URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91193
[ Назад ]

Исходное сообщение
"ipfw teamviewer"
Отправлено SlaDER , 19-Мрт-11 14:24

Привет всем!
Хотелось бы узнать, как кто борется с TeamViewer?

Содержание

ipfw teamviewer,SlaDER, 16:19 , 19-Мрт-11
- ipfw teamviewer,arachnid, 19:25 , 19-Мрт-11
  - ipfw teamviewer,SlaDER, 09:13 , 20-Мрт-11
    - ipfw teamviewer,arachnid, 19:12 , 20-Мрт-11
      - ipfw teamviewer,SlaDER, 06:00 , 21-Мрт-11
        
        ipfw teamviewer,Юрий, 15:04 , 22-Сен-11
    - ipfw teamviewer,groggy, 05:49 , 22-Мрт-11
      - ipfw teamviewer,arachnid, 11:51 , 22-Мрт-11

Сообщения в этом обсуждении

"ipfw teamviewer"
Отправлено SlaDER , 19-Мрт-11 16:19

> Привет всем!
> Хотелось бы узнать, как кто борется с TeamViewer?
Ну и аналогичными программами, например AMMYY_Admin.

"ipfw teamviewer"
Отправлено arachnid , 19-Мрт-11 19:25

>> Привет всем!
>> Хотелось бы узнать, как кто борется с TeamViewer?
> Ну и аналогичными программами, например AMMYY_Admin.
а в чем проблема?

"ipfw teamviewer"
Отправлено SlaDER , 20-Мрт-11 09:13

>>> Привет всем!
>>> Хотелось бы узнать, как кто борется с TeamViewer?
>> Ну и аналогичными программами, например AMMYY_Admin.
> а в чем проблема?
Проблема в том, что подобные программы невероятно живучие и работают при открытых портах 80 или 443. Получается огромная дыра в безопасности.
Пока ничего умнее не придумал, как тупо блокировать сайты подобных программ через ipfw и по фразам в squid.

"ipfw teamviewer"
Отправлено arachnid , 20-Мрт-11 19:12

>>>> Привет всем!
>>>> Хотелось бы узнать, как кто борется с TeamViewer?
>>> Ну и аналогичными программами, например AMMYY_Admin.
>> а в чем проблема?
> Проблема в том, что подобные программы невероятно живучие и работают при открытых
> портах 80 или 443. Получается огромная дыра в безопасности.
> Пока ничего умнее не придумал, как тупо блокировать сайты подобных программ через
> ipfw и по фразам в squid.
поискал и должен признать свою легкомысленность при ответе.
из того, что нашел - это блокирование порта 5938 для получения сертификата он лезит на сервера *****.teamviewer.com ну и небольшой список ip-адресов
кстати, надо будет проверить в нашей сети, пользуется ли к.н. этим чудом

"ipfw teamviewer"
Отправлено SlaDER , 21-Мрт-11 06:00

>[оверквотинг удален]
>>>> Ну и аналогичными программами, например AMMYY_Admin.
>>> а в чем проблема?
>> Проблема в том, что подобные программы невероятно живучие и работают при открытых
>> портах 80 или 443. Получается огромная дыра в безопасности.
>> Пока ничего умнее не придумал, как тупо блокировать сайты подобных программ через
>> ipfw и по фразам в squid.
> поискал и должен признать свою легкомысленность при ответе.
> из того, что нашел - это блокирование порта 5938  для получения
> сертификата он лезит на сервера *****.teamviewer.com ну и небольшой список ip-адресов
> кстати, надо будет проверить в нашей сети, пользуется ли к.н. этим чудом
Пока у меня так

#table 101 - disable teamviewer
    ${fwcmd} table 101 add 202.143.0.0/16
    ${fwcmd} table 101 add 216.108.0.0/16
    ${fwcmd} table 101 add 217.172.187.0/24
    ${fwcmd} table 101 add 80.237.0.0/16
    ${fwcmd} table 101 add 81.169.0.0/16
    ${fwcmd} table 101 add 87.230.0.0/16
    ${fwcmd} table 101 add 205.188.0.0/16
#table 101 - disable ammyy admin
    ${fwcmd} table 101 add 62.75.224.229
    ${fwcmd} table 101 add 88.198.6.55
    ${fwcmd} table 101 add 88.198.6.54
    ${fwcmd} table 101 add 87.239.184.124
    ${fwcmd} table 101 add 69.64.58.38
    ${fwcmd} table 101 add 70.38.40.189
    ${fwcmd} table 101 add 70.38.40.190
##logmein
    ${fwcmd} table 101 add 63.208.197.0/24
##CrossLoop:server.crossloop.com
    ${fwcmd} table 101 add 74.53.113.228
#deny teamviewer and etc
    ${fwcmd} add deny log all from any to any 5938
    ${fwcmd} add deny log ip from any to table$101$
    ${fwcmd} add deny log ip from table$101$ to any
    ${fwcmd} add deny log ip from any to table$101$
    ${fwcmd} add deny log ip from table$101$ to any

"ipfw teamviewer"
Отправлено Юрий , 22-Сен-11 15:04

Кусок из фаера. Вставлять перед иными правилами таблицы PREROUTING во избежание мимопопаданий. Пользуйтесь. Если будет еще пролетать, открыть тимвьювер ручками (сервис, открыть файл журнала, TeamViewer6_Logfile(выше или ниже версии на будущее), находим строки типа
2011/04/22 14:00:40.257  5320  4340 G1!  CTerminalServer::GetUsername() No valid user name - try to use fallback!
2011/04/22 14:00:40.258  5320  4340 G1   CCT.TM_WaitAtGateway.92.51.171.92:443 - CT12 - S12
2011/04/22 14:00:40.259  5320  4340 G1   CCT.Connect.92.51.171.92:443
2011/04/22 14:00:40.303  5320  4340 G1   S12 NC.ConnectPort443.Connected
2011/04/22 14:00:40.304  5320  4340 G1   CCT.Connected
2011/04/22 14:00:40.304  5320  5480 G1   CT12 CT.Run
Копируем айпишник 92.51.171.92 в файл /куданибудь/teamviewer_ip.txt(см.инстр.ниже) а лучше сразу подсеть /24
echo "PREROUTING TEAMVIEWER BLOCK"
for view_ip in `cat /куданибудь/teamviewer_ip.txt`
do
for view_port in `cat /куданибудь/teamviewer_ports.txt`
do
echo "$view_ip and $view_port"
/sbin/iptables -t nat -A PREROUTING -s $LOCAL0 -d $view_ip -p tcp --dport $view_port -j DROP
done
done
echo "END"
Содержание тхт файлов
/куданибудь/teamviewer_ip.txt
92.51.171.71
46.4.68.241
151.1.182.135
46.105.99.126
46.165.192.0/24
95.211.58.0/24
89.185.96.0/24
178.77.120.0/24
202.143.0.0/16
216.108.0.0/16
217.172.187.0/24
80.237.0.0/16
81.169.0.0/16
87.230.0.0/16
205.188.0.0/16

/куданибудь/teamviewer_ports.txt
80
443
5938

"ipfw teamviewer"
Отправлено groggy , 22-Мрт-11 05:49

>> невероятно живучие и работают при открытых портах 80
а непрозрачный прокси сервер разве не для того придуман, чтобы "открытых портов" не было?

"ipfw teamviewer"
Отправлено arachnid , 22-Мрт-11 11:51

>>> невероятно живучие и работают при открытых портах 80
> а непрозрачный прокси сервер разве не для того придуман, чтобы "открытых портов"
> не было?
оно радостно работает через обычный прокси-сервер.