鉴于越来越多的指控称TeamViewer已被黑客入侵,而且犯罪分子以某种方式获得未经授权访问启用TeamView的工作站,我们希望完全阻止TeamViewer。
TeamViewer会话build立协议如何工作? 我们可以使用哪些防火墙规则或其他措施来防止我们networking中的所有工作站通过TeamViewer进行控制?
我们有一个异构的环境; 控制必须在networking层面完成,而不是像组策略那样。
第一步阻止DNS
TeamViewer客户端使用80端口作为出站连接,很难阻塞使用端口的基础。 因此,由于TeamViewer客户端必须首先连接到TeamViewer服务器,我们可以使用另一个aproach,即阻止* .teamviewer.com和/或* .dyngate.com的每个dns请求。
第二步块IP地址范围
TeamViewer IP地址范围是178.77.120.0/24,但是您必须再次检查。
为了完整起见,TeamViewer按特定顺序使用三个不同的端口。
5938是TeamViewer首选使用的端口。 这也是目前Android,Windows Mobile和黑莓客户端使用的唯一端口。 443 。 这实际上是最有问题的部分,因为阻止默认HTTPS端口443将阻止所有安全的网站。 篡改数据将涉及使用假根CA和解密的数据,没有它真的很难检测是否是TeamViewerstream量或只是正常的TLSencryption的HTTPS。 80是第三种select。 这很容易阻止,例如通过使用透明代理 ,但是完全没有必要,因为之前使用了443 。 因此,阻断任何客户端(包括BYOD)在networking层面的连接将涉及:
伪造或阻止*.teamviewer.com DNS查询。 如果您信任TeamViewer GmbH的话 (相反的目的),这实际上应该是最有效的方法:
TeamViewer软件连接到位于世界各地的主服务器。 这些服务器使用许多不同的IP地址范围,这些地址范围也经常发生变化。 因此,我们无法提供我们的服务器IP列表。 但是, 我们所有的IP地址都有PTRlogging,可以parsing为
*.teamviewer.com。 您可以使用它来限制通过防火墙或代理服务器允许的目标IP地址。
此外,阻止TeamViewer的已知IP地址范围,但正如我们很快会看到的,这可能是有问题的,难以维护:
178.77.120.0/25 ; DE-HE-MASTER-EXT ; TeamViewer GmbH 159.8.209.208/28 ; NETBLK-SOFTLAYER-RIPE-CUST-SS30641-RIPE ; TeamViewer GmbH 92.51.156.64/26 ; 由Host Europe GmbH拥有; 冒着误报的风险 如果您不信任TeamViewer GmbH,并且TeamViewer使用独立的TeamViewerQS.exe在端口443和80上工作,那么组策略(例如软件限制策略 )将是一个很好的补充,可以增加对join到AD域的Windows计算机的保护。
Teamviewer应用程序总是通过http \ https连接到serverXXXXX.teamviewer.com之类的服务器。
运行bash脚本的东西
for i in `seq 10000 99999`; do a="server"$i".teamviewer.com" b=`dig +short $a` if [[ "$b" == "" ]]; then continue fi echo "$b" >> ip_to_block.txt done
并阻止ip_to_block.txt中的所有IP脚本完成。 这是100%阻止所有Teamviewer客户。