Проблема:
Многие пользователи ЛВС позволяют сторонним людям подключаться к своим компьютерам посредством ПО удаленного доступа "TeamViewer".
При этом, пользователи не всегда отдают себе отчет к каким результатам это может привести - потеря данных, установка "зловредного" или просто "недобросовестного" программного обеспечения, доступ посторонних лиц к конфиденциальным данным, проведение несанкционированных электронных платежей и пр.
Как администратору уберечь от этого компьютеры своей ЛВС, если на шлюзе (или прокси-сервере) нет программного обеспечения способного контролировать доступ по сигнатурам программ?
Решение:
Учитывая то, что "TeamViewer" способна работать без указанного в настройках протокола TCP/IP компьютера шлюза, а может просто выходить в интернет через прокси-сервер, а по условиям нашей задачи прокси-сервер не умеет контролировать активность программ, - остается только один вариант - прописать на своих локальных ДНС-серверах зоны и узлы, к которым обращается "TeamViewer", перенаправив их на локальные хосты:
-
Создаем новые зоны:
-
dyngate.com
-
teamviewer.com
-
verisign.com
-
-
Создаем записи для каждой из зон:
-
Запись для самой зоны:
Код: Выделить всё
@ IN A 127.0.0.1
-
Запись для всех дочерних зон:
Код: Выделить всё
* IN A 127.0.0.1
или
Код: Выделить всё
* IN CNAME zone.com.
здесь вместо zone.com подставляем имя зоны (с точкой в конце), так для зоны dyngate.com, эта запись будет выглядеть так:
Код: Выделить всё
* IN CNAME dyngate.com.
-
Как показала практика, в этом случае, даже если на клиентских компьютерах прописать какие-то серверы "TeamViewer" в файле hosts, - это не принесет плодов, поскольку:
-
во-первых "TeamViewer" постоянно запрашивает различные сервера
-
во-вторых - потому что соединение с сервером "TeamViewer" идет через прокси-сервер, а он, в свою очередь будет запрашивать локальные ДНС-сервера, на которых прописано перенаправление.
Примечания:
-
В настройках протокола TCP/IP локальных компьютеров и прокси сервера свои локальные ДНС-сервера должны быть указаны в качестве основных.
-
Для того, чтобы компьютеры ЛВС выходили бы в интернет только через прокси-сервер, нужно в качестве шлюза для них указывать какой-нибудь хост ЛВС, который на самом деле не может быть шлюзом (можно даже несуществующий хост).
А для тех приложений, которые ходить через прокси не умеют - в настройках DHCP прописывать конкретные статические маршруты, указывая существующий шлюз. Ну и на шлюзе, в настройках firewall, открывать доступ только для конкретных хостов ЛВС, по конкретному порту на конкретный ip-адрес Internet. -
Шлюз и прокси-сервер - понятия различные. Шлюз указывается в настройках протокола TCP/IP, а прокси-сервер в настройках приложений. Так, указав несуществующий шлюз, в браузере нужно указывать существующий прокси сервер. Тем самым мы откроем доступ в сеть Internet через прокси-сервер только тем приложениям, которые "знают" об этом прокси и "умеют" через него работать. Остальные приложения будут "ломиться" на несуществующий шлюз и не получат доступа к Internet. Как вариант - если все же для всех указан действующий шлюз - можно "рулить" настройками firewall на нем.