Dr web блокирует teamviewer

Технический блог специалистов ООО"Интерфейс"

• Главная
• Админу на заметку — 11. Как заблокировать TeamViewer.

Админу на заметку — 11. Как заблокировать TeamViewer.

• Автор: Уваров А.С.
• 27.09.2013

Утилита удаленного администрирования TeamViewer — вещь без сомнения удобная и полезная. Её главное преимущество — работа на машинах без выделенного IP-адреса и через практически любое интернет соединение. Но это же и ее главный недостаток, при бесконтрольном применении TeamViewer представляет значительную угрозу информационной безопасности предприятия.

Как пишут сами разработчики:

Вам не нужно беспокоиться о брандмауэрах, заблокированных портах или маршрутизации NAT — TeamViewer всегда установит подключение к удалённому компьютеру.

С одной стороны это хорошо, вы можете всегда оказать удаленную поддержку сотрудникам или клиентам, где бы они не находились. Плюс простота применения программы — достаточно просто запустить ее и продиктовать ID и пароль.

С другой стороны открывает широкие возможности по неконтролируемому доступу третьих лиц в корпоративную сеть. Причем сами сотрудники редко задумываются об этом аспекте, легко предоставляя доступ в сеть и на машины содержащие важную информацию и персональные данные третьим лицам. Это могут быть как сотрудники техподдержки банков и различных систем электронной сдачи отчетности, так и вообще непонятные лица, типа "знакомых программистов", родственников и т.п.

Поэтому озабоченность администраторов прекрасно можно понять. Новые технологии и удобство — это хорошо, но когда периметр сети практически перестает существовать — это гораздо хуже. А в данном случае лучше перебдеть, чем недобдеть, поэтому вполне логичным выглядит полный запрет на использование TeamViewer и аналогичных программ в сети предприятия.

Но не все так просто. TeamViewer полностью оправдывает приведенную выше цитату, если проанализировать его сетевую активность, то окажется, что заблокировать его не так то простою. Нет возможности установить один тип соединенения, программа попробует другой. Ну прямо как в поговорке: ты его в дверь, а он в окно.

В сети описывается несколько методов блокирования TeamViewer, основанных на запрете доступа к используемым им IP-адресам. Но это не дает 100% гарантии, во первых эти адреса еще нужно вычислить, во вторых они могут со временем поменяться, отслеживать такие изменения у обычного администратора нет ни времени, ни возможности.

Что же делать? Попробуем посмотреть на вопрос с другой стороны. Мы не можем заблокировать какой-то определенный порт, так как кроме своих портов программа умеет использовать общедоступные HTTP/HTTPS соединения, в т.ч. и через прокси. Также мы не можем заблокировать и какой либо сетевой адрес или блок адресов, точнее их то мы блокировать можем, только нет никаких гарантий, что этот список будет включать все используемые программой адреса и не изменится в будущем.

Но есть одна особенность. Если мы проанализируем сетевую актвность программы, то можем заметить, что она обязательно устанавливает соединения с хостами типа servernnnn.teamviewer.com

А теперь вспомним про технологию Split-DNS, проще говоря — следует отдавать локальным клиентам несуществующий адрес для зоны teamviewer.com, например 127.0.0.1. Ниже мы рассмотрим как это сделать в среде Windows Server и Linux.

Windows Server

Если вы используете Windows Server, то с большой долей вероятности будете использовать роль DNS-сервера в этом качестве. Для реализации задуманного откроем оснастку и создадим в ней новую зону teamviewer.com. В этой зоне создадим А-запись с пустым именем указывающую на адрес 127.0.0.1

Это приведет к тому, что все имена входящие в указанную зону будут разрешаться как 127.0.0.1 и соединение с серверами TeamViewer окажется невозможным.

Ubuntu Server

В предлагаемых нами решениях используется легкий кэширующий DNS-сервер dnsmasq, поэтому откроем его конфигурационный файл /etc/dnsmasq.conf и добавим туда следующую строку:

Следует отметить, что данные изменения коснуться только вновь устанавливаемых соединений, если TeamViewer на момент их применения был запущен — он продолжит нормально работать. Поэтому после внесения изменений есть смысл кратковременно разорвать интернет сессию.

Теперь при попытке подключения мы увидим следующую картину

Однако это еще не все, через некоторое время, убедившись в безуспешности попыток подключения, TeamViewer предложит использовать прокси-сервер.

Поэтому если в вашей сети используется прокси, то на нем также следует запретить доступ к домену teamviewer.com. Как это сделать для прокси-серера squid мы рассказывали здесь.

Обойти установленные нами ограничения можно заменив системные настройки DNS на один из публичных адресов, но это легко решается запретом запросов на 53 порт из локальной сети.

Теоретически пользователи могут использовать публичный прокси, но это действие лежит за рамками знаний и умений большинства из них, и выявление такого факта как правило требует пристально внимания к данному сотруднику и его действиям.

Данный способ также подходит для блокировки другого аналогичного ПО, например Ammyy Admin.

Хотя для Ammyy достаточно заблокировать единственный хост rl.ammyy.com, программа не сможет получить ID, а следовательно и принимать соединения.

TeamViewer — самая удобная и практичная программа для удаленного доступа к другим компьютерам. В то же время ее использование несет определенный риск: легкое подключение к другим устройствам может привести к несанкционированному использованию информации и краже личных данных. Чтобы обезопасить себя от подобных угроз, следует знать, как быстро заблокировать ТимВивер на компьютере.

Особенную опасность программа может нести при коммерческом использовании, поскольку любое интернет-соединение может служить угрозой информационной безопасности компании. Чаще всего это касается устройств, которые выполняют роль DNS-сервера: на них содержится вся информация, которой пользуются другие компьютеры в пределах рабочей сети. Блокировку в таком случае нужно проводить с администрирующего устройства, чтобы прекратить неконтролируемый доступ на всех компьютерах.

Варианты блокировки

Существует несколько действенных методов блокировки активного использования TeamViewer ресурсов компьютеров. Самые простые способы — работа со специальным программным обеспечением, облегчающим настройку сетевого доступа. Стандартные средства Windows сложнее в использовании, но блокируют доступ ТимВивера они не менее эффективно.

Kerio control

Владельцам серверов проще всего работать с бизнес-версией файрвола Kerio Control. Для ограничения доступа TeamViewer достаточно загрузить его бесплатную версию (доступ на 30 дней) и выполнить следующие действия:

1. Открыть раздел «Подключения».
2. Найти и отметить все строки активных подключений, которые содержат информацию формата:

• HTTP: GET http://«AAA»/din.aspx?s=«CCC»& >Программа удобна тем, что она полностью блокирует для TeamViewer соединение с серверами на каждом из компьютеров. При подключении к сети новых устройств достаточно добавить в список новый адрес, чтобы на него распространялось общее правило.

Заблокировать TeamViewer при помощи Mikro Tik

Mikro Tik

Программное обеспечение Mikro Tik для настройки сетевого оборудования подходит для серверов одноименного производителя.

Стандартные средства системы позволяют запретить доступ TeamViewer на уровне портов, то есть для каждого зависимого устройства по отдельности.

Чтобы выполнить настройку, потребуется:

1. Открыть раздел «Сервер», выбрать администрирующее устройство.
2. Выбрать меню «Запрет запуска приложения», затем — строку «TeamViewer».
3. Открыть строку «Заблокировать порт» и ввести код следующего формата:

• /ip firewall filter

add action=reject chain=forward dst-port=1234 protocol=tcp reject-with=tcp-reset, где

• 1234 — четырехзначный номер порта.

1. Сохранить установленное правило.
2. Перезапустить TeamViewer.

Блокировать потребуется каждый порт по отдельности, поэтому предварительно стоит собрать весь список портов, а затем поочередно добавлять новые правила для блокировки доступа ТимВивера к ним.

Iptables

Владельцы серверных ОС на базе Linux проблему доступа TeamViewer к устройствам могут решить с помощью встроенного инструмента Iptables. Он управляется через терминал. Основная сложность процесса в том, что программа предоставляется удаленный доступ без выделенного IP-адреса.

Блокировка выполняется с использованием сложного кода, который автоматически блокирует все входящие IP-адреса, формируемые на сервере TeamViewer. В терминале поочередно следует ввести следующие строки:

• list=$(for i in $(seq 10); do dig +short ping$i.teamviewer.com; done)
• list2=$(for i in $(seq 10); do dig +short master$i.teamviewer.com; done)
• for i in $(echo $list | sed -e ‘s/ /,/g’); do
• for j in $(echo $list2 | sed -e ‘s/ /,/g’); do
• for k in $(dig +short teamviewer.com); do
• iptables -A FORWARD -d $i,$j,$k -j DROP;
• done done done

Использование команд позволяет заблокировать все входящие с основного домена teamviewer.com. За счет этого происходит полная блокировка доступа программы на все устройства.

Другие средства

Собственные средства серверных выпусков Windows позволяют подменить входящие IP-адреса с домена teamviewer.com. Для этого нужно выполнить следующие действия:

1. Открыть «Диспетчер DNS» через меню «Программы и компоненты» в Панели управления или панель «Администрирование» в меню «Пуск».
2. Перейти в папку «Зоны прямого просмотра», затем — в «teamviewer.com».
3. Создать новую запись с пустым полем «Имя» и IP-адресом 127.0.0.1.

Также можно использовать средство AppLocker (находится в «Политике управления приложениями» в настройках параметров безопасности) путем создания правила для блокировки программы. Но подобный способ ненадежен, поскольку последняя версия TeamViewer 14 легко обходит ограничение за счет генерации новых IP-адресов.

Видимо, русская страсть к халяве прошита у нас уже с рождения. Мы всегда пытаемся урвать что-то нахаляву. Но особенно это проявляется с цифровым контентом. Мы не привыкли покупать программы, игры, фильмы, книги, а если и приходится это делать, то просто от безысходности.

Не стану корчить из себя праведника, сам грешу подобным. Например, в рамках немногочисленных «шабашек» по 1с мне очень удобно сделать все по удаленке, чем тащиться в другой конец города. Кроме того, часто обращаются за помощью как читатели этого блога, так и знакомые, которым нужно просто «поэникеить» винду и программы.

Хотя иструменов для удаленного администрирования достаточно много и некоторые из них даже бесплатные, но есть сильные продукты, функционал которых стоит на голову выше бесплатных аналогов. Да, ammy admin классная программа, но лично мне она не очень нравится. Однако как бесплатный инструмент ammy admin отлично справляется со своей главной задачей и даже делает больше, нежели можно ожидать от нее. Кроме того, она бесплатна только для личных целей. Ее лицензия не подразумевает использование в коммерческих целях.

Занятная поделка под названием AeroAdmin была честно содрана со своего именитого иностранного аналога TeamViewer. Она даже внеше похожа на тимвьювер, хотя сколько раз не пытался работать через AeroAdmin, все время кроме матерных слов в ее адрес мой собеседник не мог услышать. Бесконечные тормоза, разные глюки и т.д. напрочь лично у меня отбивает желание работать с данной программой. И ладно бы если она была полностью бесплатной, но нет же, хотя AeroAdmin даже позволяет использование в коммерческих целях, но количество рабочих часов в месяц и количество подключаемых компьютеров у нее ограничены. И снова привет Тимвьюверу, так как такое применяется у него. Вот честно, если вы одинэсник или вообще нужно какую-то программу поставить и настроить, но боитесь быть пойманным «доблестными» убэповцами, то AeroAdmin может выручить в такой ситуации, но лично мое впечатление от работы с ней негативное.

Да и честно, обычно в конторах используется статический адрес и можно спокойно подключаться к рабочему месту как по rdp, так и по vnc протоколу. Но в случае с домашними компьютерами или рабочих мест кассир каких-либо «серьезных» торгашей программы для удаленного доступа по p2p просто самый оптимальный и наименее трудозатратный способ.

Кроме того, почему то у всех на слуху Team Viewer, как только речь заходит об удаленном доступе. В 2015 году я вообще видел решение, когда админ объединял несколько гостиниц по VPN каналу с помощью… Team Viewer. Конечно, это его право и его решение, хотя как по мне – оно весьма опрометчивое и неоптимальное. Но сам факт того, что Тим Вьювер применяют буквально для всего уже говорит о некой монополизации рынка подобных программ.

Но вот все бы ничего, да только Team Viewer бесплатный для домашних пользователей. Корпоративным клиентам придется раскошелиться, но оно и неудивительно. У бизнеса, априори, должны быть деньги и на это, тогда как обычные пользователи редко покупают корпоративный софт. И вот тут Team Viewer, бдительно следит за правомерностью использования. Если вы часто подключаетесь к различным компьютерам, то Team Viewer сначала сообщит, что у нее появилось «подозрение на коммерческое использование», а потом и вовсе «порадует» вас картинкой, что теперь ваш сеанс связи ограничен 5 минутами.

Вот теперь мы и рассмотрим, как можно снять ограничение на использование TeamViewer.

Учтите, что это не способ взлома. Это просто способ снятия ограничения. Фактически, это почти тоже самое, что и установка версии Team Viewer на новую систему. Наверняка вы пробовали переустановить эту программу и обнаруживали, что это не помогает и Тим Вьювер таки продолжает сообщать о том, что она проработает 5 минут и будет закрыта. К счастью, эта напасть решается всего несколькими шагами:

Важно понимать, что мы «палимся» своим ID, который присваивается при установке Team Viewer. Все мероприятия, которые мы и будем проводить, как раз и будут направлены на то, чтобы его изменить и сервер узнал бы об этом. Итак, для начала нам нужно будет сменить MAC-адрес нашего сетевого адаптера, через который мы выходим в интернет. Напоминаю, что это можно сделать в Центре управления сетями и общим доступом, где нужно выбрать Изменение параметров адаптера и открыть наш сетевой адаптер. Теперь нажмите на кнопку «Свойства»