Verbieten von Teamviewer, etc. (Fernwartungstools über Port 80)

[hyr]

Hallo,

ich habe kürzlich in einem Telefonat (Technischer Support) mitbekommen, dass einige Mitarbeiter (von ca. 3000) Teamviewer benutzen um von Zuhause auf ihren Rechner zu zugreifen. Da dies nicht erlaubt ist (darum gibts VPN-Zugänge die beantragt werden müssen) ist dies eine große Sicherheitslücke in unserem Netz.

Daher: kennt jemand eine Möglichkeit diese Fernwartungstools, die über den Port 80 laufen zu stoppen?

Da Teamviewer das populärste Tools ist, haben wir erstmal im DNS teamviewer.com und *.dyngate.com gesperrt, da TV bei jeder Verbindung darauf zugreift.

Allerdings gibt es ja noch haufen andere Tools, die dann weiterhin benutzt werden können.

Also die User haben eingeschränkte Benutzerrechte - so dass Sie keine Änderungen an der hosts Datei vornehmen dürfen um die erste Maßnahme zu umgehen.

Gruß,

hyr

[SchlimmerFinger]

Sicher Port 80?

Höchstwahrscheinlich 443! Verschlüsserter Datenverkehr, kann man nichts machen. IPs blockieren, irgendwann werden die alle

PS: mit dem gleichen Erfolg ist der Versand von Emails auch ein Sicherheitsrisiko, was soll's?

[chris47803]

Ein Virenscanner könnte den Start von TV verhindern, oder?

Wir machen das mit Sophos.

[hades]

Im Fall von Teamviewer und anderen Tools, die eine Verbindung immer ueber Server des Anbieters herstellen:

Sperre die Server-IPs.

Damit ist es egal welcher Port genutzt wird.

Pruefe auch ob nicht doch Kennwoerter fuer z.B. den lokalen Administrator des PCs/Laptops bekannt bzw. zurueckgesetzt geworden sind.

Denn die Fernwartungsfunktion von Teamviewer und anderer Fernwartungstools geht normalerweise nur als Dienst.

D.h. die Software muss also irgendwie installiert worden sein.

Die portable Teamviewer-Version ohne Adminrechte muss immer manuell gestartet werden. Das Kennwort aendert sich hier idR bei jedem Start von Teamviewer.

Das kann fuer den ein oder anderen bereits zuviel Aufwand sein.

Andere Moeglichkeiten:

- Domainweite Ausfuehrungsverhinderung mit Hilfe von Hashwerten.

- Liste unerwuenschter Programme in Virenscannern

[dom!]

Da gibts ja auch spezielle Appliances fuer: Haben momentan zwei Palo Alto Firewalls im Haus, die koennen genau das. Dazu machen sie auch den verschluesselten HTTP Traffic auf (quasi ne Man-in-the-Middle Attacke) und erkennen mit bestimmten Pattern, die laufend aktualisiert werden, die Applikationen.

[hades]

Die HTTPS-"Auspack"-Funktion solcher Appliances ist eher dafuer gedacht, eingehende HTTPS-Zugriffe auf die eigenen Systeme zu schuetzen.

HTTPS-Traffic kannst Du nur entschluesseln, wenn Du das verwendete SSL Zertifikat inkl. privatem Schluessel hast.

Bei Servern/Seiten im Netz -ausgehenden HTTPS Zugriffen- wird das sehr schwierig, da die wenigsten Anbieter dafuer den privaten Schluessel ihres SSL Zertifikates rausgeben werden.

Bearbeitet 3. Juni 2010 von hades

[wolfgang-11]

Also die User haben eingeschränkte Benutzerrechte - so dass Sie keine Änderungen an der hosts Datei vornehmen dürfen um die erste Maßnahme zu umgehen.

Wenn die den Teamviewer nutzen, dann wird eine Software auf dem Rechner installiert über die dann die Anwender-ID und ein Passwort einzugeben ist. Die Lösung des Problems liegt in der Antwort auf die Frage: Welche Software nutzt Port 80 resp. port 443?

Eine andere Möglichkeit wäre: Port 80 und 443 an der FW zu sperren und nur über einen Firmenproxy freigeben. Wenn dann in den Browsern die Proxies eingetragen sind, dann funktioniert die Kommunikation, und in der Spezialsoftware nicht, dann läuft die gegen die FW.

Bearbeitet 9. Juni 2010 von wolfgang-11

[Thanks-and-Goodbye]

Wenn die den Teamviewer nutzen, dann wird eine Software auf dem Rechner installiert...

Nein. Log dich online in deinen Teamviewer-Account ein und du kannst die Funktionalitäten von Teamviewer über Browser und https nutzen.

[geloescht_nibor]

mit anderen Worten: Die Hersteller von TeamViewer machen das gezielt, damit die Leute immer schön ihre Software benutzen? Finde ich nicht den richtigen Ansatz für eine erfolgreiche Zukunft.

Ist das nicht auch ein finanzieller Schaden für euch, wenn die ihre Computer ungesichert im Büro über die Nacht anlassen? Schließlich kann somit jeder Unbefugte drauf zugreifen und sie müssen das ja auch irgendwie von zuhause erstmal steuern. Schließlich bedarf es für TS immer zwei Parteien und zwei Kennwörter. Damit bleibt also der Rechner an und die Daten werden wohl auf dem Server nicht direkt gespeichert. Finde ich also einen Schaden für die Firma und das sollte mittels Vertrag durchaus einklagbar sein?

[hades]

Es ist gang und gaebe, dass Protokolle ueber den HTTPS-Port getunnelt werden, sei es Email (z.B. Outlook an Exchange), sei es VPN, sei es InstantMessaging-Software wie z.B. MSN/Skype/ICQ etc. oder halt Fernwartungssoftware.

Willst Du da alle Hersteller verklagen, die solch eine gaengige Technik nutzen?

Das wird nichts, weil Du koenntest ja die benutzte Server-IPs dieser Protokolle blocken und/oder Deine User entsprechend einschraenken (durch z.B. eingeschraenkte Userrechte) und mit Konsequenzen belegen.

[hades]

...Wenn dann in den Browsern die Proxies eingetragen sind, dann funktioniert die Kommunikation, und in der Spezialsoftware nicht, dann läuft die gegen die FW.

Tja, Du hast hier nur die Rechnung ohne den Wirt gemacht.

Die meisten solcher Tools fragen das System bzw. den Standardbrowser ab welcher Proxy genutzt wird und nehmen dann diese Einstellungen.

Oder nutzen die automatische Proxyerkennung (wpad/proxy.pac etc.).

[Thanks-and-Goodbye]

Ich kenne und nutze Teamviewer privat. Deshalb möchte ich hier mal die Grundlagen darstellen:

Um sich ohne Userinteraktion auf einem Rechner einloggen zu können, muss Teamviewer installiert sein, das geht nicht mit der "click and run" Version.

Zudem muss Teamviewer als Dienst laufen.

Im Teamviewer muss ein Authentifizierungspasswort hinterlegt sein.

Jetzt bleibt für mich die ketzerische Frage:

Wie schaffen es die Anwender, Teamviewer als Dienst auf einem Firmenrechner zu installieren? M.W. braucht es dazu Adminrechte.

[Connor1980]

Denkbar wäre auch, kurz vor Feierabend den Teamveiwer Client zu starten, ID und (automatisch generiertes) Passwort zu notieren und von zu Hause drauf zugreifen <-- keine Installation von Nöten, sollte funktionieren

[wolfgang-11]

Denkbar wäre auch, kurz vor Feierabend den Teamveiwer Client zu starten, ID und (automatisch generiertes) Passwort zu notieren und von zu Hause drauf zugreifen <-- keine Installation von Nöten, sollte funktionieren

Dann braucht man eigentlich nur die IP ändern mit der man ins Internet geht. -> Alle paar Stunden eine neue Einwahl?

[lupo49]

Dann braucht man eigentlich nur die IP ändern mit der man ins Internet geht. -> Alle paar Stunden eine neue Einwahl?

Viele Unternehmen haben Standleitungen, da funktioniert das gar nicht. Außerdem ist eine Neueinwahl bzw. das Erlangen von einer neuen IP-Adresse keine geeignete Sicherheitsmaßnahme.

Parallel zum Verbieten der Anwendungen sollte man auch entsprechende Organisationsanweisungen erstellen, die die Benutzung von solchen Programmen untersagen.

[awollenh]

Man merkt, dass es ein schwieriges Problem ist.

Ich würde vielleicht noch einen anderen Weg vorschlagen. Software-Inventarisierung ist für mich ein Stichpunkt. So haben wir z.B. eine Liste mit Leuten, die Teamviewer installiert haben. Diese wurden aufgefordert (da nicht dienstlich lizenziert) die Software zu entfernen. Nach ein paar Wochen wiederholt man den Spaß.