Bloqueando o TeamViewer

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Bloqueando o TeamViewer

Mensagem por jhonthan »

Ola Pessoal.
Neste tópico, ensinarei como efetuar o bloqueio do TeamViewer, programa de acesso remoto que muitas vezes causa muitas dores de cabeça nos Administradores de Rede.

O Teamviewer, utiliza a comunicação principal, na porta 5938, no entanto outras portas também são utilizadas para a comunicação, como a 80 e 443.

Para o bloqueio, necessitaremos efetuar o bloqueio da seguinte range :

https://docs.google.com/document/d/1DRJ ... sp=sharing


Com isso, basta fazer a importação da range, criando um novo alias, como ja tratado no Tópico:

http://itbr.org/forum/pfsense-open-sour ... -firewall/


E criar uma regra na LAN, bloqueando o destino como sendo o Alias, ficando da seguinte forma a regra:


Imagem
Bloqueio via Firewall


Com isso, já será possível efetuar o bloqueio, no entanto, se você utiliza de Proxy Transparente na rede, iremos cair naquela questão da falta de filtro do protocolo HTTPS. No entanto, basta bloquear as seguintes URLs na Blacklist do Squid, em --> Services - Proxy Server - Access Control - Blacklist:
client.teamviewer.com
ping3.teamviewer.com
master.dyngate.com
master.teamviewer.com
master1.teamviewer.com
master2.teamviewer.com
master3.teamviewer.com
master4.teamviewer.com
master5.teamviewer.com
master6.teamviewer.com
master7.teamviewer.com
master8.teamviewer.com
master9.teamviewer.com
master10.teamviewer.com
master10.teamviewer.com
master11.teamviewer.com
master12.teamviewer.com
master13.teamviewer.com
master14.teamviewer.com
master15.teamviewer.com
master16.teamviewer.com
master17.teamviewer.com

Com isso já teremos o bloqueio, mesmo utilizando de Proxy Transparente.


Imagem
Falta de comunicação do TeamViewer


Imagem
Monitoramento das URLs através do Proxy


Imagem
Bloqueio de versões anteriores


Obs.: Foram efetuados testes a partir da versão 5 até a 8, utilizando das versões portable ( 5, 6 e 7 ), e instalável / portable ( versão 8 ).
E o que foi possível constatar, que sempre a consulta é feito na mesma range, no entanto para as consultas a URL, são alteradas de acordo com as versões, tratadas acima.


No mais é isso pessoal, espero que tenham gostado.  :D

Abrs, Jonathan
Para quem quer conhecer mais sobre Firewall: http://debsolutionsti.com/firewall/
Editado pela última vez por jhonthan em 02 Mar 2016 11:15, em um total de 1 vez.


" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Re:Bloqueando o TeamViwer

Mensagem por jhonthan »

Pessoal como foi tratado na página do Endian no Face, bloqueio via Firewall sempre estamos suscetíveis a nova redes serem incluídas. No entanto, como informado, para essa situação foi constatado a utilização das mesmas ranges.

Como tenho notado, muitas pessoas tem utilizado deste programa, para burlar as restrições de Proxy das empresas, deixando muitas vezes o programa conectado nas suas máquinas pessoais, e efetuar acesso, muitas vezes para acessar o Facebook.

Nós, como administradores de redes, não podemos ficar à deriva, aceitando essas atitudes, por isso da necessidade deste tutorial.
Simplesmente vai de cada um tentar encontrar a melhor forma de administrar / monitorar suas redes, pois cada um aplica aquilo que mais acha viável, pois nunca seremos o dono da verdade, e teremos a forma por completo.

Abrs, Jonathan  ;)
Editado pela última vez por jhonthan em 21 Jul 2013 14:18, em um total de 1 vez.
" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
Elton
Administrator
Administrator
Mensagens: 1259
Registrado em: 10 Jun 2013 12:44
Status: Offline

Re:Bloqueando o TeamViewer

Mensagem por Elton »

tópico monstrooo heinnnn!!!
"Colaborar atrai amigos, competir atrai inimigos ..."

Avatar do usuário
marceloleaes
Administrator
Administrator
Mensagens: 1516
Registrado em: 10 Jun 2013 12:45
Localização: Novo Hamburgo
Idade: 41
Contato:
Status: Offline

Re:Bloqueando o TeamViewer

Mensagem por marceloleaes »

A dica é válida, mas ainda acho que estamos remando contra a maré. O Pfsense tem filtro L7 , seria um bloqueio muito mais elegante tanto para implantar como para gerenciar. Quem me dera fosse possivel fazer no Endian...
"Transportai um punhado de terra todos os dias e fareis uma montanha." Confúcio

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Re:Bloqueando o TeamViewer

Mensagem por jhonthan »

Com certeza Marcelo.
O PF tem o pacote do Snort ( IDS / IPS ) nos repositórios para serem instalados. Como preciso estudar a ferramenta, criei este tópico.
Tendo em vista que não é simplesmente " ativar ", pois a taxa de falsos / positivos que podem ocorrer também é alta. Podendo prejudicar outros serviços.
Já referente ao bloqueio, através de Proxy Autenticado, não precisamos das regras das URLs, tendo em vista que já trata as requisições HTTPS, ja via Proxy Transparente, que há a necessidade do bloqueio das URLs também.


Abrs, Jonathan
" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
marceloleaes
Administrator
Administrator
Mensagens: 1516
Registrado em: 10 Jun 2013 12:45
Localização: Novo Hamburgo
Idade: 41
Contato:
Status: Offline

Re:Bloqueando o TeamViewer

Mensagem por marceloleaes »

Não sei como funciona o snort do Pfsense, mas no Endian ao ativar o serviço ele somente detecta por padrão, para bloquear algo só se tu marcar para ser bloqueado. Costumo habilitar o modulo nos clientes e acompanhar durante um certo tempo os alertas gerados, após tomo as ações e bloqueio ou deixo de monitorar o que acho necessário.
"Transportai um punhado de terra todos os dias e fareis uma montanha." Confúcio

Avatar do usuário
marceloleaes
Administrator
Administrator
Mensagens: 1516
Registrado em: 10 Jun 2013 12:45
Localização: Novo Hamburgo
Idade: 41
Contato:
Status: Offline

Re:Bloqueando o TeamViewer

Mensagem por marceloleaes »

Porem no caso do Pfsense, ainda tens o recurso de Layer7, que infelizmente não tem no Endian.

Quem sabe estudar um pouco este recurso e efetuar alguns testes não seja a melhor alternativa ?
"Transportai um punhado de terra todos os dias e fareis uma montanha." Confúcio

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Re:Bloqueando o TeamViewer

Mensagem por jhonthan »

A todos que se interessarem, segue link do fórum, para inicio dos estudos do Snort.

http://forum.pfsense.org/index.php?topi ... _next=next


Abrs, Jonathan
" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Re:Bloqueando o TeamViewer

Mensagem por jhonthan »

" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Responder

Voltar para “Dicas”