iptables. Запрет TeamViewer

iptables+squid - это полумеры. Делается так. Все компы радикально отключаются от интернета. В центре зала ставится одна рабочая станция с доступом в интернет, для безопасности заключённая в красный бронированный корпус. Доступны только клавиатура и монитор. Все всходящие документы перепечатываются с экрана человеком. Только так можно гарантированно избежать входящей угрозы.

Блокировать в сквиде

http://*.dyngate.com/* http://*.teamviewer.com/*

Должно работать, если не изменили протокол.

Как-как? Посмотреть сниффером куда ломится и прыкрыть.

Красный бронированный корпус - это дорого. Лучше воспользоваться правилами iptables.

А откуда у них вообще такая возможность появилась?

С Teamviewer близко не сталкивался. Нагуглил что он использует 80 порт.

Сразу возникает вопрос - он свои данные шлёт поверх обычных GET/POST, или таки использует CONNECT?

P.S. кстати, также предлогают блокировать

LogMeIn: 63.208.197.11-63.208.197.27

CrossLoop: server.crossloop.com

Где ты видел чтобы VNC чере http прокси работал? :)

А в чем проблема-то?
У них на компах коммерческая тайна? Тогда вообще у них инета быть не должно/только по белому списку.

Подскажите правило для iptables. У teamviewer UDP pin hole соединение. Как это прикрыть?

всё верно говорят. через 80 порт оно с сервером договаривается.
если закрыть дингейт.ком:80 и тимвьювер.ком:80, то уже ничего не работает. проверено.

У teamviewer UDP pin hole соединение.

Т.е. ты уже знаешь подробности работы TV на сетевом уровне. Можешь рассказать подробнее?

Да. Поэтому проходит через нат, сквид и т.д.

А откуда у них вообще такая возможность появилась?

А такая возможность пользоваться teamviewer появилось, в связи с тем, что некоторые, загрузившись с флешки могут сбросить пароль админа и устанавливать все что хотят. А некоторые могут пользоваться портабельной версией этой софтины. Так что у желающих возможности появятся по-любому.

Ну выложи дамп сначала, чтобы знать что к чему.

Гле ты видел VNC ;)

Когда на вопрос «а или б» отвечают «да», возникает сомнение в адекватности.

если закрыть дингейт.ком:80 и тимвьювер.ком:80, то уже ничего не работает. проверено

teamviewer.com закрыт дингейт.ком - можно транслитом на английский? dingate.com? deengate.com? d[?+]ngate.com?

Сори, не до конца дочитал. По крайней мере раньше использовал GET/POST.

знаешь подробности работы TV на сетевом уровне. Можешь рассказать подробнее?

Вот все что нарыл.

Это такая забота о сотрудниках? Чтобы они дома полноценно отдыхали? :)

выше постом было dyngate.com

Что пока пришло в голову, без особенностей реализации ( вроде мозгового штурма )

0) Организационные меры. Провести через директора указ, ознакомить всех пользователей под роспись. Обязательная мера.

Один раз - на ковёр, второй - объяснительная и выговор, третий раз - увольнение по нехорошей статье.

1) самое простое:

В офисе некоторые сотрудники оставляют компы включенными с запущенным teamviewer'ом и потом к ним коннектятся из дома.

Ограничить по времени. Запретить подключения куда бы то ни было кроме обновления ОС в нерабочее время, принудительно рвать соединения, жёстко ограничить время жизни http соединений

2) со стороны пользовательской машины установить полноценный файрфол с контролем приложений, разрешить асечку, браузер и прочие излишества, но никаких вьюеров не добавлять, автоматизировать проверку правил файрфола.

3) вести статистику соединений на прокси, особое внимание соединениям, по которым передано больше чем получено.

4) мониторинг открытых портов на компе пользователя. Опять же игнорируем асечку/браузер/излишества. Также мониторинг процессов и аларм при обнаружении тимвьюера.

Если уж вламываться на компьютер пользователя, то проще вирус поставить, который тимвьюер по окну находит или по имени процесса, он же не прячется никак.

Расслабься, болезный. Твои пароли и лог аськи админам нафиг не сдались.

Ты считаешь свою реакцию адекватной ?

Да, считаю, а что?

Беспокоюсь за тебя, как доктор.
В свете последних изысканий твоя аномальная крутизна может передаться потомкам.

А тупо лочить доступ компьютеров в инет после окончания рабочего дня?

В офисе некоторые сотрудники...

Убить всех!

запретил teamviewer.com dyngate.com все равно законнектится можно. Что делать?

Смотреть в логах прокси, куда именно идёт подключение.

Настроить наконец нормальный VPN, что бы сотрудникам не приходилось использовать всякое говно

Настроить наконец нормальный VPN, что бы сотрудникам не приходилось использовать всякое говно

Чорт. Признаю себе идиотом :) Самое правильное решение.

Да они все равно будут использовать teamviewer ибо нажать Next, Да, Ок и ввести несколько циферок проще чем использовать VPN и вообще доступ к рабочим местам из дома надо запретить.

и вообще доступ к рабочим местам из дома надо запретить

Раздать мотыги и путь землю обрабатывают, да. Ишь чего захотели - в XXI веке использовать удаленный доступ. НЕТ ПУТИ!!!11

и потом к ним коннектятся из дома

Хорошо же. Было бы хуже, если бы они ЦП в рабочее время качали.

Ничего себе! Бедные вантузятники: нет у них ssh, приходится всякую хрень использовать.

А мне если бы ssh из дома на работу прикрыли, я бы взбунтовался и работал бы не больше законных четырех часов в сутки ☺

Предлагаю уволить админа по статье. Как совершенно некомпетентного.

У небедных вантузятников есть rdp. Это у бедных луноходов есть только ssh, а из догоняющих разве что NX, наверное.

rdp

И когда эти ССЗБ наконец-то полноценный ssh реализуют? Вот кони!

Предлагаю уволить админа по статье. Как совершенно некомпетентного.

А вы могли бы компетентно предложить помощь в виде списка правил для iptables чтобы зарезать входящие соединения для teamviewer'а?

Я могу компетентно сказать, что если у вас в организации полная секретность, то у пользователей вообще интернета быть не должно.

Если секретность неполная, то что за админ такой, у которого юзер может сбросить пароль админа на компьютере, не имея на то прав?

Если секретности нет, то нефиг вообще мешать. Я бы наоборот постарался это дело как-то стандартизовать.

А вы могли бы компетентно предложить
Я могу компетентно сказать

что за админ такой, у которого юзер может сбросить пароль админа на компьютере, не имея на то прав?

А у вас продвинутый пользователь не может загрузиться с флешки или с СД на ноуте, и сбросить пароль? Скажите честно: у вас все биосы на работе запаролены и загрузка с других носителей, кроме первого хдд на котором truecrypt'ом зашифрован загрузочный диск (чтобы пользователь не мог добраться до системных файлов, если он все равно инициирует загрузку, например, по сети, или, установив PLOP, по USB), заблокирована. Только честно. Или вы пользуетесь системой USB-token или SmartCard аутентификации, чтобы пользователи никак ни могли без них получить доступ к компьютеру из дома, т.к. они стандартизованно сдают их охраннику по окончании рабочего дня? Если у вас все такие послушные пользователи, что стандартизация решает такие проблемы, то вам можно позавидовать. У нас же есть продвинутые пользователи, которые хотят и будут пытаться получить доступ к своему компу удаленно и есть дирекция, которая это запрещает, и эти работники достаточно ценные, чтобы дирекция решила их уволить, и они это знают, но тем не менее, дирекция от админов требует перекрыть доступ к рабочему месту.

А у вас продвинутый пользователь не может загрузиться с флешки или с СД на ноуте, и сбросить пароль?

У нас продвинутые пользователи — сами себе админы. Поэтому и нет причин что-то блокировать.

чтобы пользователи никак ни могли без них получить доступ к компьютеру из дома

Зачем это огораживание?

дирекция, которая это запрещает

Дивная у вас дирекция.

Перекрой порты. http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

опытным путем через tcpdump

iptables -A FORWARD -p udp --dport 5938 -j DROP # порт по умолчанию
iptables -A FORWARD -p tcp --dport 5938 -j DROP
iptables -A FORWARD -s 85.214.135.0/24 -j DROP
iptables -A FORWARD -s 87.230.74.0/24 -j DROP
iptables -A FORWARD -s 95.211.37.0/24 -j DROP
iptables -A FORWARD -s 178.77.120.0/24 -j DROP
iptables -A FORWARD -s 37.252.230.0/24 -j DROP

После этого клиент не конектится к их серверу и не может получить номер и пароль. Как я понял задача решена. В какую цепочку засунуть думай сам я проверял на простом роутере без NAT

iptables -A FORWARD -p udp --sport 5938 -j DROP # порт по умолчанию                                                                  
iptables -t nat -I PREROUTING --sport 5938 -j DROP                                                                                   
iptables -t nat -I INPUT --sport 5938 -j DROP                                                                                        
iptables -t nat -I OUTPUT --dport 5938 -j DROP                                                                                       
iptables -A INPUT -p udp --sport 5938 -j DROP                                                                                        
iptables -A INPUT -p tcp --sport 5938 -j DROP                                                                                        
iptables -A OUTPUT -p tcp --dport 5938 -j DROP                                                                                       
iptables -A OUTPUT -p udp --dport 5938 -j DROP                                                                                       
iptables -A FORWARD -p tcp --dport 5938 -j DROP                                                                                      
iptables -A FORWARD -s 85.214.135.0/24 -j DROP                                                                                       
iptables -A FORWARD -s 87.230.74.0/24 -j DROP                                                                                        
iptables -A FORWARD -s 95.211.37.0/24 -j DROP                                                                                        
iptables -A FORWARD -s 178.77.120.0/24 -j DROP

Не работает. Сабж получает номер и пароль с сервера. К нему можно законнектиться

tcpdump -i eth1 dst host 192.168.10.172
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
13:54:13.297546 arp who-has Process.domain.com tell system.domain.com
13:54:13.297725 IP server13100.teamviewer.com.5938 > Process.domain.com.editbench: S 1321888739:1321888739(0) ack 2183092746 win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
13:54:13.339469 IP system.domain.com.bootps > Process.domain.com.bootpc: BOOTP/DHCP, Reply, length: 300
13:54:13.382675 IP server13100.teamviewer.com.5938 > Process.domain.com.editbench: P 1:10(9) ack 10 win 256
13:54:13.444180 IP system.domain.com.domain > Process.domain.com.49459:  48824 NXDomain 0/1/0 (100)
13:54:13.467379 IP server13100.teamviewer.com.5938 > Process.domain.com.editbench: . ack 11 win 256
13:54:13.467392 IP server13100.teamviewer.com.5938 > Process.domain.com.editbench: F 10:10(0) ack 11 win 256
13:54:13.553882 IP master5.teamviewer.com.5938 > Process.domain.com.equationbuilder: S 3334543329:3334543329(0) ack 2083826133 win 8192 <mss 1380,nop,wscale 8,nop,nop,sackOK>

У небедных вантузятников есть rdp.

И что там, окошками ворочать? Тоже мне удобство. Тормозное, антирабочее гумно.

ssh лучше, можно использовать свои настройки терминала, пробрасывать порты + emacs/tramp.

Если умеешь пользоваться tcpdump то добавляй адреса в правило и все должно работать.
Попробуй именно так

  
iptables -t mangle -A FORWARD -p udp --dport 5938 -j DROP
iptables -t mangle -A FORWARD -p tcp --dport 5938 -j DROP
iptables -t mangle -A FORWARD -s 85.214.135.0/24 -j DROP
iptables -t mangle -A FORWARD -s 87.230.74.0/24 -j DROP
iptables -t mangle -A FORWARD -s 95.211.37.0/24 -j DROP
iptables -t mangle -A FORWARD -s 178.77.120.0/24 -j DROP
iptables -t mangle -A FORWARD -s 37.252.230.0/24 -j DROP

root@debian:/# iptables -L -t mangle -nvx
Chain PREROUTING (policy ACCEPT 81827 packets, 67609066 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 35347 packets, 32063698 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 46405 packets, 35542452 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5938
       2      104 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5938
       0        0 DROP       all  --  *      *       85.214.135.0/24      0.0.0.0/0
      32     1376 DROP       all  --  *      *       87.230.74.0/24       0.0.0.0/0
       0        0 DROP       all  --  *      *       95.211.37.0/24       0.0.0.0/0
      16      736 DROP       all  --  *      *       178.77.120.0/24      0.0.0.0/0
       0        0 DROP       all  --  *      *       37.252.230.0/24      0.0.0.0/0

Chain OUTPUT (policy ACCEPT 35348 packets, 32058236 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 77352 packets, 67102867 bytes)
    pkts      bytes target     prot opt in     out     source               destination
root@debian:/#

У меня вот что получается