it-swarm.dev

Quanto è sicuro TeamViewer per un semplice supporto remoto?

Sto distribuendo un web ERP per un cliente, in modo tale che sia il server sia i computer client si trovino all'interno della intranet del cliente. Mi è stato consigliato in n'altra domanda non usare TeamViewer per accedere al server, usando invece mezzi più sicuri, e così ho fatto io. Ma ora sono preoccupato se TeamViewer sarebbe appropriato per i computer client, che non sono "speciali" per questo sistema in particolare, ma non voglio comunque abbassare la loro attuale sicurezza, né voglio compromettere il computer da parte mia.

La mia domanda, quindi, è se TeamViewer è "abbastanza buono" per un semplice supporto desktop remoto, dove verrà usato semplicemente per aiutare gli utenti nell'uso del sistema e se devo o meno prendere ulteriori misure (come cambiare le impostazioni predefinite, la modifica del firewall, ecc.) per raggiungere un livello o una sicurezza soddisfacenti.

Alcuni dettagli:

  1. Ho già letto la società dichiarazione di sicurezza e secondo la mia opinione non esperta va bene. Tuttavia, questa risposta in quell'altra domanda mi ha messo in dubbio. Dopo alcune ricerche, UPnP in particolare non mi preoccupa più, poiché la funzione che lo utilizza - DirectIn - è disabilitata per impostazione predefinita. Ma mi chiedo se ci sono più cose di cui dovrei essere consapevole che non sono trattate in quel documento.

  2. Wikipedia articolo su TeamViewer afferma che la porta Linux utilizza Wine. AFAIK che non influisce sulla sicurezza della rete, è corretto?

  3. In definitiva, la responsabilità di proteggere le reti dei miei clienti non è mia, è loro. Ma ho bisogno di consigliarli sulle possibilità di istituire questo sistema, in particolare perché la maggior parte di loro sono ONG medio-piccole senza personale IT proprio. Spesso non sarò in grado di offrire una configurazione "ideale", ma almeno voglio essere in grado di dare consigli come: "se stai installando TeamViewer in questa macchina, non sarai in grado di fare X, Y e Z, perché lo disabiliterò "; oppure: "puoi installare TeamViewer su qualsiasi macchina normale tu voglia, è sicuro nella sua configurazione predefinita; solo questo * punta al server * è off-limits".

  4. La mia scelta di TeamViewer è stata solo perché era semplice da installare sia su macchine Windows che Linux, e funziona semplicemente (anche il suo costo è accessibile). Ma sono aperto per altri suggerimenti. Sono a corto di budget e personale specializzato, quindi cercherò gli strumenti più semplici, ma voglio prendere una decisione consapevole qualunque cosa sia.

66
mgibsonbr

Esistono un paio di differenze tra l'utilizzo di un fornitore di terze parti (come teamviewer) e una soluzione di controllo remoto diretto (ad es. VNC)

Team Viewer presenta dei vantaggi in quanto non richiede l'apertura delle porte sul firewall per le connessioni in entrata, il che rimuove un potenziale punto di attacco. Ad esempio, se hai qualcosa come l'ascolto VNC (e non è possibile limitare gli indirizzi IP di origine per le connessioni), se esiste una vulnerabilità di sicurezza in VNC o viene utilizzata una password debole, allora c'è il rischio che un utente malintenzionato possa usa questo meccanismo per attaccare il tuo cliente.

Tuttavia, esiste un compromesso per questo, ovvero fornire un livello di fiducia alle persone che creano ed eseguono il servizio (in questo caso teamviewer). Se il loro prodotto o server sono compromessi, è possibile che un utente malintenzionato sia in grado di utilizzarlo per attaccare chiunque utilizzi il servizio. Una cosa da considerare è che se sei un cliente pagante del servizio, potresti avere un ritorno contrattuale se sono compromessi (anche se è molto probabile che dipenda dal servizio in questione e da un intero carico di altri fattori)

Come ogni cosa in sicurezza, è un compromesso. Se hai un prodotto di controllo remoto decentemente sicuro e lo gestisci e lo controlli bene, sarei propenso a dire che è probabilmente un'opzione più sicura rispetto a fare affidamento su una terza parte di qualsiasi tipo.

Detto questo, se le affermazioni sul sito Web di TeamViewers sono accurate, sembra probabile che stiano prestando un discreto grado di attenzione alla sicurezza, e si potrebbe anche considerare che se qualcuno hackera TeamViewer (che ha un numero piuttosto elevato di clienti) qual è la possibilità che ti attaccheranno :)

33
Rory McCune

Dai un'occhiata a questa analisi di sicurezza di TeamViewer. In breve, sicuramente non è sicuro su reti non attendibili: https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-

Conclusione:

Si consiglia di non utilizzare TeamViewer su una rete non attendibile o con le impostazioni della password predefinite. TeamViewer supporta l'aumento della forza della password a una lunghezza configurabile e l'utilizzo di passcode alfanumerici, ma è improbabile che gli utenti occasionali abbiano modificato questa impostazione. Tieni presente che in TeamViewer è presente una superficie di attacco sostanziale che necessita di ulteriori analisi come quelle non autenticate, comunicazione in chiaro tra client e server (oltre 100 comandi supportati e analizzati sul lato client), oltre a molti comandi peer-to-peer, instradati attraverso il server gateway. Nonostante il pericolo per questa superficie di attacco molto esposta, il rischio è in qualche modo mitigato da un ampio uso di array e stringhe std :: string e std :: vector invece che in stile C.

32
Bill Johnson

Voglio solo aggiungere una risposta che penso non sia stata ancora toccata. Quando ti connetti tramite Teamviewer a un altro computer, condividi gli Appunti con quel computer (per impostazione predefinita).

Pertanto, tutto ciò che copi negli Appunti viene copiato anche negli Appunti del computer a cui sei collegato. Installando un'applicazione di tracciamento degli Appunti come ClipDiary , sul computer Host, è possibile tenere un registro di tutto ciò che viene copiato negli Appunti dalla persona che si collega a te.

La maggior parte delle risposte qui si concentra sulla sicurezza del computer utilizzato come host, ma questo è anche un potenziale problema di sicurezza per il computer che si collega all'host, soprattutto se si utilizza uno strumento di gestione delle password come KeePass, come host il computer potrebbe potenzialmente avere una registrazione di nomi utente e password (e potenzialmente di URL se copi anche l'URL da KeePass al tuo browser) nella cronologia degli appunti dopo la fine della sessione.

20
JMK

Non so abbastanza su TeamViewer per darti una valutazione dei suoi rischi o se è una buona scelta per la tua situazione. Ma ripeterò un commento di @Lie Ryan. Se si distribuisce TeamViewer a tale scopo, un potenziale modo per ridurre il rischio di attacchi remoti consiste nell'impostare un firewall (su entrambi gli endpoint) che blocchi tutti gli accessi alle porte di TeamViewer ad eccezione delle macchine autorizzate.

5
D.W.

A proposito di TeamViewer, ci sono un paio di cose che penso che dovresti tenere a mente:

  • Non puoi guardare facilmente l'origine e verificarne la sicurezza, ed è una superficie di attacco rivolta verso la rete. Non è così bello - se sei in grado di creare un server OpenSSH con un'autorizzazione basata su password ha disattivato invece la parte rivolta a Internet, fallo. (Potresti voler dare all'utente un metodo per avviare/arrestare il server.) Attraverso il tunnel OpenSSH, puoi semplicemente usare VNC associato a localhost per collegarti al display. Ovviamente, questo metodo non funziona così bene se i PC in questione si trovano dietro un firewall NAT/troppo zelante e non hai un modo per superarlo. Idee per aggirarlo:
    • È possibile utilizzare un hack come http://samy.pl/pwnat/ per aprirli alle connessioni da Internet.
    • Potresti fare il tunnel SSH nella direzione opposta: quando vogliono supporto, avviano uno script che crea un tunnel SSH sul tuo server di supporto e connette una connessione TCP al server VNC all'SSH connessione Il tuo server di supporto ha la chiave pubblica del client nel suo file authorized_keys con un comando forzato che collega il client al tuo client VNC inverso.
  • Se lo usi, assicurati di non avere mai un sistema in esecuzione con quello stupido sistema di passcode a 4 cifre. Sì, hanno tempi di blocco esponenziali, ma prima cosa, non vuoi che il supporto venga bloccato così facilmente e la seconda cosa, beh, cosa succede se qualcuno prova una combinazione casuale su 100000 PC con Teamviewer? Otterrà ~ 100 connessioni stabilite senza incorrere in alcun blocco, credo: il blocco è completamente lato client.
5
thejh

Teamviewer non è un periodo sicuro. Pensaci. Teamviewer può essere configurato per utilizzare sempre lo stesso ID partner e password. Codice simile può essere creato e lanciato solo dall'utente facendo clic su un'e-mail. Ottimo strumento? Assolutamente..per ragazzi come me che supportano un grande gruppo di utenti remoti che non possono distinguere i due punti da un punto e virgola. Ma sicuro? Assolutamente no. Teamviewer consente l'accesso remoto a un PC e può aggirare Cisco VPN o qualsiasi altra sicurezza VPN. Questa stronzata sull'utente finale che deve rilasciare l'ID partner e passare è proprio quella ... merda. Questo può essere risolto molto facilmente. Non fraintendetemi. Mi piace Teamviewer. Ma non illuderti, non è affatto sicuro.

3
Larry Webb

Vorrei suggerire una soluzione nativa come VNC, che consente di omettere soluzioni alternative come TeamViewer in WINE ecc., Nonché di utilizzare l'utilità di gestione dei pacchetti dei sistemi operativi locali per garantire che la soluzione rimanga aggiornata. Per motivi di sicurezza, utilizzare un tunnel SSH. Ciò garantisce che tutte le comunicazioni VNC siano crittografate, inclusa l'handshake iniziale di autenticazione/password VNC. Ciò è particolarmente importante in quanto molte implementazioni VNC sono piuttosto insicure.

Inoltre, come suggerito da un altro rispondente, utilizzare il filtro IP per garantire che solo quelli a determinati indirizzi siano in grado di comunicare con il server VNC.

1
deed02392

Un modo per gestirlo: se il client richiede la disponibilità di TeamViewer, tente avvia TeamViewer su richiesta e admin lo uccide al completamento delle attività. Un'altra soluzione che una volta abbiamo implementato in questo caso è che TeamViewer viene avviato da una sessione SSH dall'amministratore. In alternativa, potresti esaminare gli strumenti di condivisione desktop "invitami". O il mio preferito: il mirroring di Xsession tramite SSH sul desktop.

0
user31259