ipset + dns + бан всех доменов вполне спасает, и не требует ресурсов особых, работает хоть на soho-коробчонках.

Привет, спасибо что ответили

ipset + dns, не могли бы вы ответить какие именно адреса и подсети занести в ipset, я думаю после этого dns не понадобится, мои цели только чтобы меня спрашивали перед тем как будет подключен этот троян. Он нужен только для техподдержки но я не хочу давать ему доступ в локальную сеть всегда.

так засунь его в виртуалку и запрети там доступ в локалку

Teamviewer юзает кучу доменов и подсети публичных облаков, так что ipset можно заполнять только с помощью dns, и желательно ipset иметь с таймаутом. Благо, dnsmasq умеет - в том же openwrt/lede надо просто поставить пакет dnsmasq-full

Это все как из пушки по воробьям. Мнимая защита. В случае с фаерволом правильным способом будет запретить все и разрешать необходимое.

А гарантированно решить задачу наверное можно только с DPI. (интересно есть ли что программное на Линукс. Можно зеркалить трафик, а по сработке на целевой роутер посылать правила iptables)

А если фаервол win настроить, что бы именно трафик от этого приложения блокировался, до какого-то момента?

Поиск сигнатуры DPI

В моем случае шлюз, это довольно старенький сервер имеющий на борту 2 NIC, один я подключил к локальной сети, а второй в злой мир, DPI линукс умеет, но требует серьезного патча ядра определенной версии, (в случе с Centos 7) иначе их придется дорабатывать, разумеется после этого обновлять kernel нельзя. Я пока не созрел, возможно позже.

Зеркалить как я понимаю вы имели ввиду если если DPI ставится параллельно в виде отдельной машины которая получает на единственный интерфейс копию всего трафика и по нему же отвечает роутеру отбой или го го.

фаервол win настроить

Нельзя, эта программа постоянно получает обновления по сети, если ее закрыть то вылетает ошибка, что то типа данные сессии не обновлены, автономный режим. При этом продолжает нормально работать но до определенного момента, на сколько я понял пока на другой стороне что то не переделают.

если если DPI ставится параллельно в виде отдельной машины

Да

эта программа постоянно получает обновления по сети

Не сам Астрал, а тимвивер в нем. Он точно запускается отдельным процесом.

Не сам Астрал, а тимвивер в нем

Так, что то полезное, если процесс тимвивера поражается от астрала, он определенно имеет какое то конкретное название, по нему я его и откину, это конечно не решение блокировки трафика тимвивера но решает мою проблему безопасности, если у вас будут мысли о блокировки в целом, не стесняйтесь, я думаю что дюжина администраторов сетей вам будут благодарны.

Анализ программы Астрал

Со своей стороны обещаю провести анализ процессов, но это можно сделать только пока ведется техническая поддержка, я это спровоцирую если на то пошло, результаты будут в этой теме. Я так понял пока не разворошишь осиное гнездо ни кто трогать не будет.

А вы не думали попробовать решить вопрос юридически? Судя по тому, что софт специфический - наверняка он закупался у вендора и есть договор поддержки. Если там ничего про удаленный доступ нет - я бы обратился в органы, неправомерный доступ к информации.

Если есть dnsmasq, добавь в конфиг address=/teamviewer.com/127.0.0.1 и ребутни сервер, все новые подключения будут невозможны для всей локальной сети, установленные нужно будет прервать. С биндом не знаю, не щупал, пользуем мсднс, там достаточно создать зону teamviewer.com и пустую А запись с указанием ип 127.0.0.1.

Тоже работает и с аммиадмин, для него достаточно завернуть на 127.0.0.1 rl.ammyy.com.
Одно время пытался блочить на сквиде блэклистами, с амми прокатило а тим как лез так и лезит, перешел на выше описанный вариант.

Еще была мысль заблокировать на шлюзе через iptables, на уровне AS, но вариант с днс записью полностью устроил.

Не знаю почему, но два подряд роутера с закрытым upnp напрочь лишают тимвьювер связи.

Поднимал пустые зоны crossloop.com, dyngate.com и teamviewer.com (ну или не пустые, а с «* IN A 127.0.0.1»), подключения блочились. Не поможет, конечно, если клиент будет принимать специальные меры, но в рядовых случаях - может помочь.

Не знай, я вот сегодня на сквиде через dstdomain заблочил. Потестировал на teamviewerQS - блочится. Или я чего то упускаю?

Я так понял трюк с синкхолом teamviewer.com нужен если порты 443 и 80 ничем не фильтруюутся?

На тот момент сквид работал только на 80 порту, не желательные https-ресурсы резались через iptables, соответсвеннго 443 можно сказать не чем не фильтровался, так что фишка с днс была самым быстрым решением, в последствии подняв сквид с фильтрацией https, пробовал блочить через acl, с амми получилось с тимом нет, разбираться не стал.