Как закрыть доступ TeamViewer из ЛВС

Ответить


Этот вопрос предназначен для предотвращения автоматической отправки форм спам-ботами.
Смайлики
:| :) :wink: :D :lol: :( :cry: 8) :o :oops: :? :x :P :evil: :twisted: :roll: :!: :?: :idea: :arrow: :mrgreen:
Ещё смайлики…

Markdown is OFF

BBCode ВКЛЮЧЁН
[img] ВКЛЮЧЁН
[url] ВКЛЮЧЁН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Развернуть Обзор темы: Как закрыть доступ TeamViewer из ЛВС

Как закрыть доступ TeamViewer из ЛВС

UncleFather » 05 авг 2012 22:31, Вс

Проблема:

Многие пользователи ЛВС позволяют сторонним людям подключаться к своим компьютерам посредством ПО удаленного доступа "TeamViewer".

При этом, пользователи не всегда отдают себе отчет к каким результатам это может привести - потеря данных, установка "зловредного" или просто "недобросовестного" программного обеспечения, доступ посторонних лиц к конфиденциальным данным, проведение несанкционированных электронных платежей и пр.

Как администратору уберечь от этого компьютеры своей ЛВС, если на шлюзе (или прокси-сервере) нет программного обеспечения способного контролировать доступ по сигнатурам программ?

Решение:

Учитывая то, что "TeamViewer" способна работать без указанного в настройках протокола TCP/IP компьютера шлюза, а может просто выходить в интернет через прокси-сервер, а по условиям нашей задачи прокси-сервер не умеет контролировать активность программ, - остается только один вариант - прописать на своих локальных ДНС-серверах зоны и узлы, к которым обращается "TeamViewer", перенаправив их на локальные хосты:

  1. Создаем новые зоны:

    • dyngate.com

    • teamviewer.com

    • verisign.com

  2. Создаем записи для каждой из зон:

    1. Запись для самой зоны:

      Код: Выделить всё

      @ IN A 127.0.0.1
    2. Запись для всех дочерних зон:

      Код: Выделить всё

      * IN A 127.0.0.1

      или

      Код: Выделить всё

      * IN CNAME zone.com.

      здесь вместо zone.com подставляем имя зоны (с точкой в конце), так для зоны dyngate.com, эта запись будет выглядеть так:

      Код: Выделить всё

      * IN CNAME dyngate.com.

Как показала практика, в этом случае, даже если на клиентских компьютерах прописать какие-то серверы "TeamViewer" в файле hosts, - это не принесет плодов, поскольку:

  • во-первых "TeamViewer" постоянно запрашивает различные сервера

  • во-вторых - потому что соединение с сервером "TeamViewer" идет через прокси-сервер, а он, в свою очередь будет запрашивать локальные ДНС-сервера, на которых прописано перенаправление.

Примечания:

  1. В настройках протокола TCP/IP локальных компьютеров и прокси сервера свои локальные ДНС-сервера должны быть указаны в качестве основных.

  2. Для того, чтобы компьютеры ЛВС выходили бы в интернет только через прокси-сервер, нужно в качестве шлюза для них указывать какой-нибудь хост ЛВС, который на самом деле не может быть шлюзом (можно даже несуществующий хост).
    А для тех приложений, которые ходить через прокси не умеют - в настройках DHCP прописывать конкретные статические маршруты, указывая существующий шлюз. Ну и на шлюзе, в настройках firewall, открывать доступ только для конкретных хостов ЛВС, по конкретному порту на конкретный ip-адрес Internet.

  3. Шлюз и прокси-сервер - понятия различные. Шлюз указывается в настройках протокола TCP/IP, а прокси-сервер в настройках приложений. Так, указав несуществующий шлюз, в браузере нужно указывать существующий прокси сервер. Тем самым мы откроем доступ в сеть Internet через прокси-сервер только тем приложениям, которые "знают" об этом прокси и "умеют" через него работать. Остальные приложения будут "ломиться" на несуществующий шлюз и не получат доступа к Internet. Как вариант - если все же для всех указан действующий шлюз - можно "рулить" настройками firewall на нем.


Вернуться к началу