Как закрыть доступ TeamViewer из ЛВС

Microsoft Internet Security and Acceleration (ISA) Server
Microsoft Internet Information Services
Kerio Connect
Kerio Mail Server
Kerio Firewall
UserGate
DHCP, DNS, SMTP, POP, WWW, FTP


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Как закрыть доступ TeamViewer из ЛВС

Сообщение UncleFather »

Проблема:

Многие пользователи ЛВС позволяют сторонним людям подключаться к своим компьютерам посредством ПО удаленного доступа "TeamViewer".

При этом, пользователи не всегда отдают себе отчет к каким результатам это может привести - потеря данных, установка "зловредного" или просто "недобросовестного" программного обеспечения, доступ посторонних лиц к конфиденциальным данным, проведение несанкционированных электронных платежей и пр.

Как администратору уберечь от этого компьютеры своей ЛВС, если на шлюзе (или прокси-сервере) нет программного обеспечения способного контролировать доступ по сигнатурам программ?

Решение:

Учитывая то, что "TeamViewer" способна работать без указанного в настройках протокола TCP/IP компьютера шлюза, а может просто выходить в интернет через прокси-сервер, а по условиям нашей задачи прокси-сервер не умеет контролировать активность программ, - остается только один вариант - прописать на своих локальных ДНС-серверах зоны и узлы, к которым обращается "TeamViewer", перенаправив их на локальные хосты:

  1. Создаем новые зоны:

    • dyngate.com

    • teamviewer.com

    • verisign.com

  2. Создаем записи для каждой из зон:

    1. Запись для самой зоны:

      Код: Выделить всё

      @ IN A 127.0.0.1
    2. Запись для всех дочерних зон:

      Код: Выделить всё

      * IN A 127.0.0.1

      или

      Код: Выделить всё

      * IN CNAME zone.com.

      здесь вместо zone.com подставляем имя зоны (с точкой в конце), так для зоны dyngate.com, эта запись будет выглядеть так:

      Код: Выделить всё

      * IN CNAME dyngate.com.

Как показала практика, в этом случае, даже если на клиентских компьютерах прописать какие-то серверы "TeamViewer" в файле hosts, - это не принесет плодов, поскольку:

  • во-первых "TeamViewer" постоянно запрашивает различные сервера

  • во-вторых - потому что соединение с сервером "TeamViewer" идет через прокси-сервер, а он, в свою очередь будет запрашивать локальные ДНС-сервера, на которых прописано перенаправление.

Примечания:

  1. В настройках протокола TCP/IP локальных компьютеров и прокси сервера свои локальные ДНС-сервера должны быть указаны в качестве основных.

  2. Для того, чтобы компьютеры ЛВС выходили бы в интернет только через прокси-сервер, нужно в качестве шлюза для них указывать какой-нибудь хост ЛВС, который на самом деле не может быть шлюзом (можно даже несуществующий хост).
    А для тех приложений, которые ходить через прокси не умеют - в настройках DHCP прописывать конкретные статические маршруты, указывая существующий шлюз. Ну и на шлюзе, в настройках firewall, открывать доступ только для конкретных хостов ЛВС, по конкретному порту на конкретный ip-адрес Internet.

  3. Шлюз и прокси-сервер - понятия различные. Шлюз указывается в настройках протокола TCP/IP, а прокси-сервер в настройках приложений. Так, указав несуществующий шлюз, в браузере нужно указывать существующий прокси сервер. Тем самым мы откроем доступ в сеть Internet через прокси-сервер только тем приложениям, которые "знают" об этом прокси и "умеют" через него работать. Остальные приложения будут "ломиться" на несуществующий шлюз и не получат доступа к Internet. Как вариант - если все же для всех указан действующий шлюз - можно "рулить" настройками firewall на нем.


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение