it-swarm-eu.dev

Jak bezpečný je TeamViewer pro jednoduchou vzdálenou podporu?

Nasazuji webový systém ERP = pro zákazníka), takže server i klientské počítače budou uvnitř intranetu zákazníka. Bylo mi doporučeno další otázka nepoužívat TeamViewer k přístupu na server, místo toho používat bezpečnější prostředky, a to i já I. Nyní se ale obávám, zda bude TeamViewer vhodný pro klientské počítače, které nejsou „speciální“ pro tento systém zejména, ale přesto nechci snížit jejich současné zabezpečení, ani nechci kompromitovat počítač z mého konce.

Moje otázka tedy zní, zda je TeamViewer „dost dobrý“ pro jednoduchou podporu vzdálené plochy, kde se použije pouze na pomoc uživatelům při používání systému, a zda musím přijmout další opatření (jako je změna výchozí nastavení, změna brány firewall atd.) k dosažení uspokojivé úrovně nebo zabezpečení.

Některé podrobnosti:

  1. Již jsem si přečetl společnost prohlášení o bezpečnosti a podle mého non-expertního názoru je vše v pořádku. Nicméně tato odpověď v této další otázce mě zpochybnilo. Po nějakém výzkumu mě UPnP zvlášť neznepokojuje, protože funkce, která jej používá - DirectIn - je ve výchozím nastavení vypnutá. Ale zajímalo by mě, jestli existuje více věcí, o kterých bych měl vědět, že to není v tomto dokumentu uvedeno.

  2. Wikipedia článek o TeamViewer říká, že Linuxový port používá víno. AFAIK, který nemá vliv na zabezpečení sítě, je to správné?

  3. V konečném důsledku odpovědnost za zabezpečení sítí mých zákazníků není moje, je to jejich. Musím jim však poradit o možnostech zřízení tohoto systému, zejména proto, že většina z nich jsou malé a střední nevládní organizace bez vlastního IT personálu. Často nebudu schopen nabídnout „ideální“ nastavení, ale alespoň chci poskytnout radu, jako například: „pokud instalujete TeamViewer do tohoto počítače, nebudete moci provádět X, Y a Z v tom, protože to deaktivuji "; nebo: „TeamViewer můžete nainstalovat do jakéhokoli běžného počítače, který je v jeho výchozí konfiguraci bezpečný; pouze tento * odkazuje na server * je omezen“.

  4. Můj výběr programu TeamViewer byl pouze proto, že instalace v počítačích se systémem Windows i Linux byla přímá a fungovalo to (jeho cena je také dostupná). Ale jsem otevřený dalším návrhům. Mám nízký rozpočet i specializovaný personál, takže jdu pro jednodušší nástroje, ale chci se vědomě rozhodnout, co to je.

66
mgibsonbr

Existuje několik rozdílů mezi použitím dodavatele třetí strany (jako je teamviewer) a řešením pro přímé dálkové ovládání (např. VNC).

Team Viewer má výhody v tom, že pro příchozí připojení nevyžaduje otevření portů na firewallu, což odstraňuje potenciální bod útoku. Například, pokud máte něco jako poslech VNC (a není možné omezit zdrojové IP adresy pro připojení), pak pokud existuje chyba zabezpečení ve VNC nebo je použito slabé heslo, pak existuje riziko, že by útočník mohl použijte tento mechanismus k útoku na zákazníka.

Existuje však kompromis, který spočívá v tom, že lidem, kteří službu vytvářejí a provozují, poskytujete určitou úroveň důvěry (v tomto případě teamviewer). Pokud dojde k ohrožení jejich produktu nebo serverů, je možné, že by útočník mohl použít tento útok k útoku na kohokoli, kdo službu používá. Jedna věc, kterou je třeba zvážit, je, že pokud jste platícím zákazníkem služby, můžete mít nějaký smluvní návrat, pokud jsou hackováni (ačkoli to je velmi pravděpodobné, že bude záviset na dané službě a na spoustě dalších faktorů)

Jako všechno v bezpečí je to kompromis. Pokud máte slušně zabezpečený produkt dálkového ovládání a dobře jej spravujete a ovládáte, měl bych sklon říci, že to bude pravděpodobně bezpečnější možnost, než spoléhat se na jakoukoli třetí stranu.

To znamená, že pokud jsou nároky na webových stránkách TeamViewers přesné, je pravděpodobné, že věnují velkou pozornost bezpečnosti, a také byste mohli zvážit, že pokud někdo hackne TeamViewer (který má poměrně velký počet zákazníků), jaká je šance, že zaútočí na vás :)

33
Rory McCune

Podívejte se na tuto bezpečnostní analýzu aplikace TeamViewer. Stručně řečeno, rozhodně to není bezpečné na nedůvěryhodných sítích: https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-

Závěr:

Doporučuji, aby TeamViewer nebyl používán v nedůvěryhodné síti nebo s výchozím nastavením hesla. TeamViewer podporuje zvyšování síly hesla na nastavitelnou délku a používání alfanumerických přístupových kódů, ale je nepravděpodobné, že by toto nastavení změnili náhodní uživatelé. Nezapomeňte však, že v TeamViewer je podstatná útočná plocha, která potřebuje více analýz, jako jsou neověřené, prostá komunikace mezi klientem na server (na straně klienta je podporováno a analyzováno více než 100 příkazů) a také mnoho příkazů typu peer-to-peer, směrovaných přes server brány. Navzdory nebezpečí pro tuto velmi exponovanou útočnou plochu je riziko poněkud zmírněno rozsáhlým použitím řetězce std :: string a std :: vector místo řetězců a polí ve stylu C.

32
Bill Johnson

Chci jen přidat odpověď, o které si myslím, že se jí ještě nedotkla. Když se připojíte přes teamviewer k jinému počítači, sdílíte schránku s tímto počítačem (ve výchozím nastavení).

Proto je vše, co zkopírujete do své schránky, zkopírováno také do schránky počítače, ke kterému jste připojeni. Nainstalováním aplikace pro sledování schránky, jako je ClipDiary , v hostitelském počítači můžete uchovat záznam všeho zkopírovaného do schránky osobou, která se k vám připojuje.

Většina odpovědí se zaměřuje na zabezpečení počítače používaného jako hostitel, ale je to také potenciální problém se zabezpečením počítače připojujícího se k hostiteli, zejména pokud používáte nástroj pro správu hesel, jako je KeePass, jako hostitel počítač by mohl mít záznam uživatelských jmen a hesel (a potenciálně URL, pokud také zkopírujete URL z KeePassu do vašeho prohlížeče) do historie schránky po skončení vaší relace.

20
JMK

Nevím dost o programu TeamViewer, abych vám mohl posoudit jeho rizika nebo zda je to pro vaši situaci dobrá volba. Ale budu znovu opakovat komentář od @Lie Ryan. Pokud k tomuto účelu nasadíte TeamViewer, jedním z možných způsobů, jak snížit riziko vzdálených útoků, je nastavení brány firewall (na obou koncových bodech), která blokuje veškerý přístup k portům TeamViewer kromě autorizovaných počítačů.

5
D.W.

O programu TeamViewer si myslím, že byste měli mít na paměti několik věcí:

  • Nemůžete se snadno podívat na zdroj a ověřit jeho zabezpečení a je to síťová plocha útoku. To není tak pěkné - pokud jste schopni vytvořit server OpenSSH s autorizací založenou na hesle, místo toho část pro připojení k internetu deaktivovala. (Možná budete chtít dát uživateli metodu pro spuštění/zastavení serveru.) Pomocí tunelu OpenSSH můžete k připojení k displeji použít pouze VNC vázaný na localhost. Tato metoda samozřejmě nefunguje tak dobře, pokud jsou dotyčné počítače za branou NAT/overzealous Firewall a nemáte způsob, jak se dostat za tento firewall. Nápady, jak to obejít:
    • Dalo by se použít hack jako http://samy.pl/pwnat/ a otevřít je pro připojení z internetu.
    • Můžete provést tunel SSH v opačném směru: Když chtějí podporu, spustí skript, který vytvoří tunel SSH k vašemu podpůrnému serveru a připojí připojení TCP k serveru VNC k SSH) Váš podpůrný server má veřejný klíč klienta ve svém souboru autorizovaných_keys s vynuceným příkazem, který spojuje klienta s reverzním klientem VNC.
  • Pokud ji používáte, ujistěte se, že nikdy nemáte spuštěný systém s tímto hloupým čtyřmístným systémem přístupového kódu. Ano, mají exponenciální časy uzamčení, ale za prvé, nechcete, aby podpora byla uzamčena tak snadno a za druhé, dobře, co když někdo zkusí jednu náhodnou kombinaci na 100 000 PC se spuštěným teamviewerem? Dostane ~ 100 navázaných spojení, aniž by narazil na jakékoli uzamčení, myslím - afaik, uzamčení je zcela na straně klienta.
5
thejh

Teamviewer není bezpečné období. Přemýšlejte o tom. Teamviewer lze nakonfigurovat tak, aby vždy používal stejné ID partnera a heslo. Podobný kód může vytvořit a spustit pouze uživatel, který klikne na e-mail. Skvělý nástroj? Naprosto ... pro lidi jako já, kteří podporují velké množství vzdálených uživatelů, kteří nedokážou rozeznat dvojtečku ze středníku. Ale bezpečné? V žádném případě Ne jak. Teamviewer umožňuje vzdálený přístup k počítači a může obejít Cisco VPN nebo jakékoli jiné zabezpečení VPN. Toto svinstvo o tom, že koncový uživatel musí rozdávat partnerské ID a předávat, je jen to ... svinstvo. To lze snadno obejít. Nechápejte mě špatně. Líbí se mi Teamviewer. Ale nebuď se sám, není to vůbec bezpečné.

3
Larry Webb

Navrhoval bych nativní řešení, jako je VNC, které vám umožní vynechat taková zástupná řešení, jako je TeamViewer ve WINE atd., A také použít nástroj pro správu balíčků místních operačních systémů, aby bylo zajištěno, že řešení zůstane aktuální. Pro zabezpečení použijte tunel SSH. Tím je zajištěno, že veškerá komunikace VNC je šifrována, včetně počátečního handshake VNC auth/password. To je obzvláště důležité, protože mnoho implementací VNC je poněkud nejistých.

Kromě toho, jak navrhl jiný respondent, pomocí filtrování IP zajistěte, aby s serverem VNC mohli komunikovat pouze osoby na určitých adresách.

1
deed02392

Jedním ze způsobů, jak to zvládneme: pokud si klient vyžádá dostupnost TeamViewer, ser spustí TeamViewer na vyžádání a admin ho zabije po dokončení úkolů. Dalším řešením, které jsme v takovém případě kdysi nasadili, je to, že TeamViewer je spuštěn ze SSH relace správcem. Případně se můžete podívat na nástroje pro sdílení stolních počítačů „pozvat mě“. Nebo můj oblíbený: zrcadlení Xsession přes SSH na plochu.

0
user31259