Fórumok
Sziasztok!
Egy ügyfélnél felmerült az igény, hogy a kedves userek ugyan ne hívogassanak már be senki fiát a belső hálózatra LogMeIn, TeamViewer, RemoteDesktopManager és társain keresztül.
Természetesen portra nem tudok tiltani, mert a 80, 8080, és a 443-at használják.
Tartalomra szűrni nem tudok, mert mit is szűrhetnék?
Sokan rendszergazdák lokálisan, így a telepítés megakadályozása sem pálya. Ráadásul van olyan remote kliens amit telepíteni sem kell.
Maradt az IP...
Ebből viszont egy rahedlit használnak a kliensek.
Valaki ütközött már ebbe? Ötlet?
üdv.: pinyoo
Hozzászólások
Ha lokálisan rendszergazdák, akkor gondolom, ez egy kis cég, s a munkaadó megbízik a népében. Ráadásul, mivel lokálisan rendszergazdák, nincs is nagyon szükségük távoli segítségre. Így nem igazán értem, mi a gond.
Másik lehetőség, hogy nem rendszergazdák, s akkor megint nincs túl nagy baj.
Viszont az elég felemás dolog, hogy a dolgozó rendszergazda a gépén, de azért ne csinálhasson azon bármit.
tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE
Jó ötlet köszi! Majd kipróbálom!
Egyébiránt 100 feletti user, sok notebookos, aki lokális rendszergazda. Értelem szerűen azt hívogat meg a notebookjára remote akit akar.
Csak nem a céges hálózatba.
Mert nyilván elér megosztásokat stb...
A szitu elég egyszerű. Sajnálom, hogy nem érted.
üdv.: Pinyo
üdv
ezek a progik általában egy központi szerverhez csatlakoznak. mi van ha kikísérletezed és a megfelelő ip-k felé tiltod a kapcsolatot?
Így már világos. Nem írtad, hogy céges hálón a dolgozók saját gépeiről van szó. Ez fel sem merült bennem.
tr [:lower:] [:upper:] <<<locsemege
LOCSEMEGE
Ahol az ilyesmi problema, ott a dolgozo ne kapcsolodjon sajat gepevel a halozatra. Vagy ha megis, akkor legyenek elkulonitve a fontos dolgoktol. Nem csak ezert, hanem mert lehet akarmi mas is a gepen (pl. trojai), vagy maga a dolgozo lopkodhatja az adatot. Amugy is vicces, hogy a dolgozora rabizod az adatot (eleri, dolgozik vele), de megsem tartod megbizhatonak.
Totál igazad van Finder. De sajnos a kép sohasem ennyire fekete-fehér.
A lopásokat ezzel nem fogom meg akadályozni, de az ostobaságot valamennyire korlátozhatom.
Egyébként elkezdtem monitorozgatni mit csinálnak ezek a progik.
Érdekes...
Majd az IP-ket felrakom.
üdv.: Pinyoo
Ezzel tudod szűrni szerintem.
Én inkább Zorp-ból indulnék ki: ahol simán, vagy ssl-be csomagolva http-nek kell menni, ott mást nem szabad kiengedni, és slussz.
A további lehetőség a szabályozásbeli tiltás, és a szabályok be nem tartása esetére megfelelő szankciók kilátásba helyezése. Miután az első néhány szóbeli figyelmeztetés után kimegy az első írásbeli se@@gberúgás, vélhetőleg a dolgozók rá fognak jönni, hogy nem vicc a tiltás.
+1 :)
___
info
Nem, ezzel nem tudja. Az SCB nagyon jó eszköz, de RDP, SSH, Telnet, VMware View, Citrix Metaframe és VNC támogatása van. A LogMeIn, TeamViewer és társai nem ezeket a protokollokat használják.
Egy két információt elmondhatnál...
Windowsos gépek? Van AD? Group Policy? Központi Virus Management? Fizetésedet elküldöd nekem? Ügyfél ezt olvashatja?
Félek tényleg az IP gyűjtögetés marad.
Az SCB-t majd megnézem, de a Zorpból kiindulva félek, hogy túl olcsó :-)
Gondolkodtam GP-ben, de a belső hálózaton kívül nem akarom korlátozni az remote desk kliensek telepítését, használatát, valamint nem csak tartományi gépek kerülnek a hálózatba.
A fizetésem jó ötlet köszi. Ez egy nyilvános fórum.
üdv.: Pinyoo
Nemértelek hálózat dhcp vel megy?
Fix ip,mac cím szűrés.
"mert a 80, 8080, és a 443-at használják"
http://gregsowell.com/?p=855 hw függő.
De én nem értem hogy ahogy előttem mondták ha vnc,teamviewer,rdesktop tól nem fogja megosztásokat böngészni hacsak nincs levédve http://technet.microsoft.com/en-us/library/bb727067.aspx pld.
Ettől többet akarsz akkor az súlyos pénzekbe fáj.vannak hw megoldások.
-Lerakni egy nagyobbacska/erősebb terminálszervert, az kimehet az internetre, a többi gépnek meg kuss.
+1
Saját dns szerver, és kitiltani a logmein, teamviewer oldalakat. Ha meg igény van rá munka céljából, akkor csinálj vpn-t, és távoli asztalozzanak.
IP-cím, hosts fájl, aztán kész. a felhasználó admin joggal bír a saját gépén.
Alapból egy ilyen helyen nem engednék ki mást csak egy proxy-t.
Ha csak a proxy mehet ki a hálózatból, akkor mindenkinek azon keresztül kell menni és ott mindegy mi van bent a lokális host táblában.
Akkor meg fölösleges a saját DNS-ben is mókolni ezekkel a cuccokkal - elég a proxy tűzfalon kivágni a tiltott forgalmakat (cím, illetve tartalom alapján).
Transzparens proxy bőven elég, dansguardianhoz van külön remote-control include.
Ha local adminok, akkor elégséges írásba adni nekik, hogy ne csinálják.
Ha ennél több biztosítékra van szükség, akkor miért lehetnek local adminok? Rendszergazdaként csak akkor vállalhatsz felelősséget az ilyen programok tiltására, ha a hálózat, tűzfal és a kliensek beállításai csak számodra férhetők hozzá. Csak a tűzfalon nehéz letiltani olyan programokat, amelyeket direkt arra terveztek, hogy azon áthatoljon.
Windows XP-n SRP, Windows 7-en pedig Applocker szabályokkal plusz a weboldalaik letiltásával (hosts vagy firewall) szépen le lehet tiltani a Teamviewert, Logmeint. Mind befelé, mind kifelé.
Ammyy, TeamViewer, LogMeIn szűréshez IP-k:
Ammyy Admin
Hivatalos kliens letöltése innen: 70.38.40.185 (mail.ammyy.com)
Futtatást követően ezen az IP-n próbálkozik: 98.158.104.42 (rl.ammyy.com), 80-as porton.
Ha nem jut ki a kliens proxy hibával faild-el.
Ha kijut, kap egy ID-t és tovább megy 443 és 80-as porton:
- 69.64.58.38 (colossus910.startdedicated.com)
- 69.64.59.2 (static-ip-69-64-59-2.inaddr.ip-pool.com)
- 69.64.59.3 (static-ip-69-64-59-3.inaddr.ip-pool.com)
- 69.64.59.4 (static-ip-69-64-59-4.inaddr.ip-pool.com)
- 62.75.223.96 (static-ip-62-75-223-96.inaddr.ip-pool.com)
- 88.198.6.54 (static.88-198-6-54.clients.your-server.de)
- 88.198.6.55 (static.88-198-6-55.clients.your-server.de)
- 62.75.224.229 (prag178.startdedicated.com)
A kapcsolat felépítéshez úgy nézem minden esetben kell a 98.158.104.42 (rl.ammyy.com).
Talán ez az ID osztó szerver. A v3.0 klienssel teszteltem.
TeamViewer
Hivatalos kliens letöltése innen: 46.163.100.220 (www.teamviewer.com)
Telepítést, vagy egyszerű futtatást követően felváltva próbálkozik: 5938, 443, 80 portokon:
- 85.25.143.69 (server340.teamviewer.com)
- 62.75.246.130 (server347.teamviewer.com)
- 85.214.154.223 (server530.teamviewer.com)
- 216.108.224.222 (server853.teamviewer.com)
Ha ezeket a szervereket nem éri el, akkor folyamatosan (30 másodperces ciklusokban) váltogatva az IP-ket és a portokat próbálkozik. Ha egyszer már elérte a kliens valamelyik fenti IP-t akkor későbbi csatlakozáshoz nem kellenek.
Ezt követően áttér ezekre a szerverekre (ekkor a kliensnek még nincs azonosítója, tehát használhatatlan):
- 87.230.74.44 (master3.teamviewer.com)
- 87.230.74.43 (master4.teamviewer.com)
- 178.77.120.6 (master5.teamviewer.com)
Ha valamelyiket eléri, akkor felépül a kapcsolat.
Két klienssel teszteltem, v6.0.10722 és v6.0.11656.
Azonos módon viselkedtek sima futtatás és teljes telepítés esetén.
LogMeIn (na ez már macerásabb)
Hivatalos kliens weboldala: 77.242.193.200 (www.logmein.com.akadns.net)
Kb 5 percenként próbálkozik folyamatosan 80-as és 443-as portokon, ezeket az IP-ket váltogatva:
- 77.242.192.193
- 77.242.193.199
- 62.231.91.8
- 62.231.91.32
- 65.55.200.155
- 65.55.184.16
- 65.55.7.141
- 65.54.51.251
- 65.54.51.253
- 86.120.38.9
- 208.74.204.213
- 212.118.234.129
- 212.118.234.131
- 212.118.234.132
- 212.118.234.133
- 212.118.234.134
- 212.118.234.136
- 212.118.234.138
- 212.118.234.141
- 212.118.234.142
- 212.118.234.146
- 212.118.234.147
- 212.118.234.154
- 212.118.234.155
- 212.118.234.161
Időnként DNS lekérdezésekkel is próbálkozik, főleg a service indítását követően:
- 193.110.56.8
- 193.110.57.4
4 óra folyamatos próbálkozás alatt nem tudta összehozni a kapcsolatot.
Kérdés, hogy van-e még IP tartalékban...
Akármelyik IP-re kijut, a kapcsolat azonnal felépül, kivéve a DNS szervereknél.
v4.1.0.1890 klienssel tesztelve.
Ismertek még ilyen remote progit?
(VNC típusok nem játszanak, mert azok szerverként futnak vagyis bejövő forgalomra várnak.)
üdv.: Pinyo
"(VNC típusok nem játszanak, mert azok szerverként futnak vagyis bejövő forgalomra várnak.)"
...és mondjuk reverse SSH tunnelen keresztül nem szabvány porton?
Tochatja a nem szabvány portot, ha direktben semmi nem mehet a nagyvilág felé, a 80, 443 meg szigorúan csak http protokollra (a 443 ssl-be csomagolt http-re) van engedve...
Persze, akkor igen.
"a 443 ssl-be csomagolt http-re"
Nem értek ehhez, de olyasmit írtatok korábban, hogy ezt viszont nem túl egyszerű (olcsó) rendesen megvalósítani.
Zorp GPL már tudja. A saját CA-t fel kell venni a böngészőkben trusted CA-nak (és úgy is kell kezelni). A dolgozókkal pedig közölni kell, hogy az ssl-es forgalmat a tűzfal átcsomagolja, tehát a munkáltató képes annak a monitorozására.
Értem és köszönöm.
Gondolom, ennek azért van egy kis hardverigénye, bár talán azért nem akkora...
...végülis ő lesz a "man in the middle", akiben megbízunk, mert muszáj.
Mi a helyzet ilyenkor a megtekinteni szándékozott oldal tanúsítványával?
Lehet ellenőrizni annak hitelességét a felhasználó által?
Nem mondta senki, hogy az ssl-végződtetés (kapcsolatonként kettő) nem cpu-igényes móka :) Keybridge a 3.9-es GPL-es Zorpban már van, úgyhogy menni fog a dolog: http://hup.hu/cikkek/20110219/zorp_gpl_tuzfal_3.9
Köszönöm.
A LogMeIn-hez még két IP:
- 65.55.184.152
- 65.55.25.59
ilyesmire gondoltam én is.
LogMeIn Rescue and other LogMeIn products, including Join.Me, use the following IP ranges over SSL:
74.201.74.1 - 74.201.75.254
216.52.233.1 - 216.52.233.254
69.25.20.1 - 69.25.21.254
64.94.18.1 - 64.94.18.254
77.242.192.1 - 77.242.193.254
212.118.234.0 - 212.118.234.254
64.74.103.0 - 64.74.103.254
64.94.46.0 - 64.94.47.254
Note:
These ranges are for all LogMeIn products. Also, they are subject to change without notice.
Ha windows-os hálózat és van Forefront, akkor könnyen megoldható, de tudja az ISA is.
http://www.microsoftnow.com/2010/06/demystifying-outbound-https-inspect…
http://www.microsoftnow.com/2010/06/blocking-skype-and-other-im-protoco…
"...és mondjuk reverse SSH tunnelen keresztül nem szabvány porton?"
Vagyis?
...ha belülről indított csatornán jönnek be kintről.
ssh otthoni gépre, kétirányú portforwarddal. Majd onnan jön vissza.
+1 poen
A LogMeIn még akkor is próbál kommunikálni kifele, ha elvileg a kliens programja szerint leállítottam a szolgáltatást és utána kikapcsolom a programot.
Nagyon etikus :-)
Király! Köszi szépen!!!
RemoteDesktopManager
Hivatalos weboldal: 50.63.248.144 (http://remotedesktopmanager.com/)
A következő IP listát használja kifele kezdeményezett kapcsolatokhoz 80 és 443 portokon:
50.63.248.144, 65.52.198.158, 74.125.232.233, 74.125.232.234, 74.125.232.235, 74.125.232.236, 74.125.232.237, 74.125.232.238, 74.125.232.239, 74.125.232.249, 74.125.232.250, 62.231.91.8, 62.231.91.24, 68.67.179.209, 68.67.179.211, 68.67.179.212, 68.67.179.213, 68.67.179.216, 68.67.179.221, 68.67.179.222, 68.67.179.223, 68.67.179.246, 68.67.179.250, 68.67.185.206, 68.67.185.209, 68.67.185.210, 68.67.185.212, 68.67.185.216, 86.120.38.25, 86.120.38.42
Kliens verzió: 6.6.0.0
tilts mindent es csak azt enged be ami jova van hagyva ;) Tuti buli :) :D