it-swarm-vi.com

TeamViewer an toàn như thế nào đối với hỗ trợ từ xa đơn giản?

Tôi đang triển khai hệ thống ERP dựa trên web cho khách hàng, sao cho cả máy chủ và máy khách sẽ ở trong mạng nội bộ của khách hàng. Tôi đã được thông báo trong một câu hỏi khác không sử dụng TeamViewer để truy cập máy chủ, thay vào đó sử dụng các phương tiện bảo mật hơn và tôi cũng vậy. Nhưng bây giờ tôi lo lắng về việc TeamViewer có phù hợp với các máy khách không "đặc biệt" đối với hệ thống này không đặc biệt, nhưng dù sao tôi không muốn hạ thấp bảo mật hiện tại của họ, tôi cũng không muốn thỏa hiệp với máy tính.

Khi đó, câu hỏi của tôi là liệu TeamViewer có "đủ tốt" cho hỗ trợ máy tính từ xa đơn giản hay không, nơi nó sẽ được sử dụng đơn giản để hỗ trợ người dùng trong việc sử dụng hệ thống và tôi có phải thực hiện các biện pháp bổ sung hay không (như thay đổi cài đặt mặc định, thay đổi tường lửa, v.v.) để đạt mức bảo mật hoặc mức độ thỏa đáng.

Một số chi tiết:

  1. Tôi đã đọc công ty tuyên bố bảo mật và theo ý kiến ​​không phải chuyên gia của tôi, tất cả đều ổn. Tuy nhiên, câu trả lời này trong câu hỏi khác đó đã khiến tôi nghi ngờ. Sau một số nghiên cứu, đặc biệt UPnP không còn làm tôi lo lắng nữa, vì tính năng sử dụng nó - DirectIn - bị tắt theo mặc định. Nhưng tôi tự hỏi nếu có nhiều điều tôi nên biết về điều đó không được đề cập trong tài liệu đó.

  2. Wikipedia bài viết về TeamViewer cho biết cổng Linux sử dụng Wine. AFAIK không ảnh hưởng đến an ninh mạng, điều đó có đúng không?

  3. Cuối cùng, trách nhiệm bảo mật mạng của khách hàng không phải của tôi, đó là của họ. Nhưng tôi cần tư vấn cho họ về khả năng thiết lập hệ thống này, đặc biệt bởi vì hầu hết trong số họ là các tổ chức phi chính phủ vừa và nhỏ mà không có bất kỳ nhân viên CNTT nào của riêng họ. Thường thì tôi sẽ không thể cung cấp một thiết lập "lý tưởng", nhưng ít nhất tôi muốn có thể đưa ra lời khuyên như: "nếu bạn cài đặt TeamViewer trong máy này, bạn sẽ không thể thực hiện X, Y và Z trong đó, vì tôi sẽ vô hiệu hóa nó "; hoặc: "bạn có thể cài đặt TeamViewer trong bất kỳ máy thông thường nào bạn muốn, nó an toàn trong cấu hình mặc định của nó; chỉ cái này * trỏ đến máy chủ * là ngoài giới hạn".

  4. Sự lựa chọn TeamViewer của tôi chỉ đơn giản là vì nó đơn giản để cài đặt trong cả máy Windows và Linux và nó chỉ hoạt động (chi phí cũng có thể truy cập được). Nhưng tôi đang mở cho các đề xuất khác. Tôi thấp cả về ngân sách và đội ngũ nhân viên chuyên ngành, vì vậy tôi sẽ tìm kiếm các công cụ đơn giản hơn, nhưng tôi muốn đưa ra quyết định sáng suốt cho dù đó là gì.

66
mgibsonbr

Có một số khác biệt giữa việc sử dụng nhà cung cấp bên thứ 3 (như teamviewer) và giải pháp điều khiển từ xa trực tiếp (ví dụ: VNC)

Team Viewer có lợi thế ở chỗ nó không yêu cầu các cổng được mở trên tường lửa cho các kết nối gửi đến, loại bỏ điểm tấn công tiềm năng. Ví dụ: nếu bạn có thứ gì đó như nghe VNC (và không thể hạn chế địa chỉ IP nguồn cho các kết nối) thì nếu có lỗ hổng bảo mật trong VNC hoặc mật khẩu yếu được sử dụng, thì có nguy cơ kẻ tấn công có thể sử dụng cơ chế này để tấn công khách hàng của bạn.

Tuy nhiên, có một sự đánh đổi cho điều này, đó là bạn đang cung cấp một mức độ tin cậy cho những người tạo và điều hành dịch vụ (trong trường hợp này là teamviewer). Nếu sản phẩm hoặc máy chủ của họ bị xâm phạm, thì có khả năng kẻ tấn công có thể sử dụng điều đó để tấn công bất cứ ai sử dụng dịch vụ. Một điều cần xem xét là nếu bạn là khách hàng trả tiền của dịch vụ, bạn có thể quay lại theo hợp đồng nếu họ bị hack (mặc dù điều đó rất có thể phụ thuộc vào dịch vụ được đề cập và toàn bộ các yếu tố khác)

Giống như mọi thứ trong bảo mật, đó là một sự đánh đổi. Nếu bạn có một sản phẩm điều khiển từ xa an toàn và quản lý và kiểm soát nó tốt thì tôi sẽ có xu hướng nói rằng đó có thể là một lựa chọn an toàn hơn là dựa vào bất kỳ bên thứ 3 nào.

Điều đó nói rằng nếu các khiếu nại trên trang web TeamViewers là chính xác thì có vẻ như họ đang chú ý đến mức độ bảo mật và bạn cũng có thể cân nhắc rằng nếu ai đó hack TeamViewer (có số lượng khách hàng khá lớn) thì có khả năng đó là cơ hội họ sẽ tấn công bạn :)

33
Rory McCune

Hãy xem phân tích bảo mật này của TeamViewer. Nói tóm lại, nó chắc chắn không an toàn trên các mạng không tin cậy: https: //www.opunch.com/blog/teamviewer-authentication-protatio-part-1-of-

Phần kết luận:

Chúng tôi khuyên bạn không nên sử dụng TeamViewer trên mạng không tin cậy hoặc với cài đặt mật khẩu mặc định. TeamViewer hỗ trợ tăng cường độ mật khẩu lên độ dài có thể định cấu hình và sử dụng mật mã chữ và số, nhưng không chắc là người dùng thông thường sẽ thay đổi cài đặt này. Hãy nhớ rằng có một bề mặt tấn công đáng kể trong TeamViewer cần phân tích nhiều hơn như không được xác thực, giao tiếp văn bản giữa máy khách đến máy chủ (hơn 100 lệnh được hỗ trợ và phân tích cú pháp ở phía máy khách), cũng như nhiều lệnh ngang hàng, được chuyển qua máy chủ cổng. Mặc dù có nguy cơ đối với bề mặt tấn công bị phơi bày nhiều này, nhưng rủi ro có phần được giảm thiểu bằng cách sử dụng rộng rãi std :: string và std :: vector thay vì các chuỗi và mảng kiểu C.

32
Bill Johnson

Tôi chỉ muốn thêm một câu trả lời mà tôi nghĩ chưa được chạm vào. Khi bạn kết nối qua teamviewer với một máy tính khác, bạn sẽ chia sẻ clipboard của mình với máy tính đó (theo mặc định).

Do đó, mọi thứ bạn sao chép vào clipboard của bạn cũng được sao chép vào clipboard của máy tính bạn được kết nối. Bằng cách cài đặt ứng dụng theo dõi clipboard như ClipDerator , trên máy tính chủ, bạn có thể lưu bản ghi mọi thứ được sao chép vào bảng tạm bởi người kết nối với bạn.

Hầu hết các câu trả lời ở đây đều tập trung vào bảo mật của máy tính được sử dụng làm Máy chủ, nhưng đây cũng là vấn đề bảo mật tiềm ẩn đối với máy tính kết nối với Máy chủ, đặc biệt nếu bạn sử dụng công cụ quản lý mật khẩu như KeePass, làm Máy chủ máy tính có khả năng có thể có bản ghi tên người dùng và mật khẩu (và có khả năng là URL nếu bạn cũng sao chép URL từ KeePass sang trình duyệt của bạn) trên lịch sử clipboard sau khi phiên của bạn kết thúc.

20
JMK

Tôi không biết đủ về TeamViewer để đưa ra đánh giá về rủi ro của nó hoặc liệu đó có phải là một lựa chọn tốt cho tình huống của bạn hay không. Nhưng tôi sẽ nhắc lại một nhận xét từ @Lie Ryan. Nếu bạn triển khai TeamViewer cho mục đích này, một cách tiềm năng để giảm nguy cơ bị tấn công từ xa là thiết lập tường lửa (trên cả hai điểm cuối), chặn tất cả quyền truy cập vào cổng TeamViewer trừ các máy được ủy quyền.

5
D.W.

Về TeamViewer, có một vài điều mà tôi nghĩ bạn nên ghi nhớ:

  • Bạn không thể dễ dàng nhìn vào nguồn và xác minh tính bảo mật của nó và đó là bề mặt tấn công của mạng. Điều đó không hay chút nào - nếu bạn có thể tạo một máy chủ OpenSSH với auth dựa trên mật khẩu đã vô hiệu hóa phần mặt internet thay vào đó, hãy làm điều đó. (Bạn có thể muốn cung cấp cho người dùng một phương thức để khởi động/dừng máy chủ.) Thông qua đường hầm OpenSSH, bạn chỉ có thể sử dụng VNC ràng buộc localhost để kết nối với màn hình. Tất nhiên, phương pháp này không hoạt động tốt nếu các PC đang được đề cập đứng sau Tường lửa NAT/quá nhiệt và bạn không có cách nào vượt qua tường lửa đó. Ý tưởng để có được xung quanh nó: [.__.]
    • Bạn có thể sử dụng một hack như http://samy.pl/pwnat/ để mở chúng lên các kết nối từ internet.
    • Bạn có thể thực hiện đường hầm SSH theo hướng ngược lại: Khi họ muốn hỗ trợ, họ sẽ khởi động một tập lệnh tạo đường hầm SSH đến máy chủ hỗ trợ của bạn và kết nối a TCP kết nối với máy chủ VNC với SSH kết nối. Máy chủ hỗ trợ của bạn có khóa chung của máy khách trong tệp ủy quyền của nó với lệnh bắt buộc kết nối máy khách với máy khách VNC ngược của bạn.
  • Nếu bạn sử dụng nó, đảm bảo không bao giờ có một hệ thống chạy với hệ thống mật mã 4 chữ số ngu ngốc đó. Đúng, họ có thời gian khóa theo cấp số nhân, nhưng điều đầu tiên, bạn không muốn hỗ trợ bị khóa dễ dàng và điều thứ hai, nếu ai đó chỉ thử một kết hợp ngẫu nhiên trên 100000 PC chạy teamviewer thì sao? Anh ta sẽ nhận được ~ 100 kết nối được thiết lập mà không cần chạy vào bất kỳ khóa nào, tôi nghĩ - afaik, việc khóa hoàn toàn ở phía khách hàng.
5
thejh

Teamviewer không an toàn thời gian. Hãy suy nghĩ về nó. Teamviewer có thể được cấu hình để luôn sử dụng cùng ID và mật khẩu của Đối tác. Mã tương tự có thể được tạo và khởi chạy chỉ bằng cách người dùng nhấp vào email. Công cụ tuyệt vời? Hoàn toàn..cho những người như tôi, những người hỗ trợ một nhóm lớn người dùng từ xa, những người không thể nói dấu hai chấm từ dấu chấm phẩy. Nhưng an toàn? Không có cách nào Không làm thế nào. Teamviewer cho phép truy cập từ xa vào PC và có thể phá vỡ Cisco VPN hoặc bất kỳ bảo mật VPN nào khác. Chuyện tào lao này về việc người dùng cuối phải đưa ra ID đối tác và vượt qua chỉ là ... tào lao. Điều này có thể được nhận xung quanh rất dễ dàng. Đừng hiểu lầm tôi. Tôi thích Teamviewer. Nhưng đừng tự đùa, nó không an toàn chút nào.

3
Larry Webb

Tôi sẽ đề xuất một giải pháp gốc như VNC, cho phép bạn bỏ qua các cách giải quyết khác như TeamViewer trong WINE, v.v., cũng như sử dụng tiện ích quản lý gói hệ điều hành cục bộ để đảm bảo rằng giải pháp luôn cập nhật. Để bảo mật, hãy sử dụng đường hầm SSH. Điều này đảm bảo rằng tất cả các thông tin liên lạc của VNC đều được mã hóa, bao gồm cả bắt tay mật khẩu/mật khẩu VNC ban đầu. Điều này đặc biệt quan trọng vì rất nhiều triển khai của VNC khá không an toàn.

Ngoài ra, như một người trả lời khác đã đề xuất, hãy sử dụng bộ lọc IP để đảm bảo rằng chỉ những người ở một số địa chỉ nhất định mới có thể giao tiếp với máy chủ VNC.

1
deed02392

Một cách chúng tôi xử lý nó: nếu khách hàng yêu cầu tính khả dụng của TeamViewer, người dùng khởi động TeamViewer theo yêu cầu và quản trị viên giết chết khi hoàn thành nhiệm vụ. Một giải pháp khác mà chúng tôi từng triển khai trong trường hợp như vậy, đó là TeamViewer được quản trị viên bắt đầu từ phiên SSH. Ngoài ra, bạn có thể xem xét các công cụ chia sẻ máy tính để bàn "mời tôi". Hoặc sở thích của tôi: phản chiếu Xsession qua SSH vào máy tính để bàn của bạn.

0
user31259