Firewall

如何阻止 TeamViewer?

  • February 4, 2020

鑑於有關 TeamViewer 遭到黑客攻擊的指控越來越多,並且犯罪分子正在以某種方式未經授權訪問支持 TeamView 的工作站,我們希望完全阻止 TeamViewer。

TeamViewer 會話建立協議如何工作?我們可以使用哪些防火牆規則或其他措施來防止我們網路中的所有工作站都被 TeamViewer 控制?

我們有一個異構的環境;控制必須在網路級別完成,而不是通過諸如組策略之類的任何東西。

為了完整起見,TeamViewer 按特定順序使用三個不同的埠。

  1. **TCP/UDP 埠5938**是 TeamViewer 首選使用的主要埠。這也是目前 Android、Windows Mobile 和 BlackBerry 客戶端使用的唯一埠。
  2. 如果連接失敗,TeamViewer 接下來會嘗試TCP443。這實際上是最有問題的部分,因為阻止預設 HTTPS 埠443將阻止所有安全網站。篡改數據將涉及使用假根 CA 和解密數據,如果沒有這些,就很難檢測出它是 TeamViewer 流量還是普通的 TLS 加密 HTTPS。
  3. 預設 HTTP 埠,**TCP80**是第三種選擇。這很容易被阻止,例如使用透明代理,但完全沒有必要,因為443在此之前使用過。

因此,阻止來自任何客戶端(包括 BYOD)的網路級別連接將涉及:

TeamViewer 軟體可以連接到我們位於世界各地的主伺服器。這些伺服器使用許多不同的 IP 地址範圍,這些範圍也經常變化。因此,我們無法提供我們的伺服器 IP 列表。但是,我們所有的 IP 地址都有解析為*.teamviewer.com. 您可以使用它來限制您允許通過防火牆或代理伺服器的目標 IP 地址。

  • 此外,阻止 TeamViewer 的已知 IP 地址範圍,但正如我們很快看到的,這可能是有問題且難以維護的:

    • 178.77.120.0/25; DE-HE-MASTER-EXT; TeamViewer 有限公司
    • 159.8.209.208/28; NETBLK-SOFTLAYER-RIPE-CUST-SS30641-RIPE; TeamViewer 有限公司
    • 一些在92.51.156.64/26; 由 Host Europe GmbH 擁有;誤報風險…
    • ETC。; 還存在誤報和未來需要刪除的風險。
  • 此外,非常偏執的管理員可能會利用一些深度數據包檢查

如果您不信任 TeamViewer GmbH,並且由於 TeamViewer 在埠上44380獨立TeamViewerQS.exe的 . 上工作,組策略(例如軟體限制策略)將是一個很好的補充,可以增加對加入 AD 域的 Windows 機器的保護。

引用自:https://serverfault.com/questions/780626