации, хелп деск, без экстернела. и меж тем позакрывав ip (как было в статье выше).

Присоеденяюсь!!! Деньги получаю ( как администратор ) не только за " так все ж работает!!?!", но и за безопасность, и она стоит во главе угла наравне с функционированием систем. Использование сторонних программ, предоставляющих доступ к ресурсам одного компа, а следовательно и к сети, должно всегда порождать мысль о том, что " доверять человеку нужно, но вверять себя человеку нельзя" (библейская мудрость). Далек от мысли, что разработчики обсуждаемого софта ( и всего подобного ) не имеют возможности " заглянуть" к вам в комп или дальше. При поддержании коннекта со своим сервером могут и данные передаваться ... Рад бы поверить, что все только для блага клиента и данные передаются исключительно для статистики ... Сложность взлома паролей - дело техники и доступа к трафику клиента. Да, я параноик, но только по профессии. Не хочу много писать ...
Политика - запретить все и всем, разрешить только ... И речь идет не о конкретном софте, это и скайп, "головы" подгружающих свое "тело" из нета, трояны и т.д. В этом мне помог проксик сквид. Детали - http://forum.lissyara.su/viewtopic.php?f=4&t=30321

в локалке предприятия можно отключить вьевер от интеренета и он будет видеть только локалку. а то что есть промежуточное звено через интернет однозначно не безопасно. для интеренета нужно другое например openvpn

кстати и в локалке на ноутбуки если его ставить то возможно существует возможность слушать через микрофон этот ноутбук и смотреть через его веб камеру.

Так вот на вопрос мне кажется не ответил никто.
Пусть кто-то считает его безопасным, кто-то нет.
Но нам как админам нужно решение как закрыть его внутри сетки, чтобы контроль над удаленными клиентами в сети предприятия имели только системные администраторы.
я уже задавал вопрос в паралелльном топике.

меня это очень сильно беспокоит.
если какой-нить дядя вася поставит этот софт в бухгалтерии или у экономистов или еще где-то, чтобы он никоем образом удаленно со своего компа не мог попасть на тачки в сети.

чтоб его поставить нужны права админа локального. а если просто запустить без установки то через интернет доступа не будет (черный экран). а запретить его в домене или запретить ему выход в инетернет легко на прокси.

а вот несколько муторный способ, но должен сработать.. ставим инет-сервак, на нем терминал-сервер.. разрешаем доступы в инет только с этого инет-сервака.. остальные машины сети подключаются как терминал-клиенты.. запреты на установку на инет-серваке дополнительных программ (хотя не обязательно).. запуск TV на машинах пользователей ни к чему привести не должен))) скаченное через инет-терминал-сервер переносим на комп пользователя маппингом дисков.. мультики ютюба будут дергаться.. но для РАБОТЫ это не помеха))))

bugxxx

Цитата:

тавим инет-сервак, на нем терминал-сервер.. разрешаем доступы в инет только с этого инет-сервака..

Епт! Ты в "Газпроме" работаешь?

может лучше будет средствами WIndwos запретить запуск exe от TeamViewer или попытаться например на Касперском запретить запуск данного софта, правда второй вариант сам не пробовал

Sergey_41
Лучше всего вообще запретить политиками юзерам запуск левых программ...

Кусок из фаера. Вставлять перед иными правилами таблицы PREROUTING во избежание мимопопаданий. Пользуйтесь. Если будет еще пролетать, открыть тимвьювер ручками (сервис, открыть файл журнала, TeamViewer6_Logfile(выше или ниже версии на будущее), находим строки типа
2011/04/22 14:00:40.257 5320 4340 G1! CTerminalServer::GetUsername() No valid user name - try to use fallback!
2011/04/22 14:00:40.258 5320 4340 G1 CCT.TM_WaitAtGateway.92.51.171.92:443 - CT12 - S12
2011/04/22 14:00:40.259 5320 4340 G1 CCT.Connect.92.51.171.92:443
2011/04/22 14:00:40.303 5320 4340 G1 S12 NC.ConnectPort443.Connected
2011/04/22 14:00:40.304 5320 4340 G1 CCT.Connected
2011/04/22 14:00:40.304 5320 5480 G1 CT12 CT.Run
Копируем айпишник 92.51.171.92 в файл /куданибудь/teamviewer_ip.txt(см.инстр.ниже) а лучше сразу подсеть /24
Итак:

echo "PREROUTING TEAMVIEWER BLOCK"
for view_ip in `cat /куданибудь/teamviewer_ip.txt`
do
for view_port in `cat /куданибудь/teamviewer_ports.txt`
do
echo "$view_ip and $view_port"
/sbin/iptables -t nat -A PREROUTING -s $LOCAL0 -d $view_ip -p tcp --dport $view_port -j DROP
done
done
echo "END"


Теперь нужно создать папки соответственно и там же посоздавать файлы текстовые.
Содержание тхт файлов
/куданибудь/teamviewer_ip.txt
92.51.171.71
46.4.68.241
151.1.182.135
46.105.99.126
46.165.192.0/24
95.211.58.0/24
89.185.96.0/24
178.77.120.0/24
202.143.0.0/16
216.108.0.0/16
217.172.187.0/24
80.237.0.0/16
81.169.0.0/16
87.230.0.0/16
205.188.0.0/16


/куданибудь/teamviewer_ports.txt
80
443
5938


Порты и айпишники можно добавлять, только не забывать перезагружать сам скрипт для вступления в силу новых добавлений.

В этой статье есть нужные диапазоны IP
http://www.glazavezde.ru/nastroyka-programm-v-korporativnyh-setyah/294-blokiruem-icq-mail-agent-i-mnogoe-drugoe.html#sel=24:1:4WP,47:7:y6x