Firewall
如何阻止 TeamViewer?
鑑於有關 TeamViewer 遭到黑客攻擊的指控越來越多,並且犯罪分子正在以某種方式未經授權訪問支持 TeamView 的工作站,我們希望完全阻止 TeamViewer。
TeamViewer 會話建立協議如何工作?我們可以使用哪些防火牆規則或其他措施來防止我們網路中的所有工作站都被 TeamViewer 控制?
我們有一個異構的環境;控制必須在網路級別完成,而不是通過諸如組策略之類的任何東西。
為了完整起見,TeamViewer 按特定順序使用三個不同的埠。
- **TCP/UDP 埠
5938
**是 TeamViewer 首選使用的主要埠。這也是目前 Android、Windows Mobile 和 BlackBerry 客戶端使用的唯一埠。- 如果連接失敗,TeamViewer 接下來會嘗試TCP
443
。這實際上是最有問題的部分,因為阻止預設 HTTPS 埠443
將阻止所有安全網站。篡改數據將涉及使用假根 CA 和解密數據,如果沒有這些,就很難檢測出它是 TeamViewer 流量還是普通的 TLS 加密 HTTPS。- 預設 HTTP 埠,**TCP
80
**是第三種選擇。這很容易被阻止,例如使用透明代理,但完全沒有必要,因為443
在此之前使用過。因此,阻止來自任何客戶端(包括 BYOD)的網路級別連接將涉及:
- 偽造或阻止
*.teamviewer.com
. 如果您相信 TeamViewer GmbH 的話,這實際上應該是最有效的方法(用於相反目的):TeamViewer 軟體可以連接到我們位於世界各地的主伺服器。這些伺服器使用許多不同的 IP 地址範圍,這些範圍也經常變化。因此,我們無法提供我們的伺服器 IP 列表。但是,我們所有的 IP 地址都有解析為
*.teamviewer.com
. 您可以使用它來限制您允許通過防火牆或代理伺服器的目標 IP 地址。
此外,阻止 TeamViewer 的已知 IP 地址範圍,但正如我們很快看到的,這可能是有問題且難以維護的:
178.77.120.0/25
;DE-HE-MASTER-EXT
; TeamViewer 有限公司159.8.209.208/28
;NETBLK-SOFTLAYER-RIPE-CUST-SS30641-RIPE
; TeamViewer 有限公司- 一些在
92.51.156.64/26
; 由 Host Europe GmbH 擁有;誤報風險…- ETC。; 還存在誤報和未來需要刪除的風險。
此外,非常偏執的管理員可能會利用一些深度數據包檢查。
如果您不信任 TeamViewer GmbH,並且由於 TeamViewer 在埠上
443
和80
獨立TeamViewerQS.exe
的 . 上工作,組策略(例如軟體限制策略)將是一個很好的補充,可以增加對加入 AD 域的 Windows 機器的保護。