it-swarm-eu.dev

Wie sicher ist TeamViewer für die einfache Remoteunterstützung?

Ich stelle ein webbasiertes ERP - System für einen Kunden bereit, sodass sich sowohl der Server als auch die Clientcomputer im Intranet des Kunden befinden. Ich wurde in eine andere Frage TeamViewer nicht verwenden, um auf den Server zuzugreifen, stattdessen mit sichereren Mitteln, und ich auch. Aber jetzt mache ich mir Sorgen, ob TeamViewer für die Client-Computer geeignet wäre, die nicht "speziell" sind Insbesondere dieses System, aber ich möchte trotzdem weder die aktuelle Sicherheit verringern noch den Computer auf meiner Seite gefährden.

Meine Frage ist also, ob TeamViewer für eine einfache Remotedesktopunterstützung "gut genug" ist oder nicht, wo es lediglich verwendet wird, um die Benutzer bei der Verwendung des Systems zu unterstützen, und ob ich zusätzliche Maßnahmen ergreifen muss (z. B. Änderungen) die Standardeinstellungen, das Ändern der Firewall usw.), um ein zufriedenstellendes Sicherheitsniveau zu erreichen.

Ein paar Details:

  1. Ich habe bereits die Sicherheitserklärung des Unternehmens gelesen und meiner Meinung nach ist alles in Ordnung. Allerdings hat mich diese Antwort in dieser anderen Frage in Zweifel gezogen. Nach einigen Recherchen macht mir insbesondere UPnP keine Sorgen mehr, da die Funktion, die es verwendet - DirectIn - standardmäßig deaktiviert ist. Aber ich frage mich, ob es weitere Dinge gibt, die ich beachten sollte und die in diesem Dokument nicht behandelt werden.

  2. Die Wikipedia Artikel über TeamViewer sagt, dass der Linux-Port Wine verwendet. AFAIK, das die Netzwerksicherheit nicht beeinträchtigt, ist das richtig?

  3. Letztendlich liegt die Verantwortung für die Sicherung der Netzwerke meiner Kunden nicht bei mir, sondern bei ihnen. Ich muss sie jedoch über die Möglichkeiten der Einrichtung dieses Systems beraten, insbesondere weil die meisten von ihnen kleine und mittlere NRO ohne eigenes IT-Personal sind. Oft kann ich kein "ideales" Setup anbieten, aber zumindest möchte ich Ratschläge geben wie: "Wenn Sie TeamViewer auf diesem Computer installieren, können Sie X, Y und nicht ausführen Z drin, weil ich es deaktivieren werde "; oder: "Sie können TeamViewer auf jedem normalen Computer installieren, der in der Standardkonfiguration sicher ist. Nur dieser * zeigt auf den Server * ist verboten.".

  4. Ich habe mich nur für TeamViewer entschieden, weil die Installation auf Windows- und Linux-Computern unkompliziert war und einfach funktioniert (auch auf die Kosten kann zugegriffen werden). Aber ich bin offen für andere Vorschläge. Ich habe sowohl wenig Budget als auch spezialisiertes Personal, daher greife ich zu den einfacheren Tools, aber ich möchte eine bewusste Entscheidung treffen, was auch immer das ist.

66
mgibsonbr

Es gibt einige Unterschiede zwischen der Verwendung eines Drittanbieters (z. B. Teamviewer) und einer direkten Fernsteuerungslösung (z. B. VNC).

Team Viewer hat den Vorteil, dass für eingehende Verbindungen keine Ports in der Firewall geöffnet werden müssen, wodurch ein potenzieller Angriffspunkt beseitigt wird. Wenn Sie beispielsweise VNC abhören (und es nicht möglich ist, Quell-IP-Adressen für Verbindungen einzuschränken), besteht eine Sicherheitslücke in VNC oder ein schwaches Kennwort, und es besteht das Risiko, dass ein Angreifer dies tut Verwenden Sie diesen Mechanismus, um Ihren Kunden anzugreifen.

Hierfür gibt es jedoch einen Kompromiss: Sie geben den Personen, die den Dienst erstellen und ausführen (in diesem Fall Teamviewer), ein gewisses Maß an Vertrauen. Wenn ihr Produkt oder ihre Server kompromittiert sind, kann ein Angreifer damit möglicherweise jeden angreifen, der den Dienst nutzt. Eine Sache, die Sie berücksichtigen sollten, ist, dass Sie als zahlender Kunde des Dienstes möglicherweise ein vertragliches Comeback erhalten, wenn er gehackt wird (obwohl dies sehr wahrscheinlich vom betreffenden Dienst und einer ganzen Reihe anderer Faktoren abhängt).

Wie alles in der Sicherheit ist es ein Kompromiss. Wenn Sie ein anständig sicheres Fernsteuerungsprodukt haben und es gut verwalten und steuern, würde ich sagen, dass dies wahrscheinlich eine sicherere Option ist, als sich auf Dritte jeglicher Art zu verlassen.

Das heißt, wenn die Behauptungen auf der TeamViewers-Website korrekt sind, ist es wahrscheinlich, dass sie der Sicherheit ein angemessenes Maß an Aufmerksamkeit schenken, und Sie könnten auch in Betracht ziehen, dass wenn jemand TeamViewer hackt (der eine ziemlich große Anzahl von Kunden hat), die Chance besteht, dass sie werden dich angreifen :)

33
Rory McCune

Schauen Sie sich diese Sicherheitsanalyse von TeamViewer an. Kurz gesagt, es ist definitiv nicht sicher in nicht vertrauenswürdigen Netzwerken: https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-

Fazit:

Ich empfehle, TeamViewer nicht in einem nicht vertrauenswürdigen Netzwerk oder mit den Standardkennworteinstellungen zu verwenden. TeamViewer unterstützt zwar das Erhöhen der Kennwortstärke auf eine konfigurierbare Länge und die Verwendung alphanumerischer Passcodes. Es ist jedoch unwahrscheinlich, dass Gelegenheitsbenutzer diese Einstellung geändert haben. Beachten Sie, dass TeamViewer eine erhebliche Angriffsfläche enthält, für die weitere Analysen erforderlich sind, z. B. nicht authentifizierte. Klartextkommunikation zwischen Client und Server (über 100 Befehle werden auf der Clientseite unterstützt und analysiert) sowie viele Peer-to-Peer-Befehle, die über den Gateway-Server geleitet werden. Trotz der Gefahr für diese stark exponierte Angriffsfläche wird das Risiko durch die weitgehende Verwendung von std :: string und std :: vector anstelle von Strings und Arrays im C-Stil etwas gemindert.

32
Bill Johnson

Ich möchte nur eine Antwort hinzufügen, die meiner Meinung nach noch nicht angesprochen wurde. Wenn Sie über Teamviewer eine Verbindung zu einem anderen Computer herstellen, geben Sie Ihre Zwischenablage für diesen Computer frei (standardmäßig).

Daher wird alles, was Sie in Ihre Zwischenablage kopieren, auch in die Zwischenablage des Computers kopiert, mit dem Sie verbunden sind. Durch die Installation einer Zwischenablage-Tracking-Anwendung wie ClipDiary auf dem Host-Computer können Sie alles aufzeichnen, was von der mit Ihnen verbundenen Person in die Zwischenablage kopiert wurde.

Die meisten Antworten hier konzentrieren sich auf die Sicherheit des Computers, der als Host verwendet wird. Dies ist jedoch auch ein potenzielles Sicherheitsproblem für den Computer, der eine Verbindung zum Host herstellt, insbesondere wenn Sie ein Kennwortverwaltungstool wie KeePass als Host verwenden Der Computer verfügt möglicherweise über eine Aufzeichnung von Benutzernamen und Kennwörtern (und möglicherweise über URLs, wenn Sie die URL auch von KeePass in Ihren Browser kopieren) im Verlauf der Zwischenablage, nachdem Ihre Sitzung beendet ist.

20
JMK

Ich weiß nicht genug über TeamViewer, um Ihnen eine Einschätzung der Risiken zu geben oder ob es eine gute Wahl für Ihre Situation ist. Aber ich werde einen Kommentar von @Lie Ryan wiederholen. Wenn Sie TeamViewer für diesen Zweck bereitstellen, besteht eine mögliche Möglichkeit, das Risiko von Remoteangriffen zu verringern, darin, eine Firewall (auf beiden Endpunkten) einzurichten, die den gesamten Zugriff auf die TeamViewer-Ports mit Ausnahme autorisierter Computer blockiert.

5
D.W.

Über TeamViewer gibt es ein paar Dinge, die Sie meiner Meinung nach beachten sollten:

  • Sie können die Quelle nicht einfach überprüfen und ihre Sicherheit überprüfen, und es handelt sich um eine netzwerkfähige Angriffsfläche. Das ist nicht so schön - wenn Sie in der Lage sind, einen OpenSSH-Server mit kennwortbasierter Authentifizierung zu erstellen, deaktivieren Sie stattdessen den Teil mit Blick auf das Internet. (Möglicherweise möchten Sie dem Benutzer eine Methode zum Starten/Stoppen des Servers geben.) Über den OpenSSH-Tunnel können Sie einfach localhost-gebundene VNC verwenden, um eine Verbindung zur Anzeige herzustellen. Natürlich funktioniert diese Methode nicht so gut, wenn sich die betreffenden PCs hinter einer NAT/übereifrigen Firewall befinden und Sie keine Möglichkeit haben, hinter diese Firewall zu gelangen. Ideen, um es zu umgehen:
    • Sie können einen Hack wie http://samy.pl/pwnat/ verwenden, um sie für Verbindungen aus dem Internet zu öffnen.
    • Sie können den SSH-Tunnel in umgekehrter Richtung ausführen: Wenn sie Unterstützung wünschen, starten sie ein Skript, das einen SSH-Tunnel zu Ihrem Support-Server erstellt und eine TCP-Verbindung zum VNC-Server mit dem SSH verbindet Verbindung. Ihr Support-Server hat den öffentlichen Schlüssel des Clients in seiner Datei "authorized_keys" mit einem erzwungenen Befehl, der den Client mit Ihrem Reverse-VNC-Client verbindet.
  • Wenn Sie es verwenden, stellen Sie sicher, dass niemals ein System mit diesem dummen 4-stelligen Passcode-System ausgeführt wird. Ja, sie haben exponentielle Sperrzeiten, aber erstens möchten Sie nicht, dass die Unterstützung so einfach gesperrt wird, und zweitens, was ist, wenn jemand nur eine zufällige Kombination auf 100000 PC mit Teamviewer versucht? Er wird ~ 100 hergestellte Verbindungen erhalten, ohne auf eine Sperre zu stoßen, denke ich - afaik, die Sperre ist vollständig clientseitig.
5
thejh

Teamviewer ist kein sicherer Zeitraum. Denk darüber nach. Teamviewer kann so konfiguriert werden, dass immer dieselbe Partner-ID und dasselbe Kennwort verwendet werden. Ein ähnlicher Code kann erstellt und gestartet werden, indem der Benutzer auf eine E-Mail klickt. Tolles Werkzeug? Absolut ... für Leute wie mich, die eine große Anzahl von Remotebenutzern unterstützen, die einen Doppelpunkt nicht von einem Semikolon unterscheiden können. Aber sicher? Auf keinen Fall Nein wie. Teamviewer ermöglicht den Remotezugriff auf einen PC und kann Cisco VPN oder andere VPN-Sicherheitsmaßnahmen umgehen. Dieser Mist, dass der Endbenutzer die Partner-ID und den Pass herausgeben muss, ist genau dieser ... Mist. Dies kann sehr leicht umgangen werden. Versteh mich nicht falsch. Ich mag Teamviewer. Aber mach dir nichts vor, es ist überhaupt nicht sicher.

3
Larry Webb

Ich würde eine native Lösung wie VNC vorschlagen, mit der Sie Problemumgehungen wie TeamViewer in WINE usw. weglassen und das Paketverwaltungsdienstprogramm für lokale Betriebssysteme verwenden können, um sicherzustellen, dass die Lösung auf dem neuesten Stand bleibt. Verwenden Sie aus Sicherheitsgründen einen SSH-Tunnel. Dies stellt sicher, dass die gesamte VNC-Kommunikation verschlüsselt ist, einschließlich des anfänglichen VNC-Authentifizierungs-/Kennwort-Handshakes. Dies ist besonders wichtig, da viele VNC-Implementierungen eher unsicher sind.

Verwenden Sie außerdem, wie von einem anderen Befragten vorgeschlagen, die IP-Filterung, um sicherzustellen, dass nur diejenigen an bestimmten Adressen mit dem VNC-Server kommunizieren können.

1
deed02392

Eine Möglichkeit, wie wir damit umgehen: Wenn der Client die Verfügbarkeit von TeamViewer anfordert, startet Benutzer TeamViewer bei Bedarf und admin beendet es nach Abschluss der Aufgaben. Eine andere Lösung, die wir in einem solchen Fall einmal bereitgestellt haben, besteht darin, dass TeamViewer vom Administrator aus einer SSH-Sitzung gestartet wird. Alternativ können Sie sich die Desktop-Freigabe-Tools "Einladen" ansehen. Oder mein Favorit: Spiegeln der Xsession über SSH auf Ihren Desktop.

0
user31259