"Kéretlen" remote desktop elleni védelem

Hálózatok általános

Sziasztok!

Egy ügyfélnél felmerült az igény, hogy a kedves userek ugyan ne hívogassanak már be senki fiát a belső hálózatra LogMeIn, TeamViewer, RemoteDesktopManager és társain keresztül.

Természetesen portra nem tudok tiltani, mert a 80, 8080, és a 443-at használják.
Tartalomra szűrni nem tudok, mert mit is szűrhetnék?

Sokan rendszergazdák lokálisan, így a telepítés megakadályozása sem pálya. Ráadásul van olyan remote kliens amit telepíteni sem kell.

Maradt az IP...
Ebből viszont egy rahedlit használnak a kliensek.

Valaki ütközött már ebbe? Ötlet?

üdv.: pinyoo

  • 6392 megtekintés

( locsemege v | 2011. 11. 18., p – 20:33 )

Ha lokálisan rendszergazdák, akkor gondolom, ez egy kis cég, s a munkaadó megbízik a népében. Ráadásul, mivel lokálisan rendszergazdák, nincs is nagyon szükségük távoli segítségre. Így nem igazán értem, mi a gond.

Másik lehetőség, hogy nem rendszergazdák, s akkor megint nincs túl nagy baj.

Viszont az elég felemás dolog, hogy a dolgozó rendszergazda a gépén, de azért ne csinálhasson azon bármit.

tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE

( pinyoo | 2011. 11. 18., p – 20:45 )

Jó ötlet köszi! Majd kipróbálom!

Egyébiránt 100 feletti user, sok notebookos, aki lokális rendszergazda. Értelem szerűen azt hívogat meg a notebookjára remote akit akar.
Csak nem a céges hálózatba.
Mert nyilván elér megosztásokat stb...
A szitu elég egyszerű. Sajnálom, hogy nem érted.
üdv.: Pinyo

Ahol az ilyesmi problema, ott a dolgozo ne kapcsolodjon sajat gepevel a halozatra. Vagy ha megis, akkor legyenek elkulonitve a fontos dolgoktol. Nem csak ezert, hanem mert lehet akarmi mas is a gepen (pl. trojai), vagy maga a dolgozo lopkodhatja az adatot. Amugy is vicces, hogy a dolgozora rabizod az adatot (eleri, dolgozik vele), de megsem tartod megbizhatonak.

Én inkább Zorp-ból indulnék ki: ahol simán, vagy ssl-be csomagolva http-nek kell menni, ott mást nem szabad kiengedni, és slussz.
A további lehetőség a szabályozásbeli tiltás, és a szabályok be nem tartása esetére megfelelő szankciók kilátásba helyezése. Miután az első néhány szóbeli figyelmeztetés után kimegy az első írásbeli se@@gberúgás, vélhetőleg a dolgozók rá fognak jönni, hogy nem vicc a tiltás.

( bigpojnt v | 2011. 11. 18., p – 21:05 )

Egy két információt elmondhatnál...
Windowsos gépek? Van AD? Group Policy? Központi Virus Management? Fizetésedet elküldöd nekem? Ügyfél ezt olvashatja?

Félek tényleg az IP gyűjtögetés marad.
Az SCB-t majd megnézem, de a Zorpból kiindulva félek, hogy túl olcsó :-)
Gondolkodtam GP-ben, de a belső hálózaton kívül nem akarom korlátozni az remote desk kliensek telepítését, használatát, valamint nem csak tartományi gépek kerülnek a hálózatba.
A fizetésem jó ötlet köszi. Ez egy nyilvános fórum.
üdv.: Pinyoo

Nemértelek hálózat dhcp vel megy?
Fix ip,mac cím szűrés.
"mert a 80, 8080, és a 443-at használják"
http://gregsowell.com/?p=855 hw függő.
De én nem értem hogy ahogy előttem mondták ha vnc,teamviewer,rdesktop tól nem fogja megosztásokat böngészni hacsak nincs levédve http://technet.microsoft.com/en-us/library/bb727067.aspx pld.
Ettől többet akarsz akkor az súlyos pénzekbe fáj.vannak hw megoldások.

( zeller | 2011. 11. 18., p – 22:20 )

-Lerakni egy nagyobbacska/erősebb terminálszervert, az kimehet az internetre, a többi gépnek meg kuss.

( ncc1701 | 2011. 11. 19., szo – 07:37 )

Saját dns szerver, és kitiltani a logmein, teamviewer oldalakat. Ha meg igény van rá munka céljából, akkor csinálj vpn-t, és távoli asztalozzanak.

( marcabru | 2011. 11. 19., szo – 07:55 )

Ha local adminok, akkor elégséges írásba adni nekik, hogy ne csinálják.

Ha ennél több biztosítékra van szükség, akkor miért lehetnek local adminok? Rendszergazdaként csak akkor vállalhatsz felelősséget az ilyen programok tiltására, ha a hálózat, tűzfal és a kliensek beállításai csak számodra férhetők hozzá. Csak a tűzfalon nehéz letiltani olyan programokat, amelyeket direkt arra terveztek, hogy azon áthatoljon.

Windows XP-n SRP, Windows 7-en pedig Applocker szabályokkal plusz a weboldalaik letiltásával (hosts vagy firewall) szépen le lehet tiltani a Teamviewert, Logmeint. Mind befelé, mind kifelé.

( pinyoo | 2011. 11. 20., v – 22:16 )

Ammyy, TeamViewer, LogMeIn szűréshez IP-k:

Ammyy Admin
Hivatalos kliens letöltése innen: 70.38.40.185 (mail.ammyy.com)
Futtatást követően ezen az IP-n próbálkozik: 98.158.104.42 (rl.ammyy.com), 80-as porton.
Ha nem jut ki a kliens proxy hibával faild-el.
Ha kijut, kap egy ID-t és tovább megy 443 és 80-as porton:
- 69.64.58.38 (colossus910.startdedicated.com)
- 69.64.59.2 (static-ip-69-64-59-2.inaddr.ip-pool.com)
- 69.64.59.3 (static-ip-69-64-59-3.inaddr.ip-pool.com)
- 69.64.59.4 (static-ip-69-64-59-4.inaddr.ip-pool.com)
- 62.75.223.96 (static-ip-62-75-223-96.inaddr.ip-pool.com)
- 88.198.6.54 (static.88-198-6-54.clients.your-server.de)
- 88.198.6.55 (static.88-198-6-55.clients.your-server.de)
- 62.75.224.229 (prag178.startdedicated.com)
A kapcsolat felépítéshez úgy nézem minden esetben kell a 98.158.104.42 (rl.ammyy.com).
Talán ez az ID osztó szerver. A v3.0 klienssel teszteltem.

TeamViewer
Hivatalos kliens letöltése innen: 46.163.100.220 (www.teamviewer.com)
Telepítést, vagy egyszerű futtatást követően felváltva próbálkozik: 5938, 443, 80 portokon:
- 85.25.143.69 (server340.teamviewer.com)
- 62.75.246.130 (server347.teamviewer.com)
- 85.214.154.223 (server530.teamviewer.com)
- 216.108.224.222 (server853.teamviewer.com)
Ha ezeket a szervereket nem éri el, akkor folyamatosan (30 másodperces ciklusokban) váltogatva az IP-ket és a portokat próbálkozik. Ha egyszer már elérte a kliens valamelyik fenti IP-t akkor későbbi csatlakozáshoz nem kellenek.
Ezt követően áttér ezekre a szerverekre (ekkor a kliensnek még nincs azonosítója, tehát használhatatlan):
- 87.230.74.44 (master3.teamviewer.com)
- 87.230.74.43 (master4.teamviewer.com)
- 178.77.120.6 (master5.teamviewer.com)
Ha valamelyiket eléri, akkor felépül a kapcsolat.
Két klienssel teszteltem, v6.0.10722 és v6.0.11656.
Azonos módon viselkedtek sima futtatás és teljes telepítés esetén.

LogMeIn (na ez már macerásabb)
Hivatalos kliens weboldala: 77.242.193.200 (www.logmein.com.akadns.net)
Kb 5 percenként próbálkozik folyamatosan 80-as és 443-as portokon, ezeket az IP-ket váltogatva:
- 77.242.192.193
- 77.242.193.199
- 62.231.91.8
- 62.231.91.32
- 65.55.200.155
- 65.55.184.16
- 65.55.7.141
- 65.54.51.251
- 65.54.51.253
- 86.120.38.9
- 208.74.204.213
- 212.118.234.129
- 212.118.234.131
- 212.118.234.132
- 212.118.234.133
- 212.118.234.134
- 212.118.234.136
- 212.118.234.138
- 212.118.234.141
- 212.118.234.142
- 212.118.234.146
- 212.118.234.147
- 212.118.234.154
- 212.118.234.155
- 212.118.234.161
Időnként DNS lekérdezésekkel is próbálkozik, főleg a service indítását követően:
- 193.110.56.8
- 193.110.57.4
4 óra folyamatos próbálkozás alatt nem tudta összehozni a kapcsolatot.
Kérdés, hogy van-e még IP tartalékban...
Akármelyik IP-re kijut, a kapcsolat azonnal felépül, kivéve a DNS szervereknél.
v4.1.0.1890 klienssel tesztelve.

Ismertek még ilyen remote progit?
(VNC típusok nem játszanak, mert azok szerverként futnak vagyis bejövő forgalomra várnak.)

üdv.: Pinyo

Értem és köszönöm.

Gondolom, ennek azért van egy kis hardverigénye, bár talán azért nem akkora...
...végülis ő lesz a "man in the middle", akiben megbízunk, mert muszáj.

Mi a helyzet ilyenkor a megtekinteni szándékozott oldal tanúsítványával?
Lehet ellenőrizni annak hitelességét a felhasználó által?

LogMeIn Rescue and other LogMeIn products, including Join.Me, use the following IP ranges over SSL:

74.201.74.1 - 74.201.75.254
216.52.233.1 - 216.52.233.254
69.25.20.1 - 69.25.21.254
64.94.18.1 - 64.94.18.254
77.242.192.1 - 77.242.193.254
212.118.234.0 - 212.118.234.254
64.74.103.0 - 64.74.103.254
64.94.46.0 - 64.94.47.254

Note:
These ranges are for all LogMeIn products. Also, they are subject to change without notice.

( pinyoo | 2011. 11. 20., v – 23:38 )

"...és mondjuk reverse SSH tunnelen keresztül nem szabvány porton?"
Vagyis?

( pinyoo | 2011. 11. 20., v – 23:41 )

+1 poen
A LogMeIn még akkor is próbál kommunikálni kifele, ha elvileg a kliens programja szerint leállítottam a szolgáltatást és utána kikapcsolom a programot.
Nagyon etikus :-)

( pinyoo | 2011. 11. 21., h – 10:28 )

Király! Köszi szépen!!!

RemoteDesktopManager
Hivatalos weboldal: 50.63.248.144 (http://remotedesktopmanager.com/)
A következő IP listát használja kifele kezdeményezett kapcsolatokhoz 80 és 443 portokon:
50.63.248.144, 65.52.198.158, 74.125.232.233, 74.125.232.234, 74.125.232.235, 74.125.232.236, 74.125.232.237, 74.125.232.238, 74.125.232.239, 74.125.232.249, 74.125.232.250, 62.231.91.8, 62.231.91.24, 68.67.179.209, 68.67.179.211, 68.67.179.212, 68.67.179.213, 68.67.179.216, 68.67.179.221, 68.67.179.222, 68.67.179.223, 68.67.179.246, 68.67.179.250, 68.67.185.206, 68.67.185.209, 68.67.185.210, 68.67.185.212, 68.67.185.216, 86.120.38.25, 86.120.38.42
Kliens verzió: 6.6.0.0

( pike.killer v | 2011. 11. 21., h – 13:55 )

tilts mindent es csak azt enged be ami jova van hagyva ;) Tuti buli :) :D