Zum Inhalt springen

Verbieten von Teamviewer, etc. (Fernwartungstools über Port 80)


Empfohlene Beiträge

Geschrieben

Hallo,

ich habe kürzlich in einem Telefonat (Technischer Support) mitbekommen, dass einige Mitarbeiter (von ca. 3000) Teamviewer benutzen um von Zuhause auf ihren Rechner zu zugreifen. Da dies nicht erlaubt ist (darum gibts VPN-Zugänge die beantragt werden müssen) ist dies eine große Sicherheitslücke in unserem Netz.

Daher: kennt jemand eine Möglichkeit diese Fernwartungstools, die über den Port 80 laufen zu stoppen?

Da Teamviewer das populärste Tools ist, haben wir erstmal im DNS teamviewer.com und *.dyngate.com gesperrt, da TV bei jeder Verbindung darauf zugreift.

Allerdings gibt es ja noch haufen andere Tools, die dann weiterhin benutzt werden können.

Also die User haben eingeschränkte Benutzerrechte - so dass Sie keine Änderungen an der hosts Datei vornehmen dürfen um die erste Maßnahme zu umgehen.

Gruß,

hyr

Geschrieben

Sicher Port 80?

Höchstwahrscheinlich 443! Verschlüsserter Datenverkehr, kann man nichts machen. IPs blockieren, irgendwann werden die alle :D

PS: mit dem gleichen Erfolg ist der Versand von Emails auch ein Sicherheitsrisiko, was soll's?

Geschrieben

Im Fall von Teamviewer und anderen Tools, die eine Verbindung immer ueber Server des Anbieters herstellen:

Sperre die Server-IPs.

Damit ist es egal welcher Port genutzt wird.

Pruefe auch ob nicht doch Kennwoerter fuer z.B. den lokalen Administrator des PCs/Laptops bekannt bzw. zurueckgesetzt geworden sind.

Denn die Fernwartungsfunktion von Teamviewer und anderer Fernwartungstools geht normalerweise nur als Dienst.

D.h. die Software muss also irgendwie installiert worden sein.

Die portable Teamviewer-Version ohne Adminrechte muss immer manuell gestartet werden. Das Kennwort aendert sich hier idR bei jedem Start von Teamviewer.

Das kann fuer den ein oder anderen bereits zuviel Aufwand sein.

Andere Moeglichkeiten:

- Domainweite Ausfuehrungsverhinderung mit Hilfe von Hashwerten.

- Liste unerwuenschter Programme in Virenscannern

Geschrieben

Da gibts ja auch spezielle Appliances fuer: Haben momentan zwei Palo Alto Firewalls im Haus, die koennen genau das. Dazu machen sie auch den verschluesselten HTTP Traffic auf (quasi ne Man-in-the-Middle Attacke) und erkennen mit bestimmten Pattern, die laufend aktualisiert werden, die Applikationen.

Geschrieben (bearbeitet)

Die HTTPS-"Auspack"-Funktion solcher Appliances ist eher dafuer gedacht, eingehende HTTPS-Zugriffe auf die eigenen Systeme zu schuetzen.

HTTPS-Traffic kannst Du nur entschluesseln, wenn Du das verwendete SSL Zertifikat inkl. privatem Schluessel hast.

Bei Servern/Seiten im Netz -ausgehenden HTTPS Zugriffen- wird das sehr schwierig, da die wenigsten Anbieter dafuer den privaten Schluessel ihres SSL Zertifikates rausgeben werden.;)

Bearbeitet von hades
Geschrieben (bearbeitet)
Also die User haben eingeschränkte Benutzerrechte - so dass Sie keine Änderungen an der hosts Datei vornehmen dürfen um die erste Maßnahme zu umgehen.

Wenn die den Teamviewer nutzen, dann wird eine Software auf dem Rechner installiert über die dann die Anwender-ID und ein Passwort einzugeben ist. Die Lösung des Problems liegt in der Antwort auf die Frage: Welche Software nutzt Port 80 resp. port 443?

Eine andere Möglichkeit wäre: Port 80 und 443 an der FW zu sperren und nur über einen Firmenproxy freigeben. Wenn dann in den Browsern die Proxies eingetragen sind, dann funktioniert die Kommunikation, und in der Spezialsoftware nicht, dann läuft die gegen die FW.

Bearbeitet von wolfgang-11
Geschrieben

mit anderen Worten: Die Hersteller von TeamViewer machen das gezielt, damit die Leute immer schön ihre Software benutzen? Finde ich nicht den richtigen Ansatz für eine erfolgreiche Zukunft.

Ist das nicht auch ein finanzieller Schaden für euch, wenn die ihre Computer ungesichert im Büro über die Nacht anlassen? Schließlich kann somit jeder Unbefugte drauf zugreifen und sie müssen das ja auch irgendwie von zuhause erstmal steuern. Schließlich bedarf es für TS immer zwei Parteien und zwei Kennwörter. Damit bleibt also der Rechner an und die Daten werden wohl auf dem Server nicht direkt gespeichert. Finde ich also einen Schaden für die Firma und das sollte mittels Vertrag durchaus einklagbar sein?

Geschrieben

Es ist gang und gaebe, dass Protokolle ueber den HTTPS-Port getunnelt werden, sei es Email (z.B. Outlook an Exchange), sei es VPN, sei es InstantMessaging-Software wie z.B. MSN/Skype/ICQ etc. oder halt Fernwartungssoftware.

Willst Du da alle Hersteller verklagen, die solch eine gaengige Technik nutzen?

Das wird nichts, weil Du koenntest ja die benutzte Server-IPs dieser Protokolle blocken und/oder Deine User entsprechend einschraenken (durch z.B. eingeschraenkte Userrechte) und mit Konsequenzen belegen.

Geschrieben
...Wenn dann in den Browsern die Proxies eingetragen sind, dann funktioniert die Kommunikation, und in der Spezialsoftware nicht, dann läuft die gegen die FW.

Tja, Du hast hier nur die Rechnung ohne den Wirt gemacht.;)

Die meisten solcher Tools fragen das System bzw. den Standardbrowser ab welcher Proxy genutzt wird und nehmen dann diese Einstellungen.

Oder nutzen die automatische Proxyerkennung (wpad/proxy.pac etc.).

Geschrieben

Ich kenne und nutze Teamviewer privat. Deshalb möchte ich hier mal die Grundlagen darstellen:

Um sich ohne Userinteraktion auf einem Rechner einloggen zu können, muss Teamviewer installiert sein, das geht nicht mit der "click and run" Version.

Zudem muss Teamviewer als Dienst laufen.

Im Teamviewer muss ein Authentifizierungspasswort hinterlegt sein.

Jetzt bleibt für mich die ketzerische Frage:

Wie schaffen es die Anwender, Teamviewer als Dienst auf einem Firmenrechner zu installieren? M.W. braucht es dazu Adminrechte.

Geschrieben

Denkbar wäre auch, kurz vor Feierabend den Teamveiwer Client zu starten, ID und (automatisch generiertes) Passwort zu notieren und von zu Hause drauf zugreifen <-- keine Installation von Nöten, sollte funktionieren

Geschrieben
Denkbar wäre auch, kurz vor Feierabend den Teamveiwer Client zu starten, ID und (automatisch generiertes) Passwort zu notieren und von zu Hause drauf zugreifen <-- keine Installation von Nöten, sollte funktionieren

Dann braucht man eigentlich nur die IP ändern mit der man ins Internet geht. -> Alle paar Stunden eine neue Einwahl?

Geschrieben
Dann braucht man eigentlich nur die IP ändern mit der man ins Internet geht. -> Alle paar Stunden eine neue Einwahl?

Viele Unternehmen haben Standleitungen, da funktioniert das gar nicht. Außerdem ist eine Neueinwahl bzw. das Erlangen von einer neuen IP-Adresse keine geeignete Sicherheitsmaßnahme.

Parallel zum Verbieten der Anwendungen sollte man auch entsprechende Organisationsanweisungen erstellen, die die Benutzung von solchen Programmen untersagen.

Geschrieben

Man merkt, dass es ein schwieriges Problem ist.

Ich würde vielleicht noch einen anderen Weg vorschlagen. Software-Inventarisierung ist für mich ein Stichpunkt. So haben wir z.B. eine Liste mit Leuten, die Teamviewer installiert haben. Diese wurden aufgefordert (da nicht dienstlich lizenziert) die Software zu entfernen. Nach ein paar Wochen wiederholt man den Spaß.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...