Страница 1 из 1

Как закрыть доступ TeamViewer из ЛВС

СообщениеДобавлено: 05 авг 2012 23:31, Вс
UncleFather
Проблема:


Многие пользователи ЛВС позволяют сторонним людям подключаться к своим компьютерам посредством ПО удаленного доступа "TeamViewer".

При этом, пользователи не всегда отдают себе отчет к каким результатам это может привести - потеря данных, установка "зловредного" или просто "недобросовестного" программного обеспечения, доступ посторонних лиц к конфиденциальным данным, проведение несанкционированных электронных платежей и пр.

Как администратору уберечь от этого компьютеры своей ЛВС, если на шлюзе (или прокси-сервере) нет программного обеспечения способного контролировать доступ по сигнатурам программ?


Решение:

Учитывая то, что "TeamViewer" способна работать без указанного в настройках протокола TCP/IP компьютера шлюза, а может просто выходить в интернет через прокси-сервер, а по условиям нашей задачи прокси-сервер не умеет контролировать активность программ, - остается только один вариант - прописать на своих локальных ДНС-серверах зоны и узлы, к которым обращается "TeamViewer", перенаправив их на локальные хосты:


  1. Создаем новые зоны:

    • dyngate.com

    • teamviewer.com

    • verisign.com


  2. Создаем записи для каждой из зон:

    1. Запись для самой зоны:
      Код: Выделить всё
      @ IN A 127.0.0.1


    2. Запись для всех дочерних зон:
      Код: Выделить всё
      * IN A 127.0.0.1
      или
      Код: Выделить всё
      * IN CNAME zone.com.


      здесь вместо zone.com подставляем имя зоны (с точкой в конце), так для зоны dyngate.com, эта запись будет выглядеть так:
      Код: Выделить всё
      * IN CNAME dyngate.com.


Как показала практика, в этом случае, даже если на клиентских компьютерах прописать какие-то серверы "TeamViewer" в файле hosts, - это не принесет плодов, поскольку:

  • во-первых "TeamViewer" постоянно запрашивает различные сервера

  • во-вторых - потому что соединение с сервером "TeamViewer" идет через прокси-сервер, а он, в свою очередь будет запрашивать локальные ДНС-сервера, на которых прописано перенаправление.


Примечания:

  1. В настройках протокола TCP/IP локальных компьютеров и прокси сервера свои локальные ДНС-сервера должны быть указаны в качестве основных.

  2. Для того, чтобы компьютеры ЛВС выходили бы в интернет только через прокси-сервер, нужно в качестве шлюза для них указывать какой-нибудь хост ЛВС, который на самом деле не может быть шлюзом (можно даже несуществующий хост).
    А для тех приложений, которые ходить через прокси не умеют - в настройках DHCP прописывать конкретные статические маршруты, указывая существующий шлюз. Ну и на шлюзе, в настройках firewall, открывать доступ только для конкретных хостов ЛВС, по конкретному порту на конкретный ip-адрес Internet.

  3. Шлюз и прокси-сервер - понятия различные. Шлюз указывается в настройках протокола TCP/IP, а прокси-сервер в настройках приложений. Так, указав несуществующий шлюз, в браузере нужно указывать существующий прокси сервер. Тем самым мы откроем доступ в сеть Internet через прокси-сервер только тем приложениям, которые "знают" об этом прокси и "умеют" через него работать. Остальные приложения будут "ломиться" на несуществующий шлюз и не получат доступа к Internet. Как вариант - если все же для всех указан действующий шлюз - можно "рулить" настройками firewall на нем.