UncleFather » 05 авг 2012 22:31, Вс
Проблема:
Многие пользователи ЛВС позволяют сторонним людям подключаться к своим компьютерам посредством ПО удаленного доступа "TeamViewer".
При этом, пользователи не всегда отдают себе отчет к каким результатам это может привести - потеря данных, установка "зловредного" или просто "недобросовестного" программного обеспечения, доступ посторонних лиц к конфиденциальным данным, проведение несанкционированных электронных платежей и пр.
Как администратору уберечь от этого компьютеры своей ЛВС, если на шлюзе (или прокси-сервере) нет программного обеспечения способного контролировать доступ по сигнатурам программ?
Решение:
Учитывая то, что "TeamViewer" способна работать без указанного в настройках протокола TCP/IP компьютера шлюза, а может просто выходить в интернет через прокси-сервер, а по условиям нашей задачи прокси-сервер не умеет контролировать активность программ, - остается только один вариант - прописать на своих локальных ДНС-серверах зоны и узлы, к которым обращается "TeamViewer", перенаправив их на локальные хосты:
-
Создаем новые зоны:
-
dyngate.com
-
teamviewer.com
-
verisign.com
-
Создаем записи для каждой из зон:
-
Запись для самой зоны:
-
Запись для всех дочерних зон:
или
здесь вместо zone.com подставляем имя зоны (с точкой в конце), так для зоны dyngate.com, эта запись будет выглядеть так:
Как показала практика, в этом случае, даже если на клиентских компьютерах прописать какие-то серверы "TeamViewer" в файле hosts, - это не принесет плодов, поскольку:
-
во-первых "TeamViewer" постоянно запрашивает различные сервера
-
во-вторых - потому что соединение с сервером "TeamViewer" идет через прокси-сервер, а он, в свою очередь будет запрашивать локальные ДНС-сервера, на которых прописано перенаправление.
Примечания:
-
В настройках протокола TCP/IP локальных компьютеров и прокси сервера свои локальные ДНС-сервера должны быть указаны в качестве основных.
-
Для того, чтобы компьютеры ЛВС выходили бы в интернет только через прокси-сервер, нужно в качестве шлюза для них указывать какой-нибудь хост ЛВС, который на самом деле не может быть шлюзом (можно даже несуществующий хост).
А для тех приложений, которые ходить через прокси не умеют - в настройках DHCP прописывать конкретные статические маршруты, указывая существующий шлюз. Ну и на шлюзе, в настройках firewall, открывать доступ только для конкретных хостов ЛВС, по конкретному порту на конкретный ip-адрес Internet.
-
Шлюз и прокси-сервер - понятия различные. Шлюз указывается в настройках протокола TCP/IP, а прокси-сервер в настройках приложений. Так, указав несуществующий шлюз, в браузере нужно указывать существующий прокси сервер. Тем самым мы откроем доступ в сеть Internet через прокси-сервер только тем приложениям, которые "знают" об этом прокси и "умеют" через него работать. Остальные приложения будут "ломиться" на несуществующий шлюз и не получат доступа к Internet. Как вариант - если все же для всех указан действующий шлюз - можно "рулить" настройками firewall на нем.
[b][size=150]Проблема:[/size][/b]
Многие пользователи ЛВС позволяют сторонним людям подключаться к своим компьютерам посредством ПО удаленного доступа [b]"TeamViewer"[/b].
При этом, пользователи не всегда отдают себе отчет к каким результатам это может привести - потеря данных, установка "зловредного" или просто "недобросовестного" программного обеспечения, доступ посторонних лиц к конфиденциальным данным, проведение несанкционированных электронных платежей и пр.
Как администратору уберечь от этого компьютеры своей ЛВС, если на шлюзе (или прокси-сервере) нет программного обеспечения способного контролировать доступ по сигнатурам программ?
[b][size=150]Решение:[/size][/b]
Учитывая то, что [b]"TeamViewer"[/b] способна работать без указанного в настройках протокола TCP/IP компьютера шлюза, а может просто выходить в интернет через прокси-сервер, а по условиям нашей задачи прокси-сервер не умеет контролировать активность программ, - остается только один вариант - прописать на своих локальных ДНС-серверах зоны и узлы, к которым обращается [b]"TeamViewer"[/b], перенаправив их на локальные хосты:
[list=1] [*] Создаем новые зоны:[list]
[*] [b]dyngate.com[/b]
[*] [b]teamviewer.com[/b]
[*] [b]verisign.com[/b][/list]
[*] Создаем записи для каждой из зон:[list=a]
[*] Запись для самой зоны:[code]@ IN A 127.0.0.1[/code]
[*] Запись для всех дочерних зон:[code]* IN A 127.0.0.1[/code] или [code]* IN CNAME zone.com.[/code]
здесь вместо [b][i]zone.com[/i][/b] подставляем имя зоны (с точкой в конце), так для зоны [b]dyngate.com[/b], эта запись будет выглядеть так:[code]* IN CNAME dyngate.com.[/code] [/list][/list]
Как показала практика, в этом случае, даже если на клиентских компьютерах прописать какие-то серверы [b]"TeamViewer"[/b] в файле [b][i]hosts[/i][/b], - это не принесет плодов, поскольку:[list]
[*] во-первых [b]"TeamViewer"[/b] постоянно запрашивает различные сервера
[*] во-вторых - потому что соединение с сервером [b]"TeamViewer"[/b] идет через прокси-сервер, а он, в свою очередь будет запрашивать локальные ДНС-сервера, на которых прописано перенаправление. [/list]
[b][size=150]Примечания:[/size][/b]
[list=1][*] В настройках протокола TCP/IP локальных компьютеров и прокси сервера свои локальные ДНС-сервера должны быть указаны в качестве основных.
[*] Для того, чтобы компьютеры ЛВС выходили бы в интернет [b]только[/b] через прокси-сервер, нужно в качестве шлюза для них указывать какой-нибудь хост ЛВС, который на самом деле не может быть шлюзом (можно даже несуществующий хост).
А для тех приложений, которые ходить через прокси не умеют - в настройках DHCP прописывать [b]конкретные[/b] статические маршруты, указывая существующий шлюз. Ну и на шлюзе, в настройках firewall, открывать доступ только для [b]конкретных[/b] хостов ЛВС, по [b]конкретному[/b] порту на [b]конкретный[/b] ip-адрес Internet.
[*] [b]Шлюз[/b] и [b]прокси-сервер[/b] - понятия различные. Шлюз указывается в настройках протокола TCP/IP, а прокси-сервер в настройках приложений. Так, указав несуществующий шлюз, в браузере нужно указывать существующий прокси сервер. Тем самым мы откроем доступ в сеть Internet через прокси-сервер только тем приложениям, которые "знают" об этом прокси и "умеют" через него работать. Остальные приложения будут "ломиться" на несуществующий шлюз и не получат доступа к Internet. Как вариант - если все же для всех указан действующий шлюз - можно "рулить" настройками firewall на нем.[/list]