主页 / server / 问题 / 780626
Accepted
200_success
Asked: 2016-06-03 11:26:00 +0800 CST

如何阻止 TeamViewer?

  • 772

鉴于有关 TeamViewer 已被黑客入侵的指控越来越多,并且犯罪分子正在以某种方式未经授权访问支持 TeamView 的工作站,我们希望完全阻止 TeamViewer。

TeamViewer 会话建立协议如何工作?我们可以使用哪些防火墙规则或其他措施来防止我们网络中的所有工作站都被 TeamViewer 控制?

我们有一个异构的环境;控制必须在网络级别完成,而不是通过诸如组策略之类的任何东西。

firewall teamviewer

4 个回答

  1. 第一步阻止DNS

    TeamViewer 客户端使用 80 端口进行出站连接,使用端口很难阻塞。因此,由于 TeamViewer 客户端必须首先连接到 TeamViewer 服务器,我们可以使用另一种方法,即阻止对 *.teamviewer.com 和/或 *.dyngate.com 的每个 dns 请求。

    第二步阻止 IP 地址范围

    TeamViewer IP 地址范围为 178.77.120.0/24,但您必须再次检查。

    • 9
  2. Best Answer

    为了完整起见,TeamViewer 按特定顺序使用三个不同的端口。

    1. TCP/UDP 端口5938是 TeamViewer 首选使用的主要端口。这也是目前 Android、Windows Mobile 和 BlackBerry 客户端使用的唯一端口。
    2. 如果连接失败,TeamViewer 接下来会尝试TCP443。这实际上是最有问题的部分,因为阻止默认 HTTPS 端口443将阻止所有安全网站。篡改数据将涉及使用伪造的根 CA 和解密数据,否则很难检测出它是 TeamViewer 流量还是普通的 TLS 加密 HTTPS。
    3. 默认 HTTP 端口,TCP80是第三种选择。这很容易被阻止,例如使用透明代理,但完全没有必要,因为443在此之前使用过。

    因此,阻止来自任何客户端(包括 BYOD)的网络级别连接将涉及:

    • 伪造或阻止*.teamviewer.com. 如果您相信 TeamViewer GmbH 的话,这实际上应该是最有效的方法(用于相反目的):

      TeamViewer 软件可以连接到我们位于世界各地的主服务器。这些服务器使用许多不同的 IP 地址范围,这些范围也经常变化。因此,我们无法提供我们的服务器 IP 列表。但是,我们所有的 IP 地址都有解析为*.teamviewer.com. 您可以使用它来限制您允许通过防火墙或代理服务器的目标 IP 地址。

    • 此外,阻止 TeamViewer 的已知 IP 地址范围,但正如我们很快看到的,这可能是有问题且难以维护的:

      • 178.77.120.0/25; DE-HE-MASTER-EXT; TeamViewer 有限公司
      • 159.8.209.208/28; NETBLK-SOFTLAYER-RIPE-CUST-SS30641-RIPE; TeamViewer 有限公司
      • 一些在92.51.156.64/26; 由 Host Europe GmbH 拥有;误报风险..​​.
      • ETC。; 还存在误报和未来需要删除的风险。
    • 此外,非常偏执的管理员可能会利用一些深度数据包检查

    如果您不信任 TeamViewer GmbH,并且由于 TeamViewer 在端口44380独立TeamViewerQS.exe的 . 上工作,组策略(例如软件限制策略)将是一个很好的补充,可以增加对加入 AD 域的 Windows 机器的保护。

    • 5

  3. 使用此方法重新访问我们的网络块时,我们发现 Teamviwer 连接到的子网和 DNS 名称与此处列出的不同。它现在连接到 router[1-16].teamviewer.com。

    唯一的问题是主机遍布世界各地,因为他们在 ANEXIA Internetdienstleistungs 拥有世界各地的服务器,并且阻止子网会导致很多误报。根据 whois,这些似乎与专用服务器相关联,因此我们为这些域设置了基于 DNS 的 IP 块,这似乎阻止了 TeamViewr 再次连接。

    如果您需要获取 IP,以下脚本(基于上述脚本)可以解决问题:

    for i in $(seq 1 16);
do
    a="router"$i".teamviewer.com"
    b=$(dig +short $a)
    echo "RESULT: $b"
    if [[ "$b" == "" ]]; then
        continue
    fi
    echo "$b" >> ip_to_block.txt
    echo "$a" >> domains_to_block.txt
done
    • 1

  4. Teamviewer 应用程序始终通过 http\https 连接到 serverXXXXX.teamviewer.com 等服务器之一。

    运行 bash 脚本之类的

    for i in `seq 10000 99999`;
do
    a="server"$i".teamviewer.com"
    b=`dig +short $a`
    if [[ "$b" == "" ]]; then
        continue
    fi

    echo "$b" >> ip_to_block.txt
done

    并在脚本完成后阻止 ip_to_block.txt 中的所有 IP。这是 100% 阻止所有 Teamviewer 客户端。

    • 0

相关问题