Netzparasiten á la TeamViewer sperren

**Stormbringer** · 04.10.10, 06:11

Moin Leute,

hat jemand eine Idee wie es relativ einfach umzusetzen ist, Netzparasiten á la TeamViewer und Co. zu sperren?
Durch die von TeamViewer selbst gemachten Produktbeschreibungen ergeben sich halt eine Menge "Umgehungen lokaler Sicherheitsbestimmungen" (um es mal vorsichtig auszudrücken), welche wir doch ganz gerne Schließen würden.

TeamViewer und Co. nutzen http-tunneling, so daß das Sperren von ports eigentlich nicht in Frage kommt. Weiterhin ist eine Installation einer Software nicht notwendig, so daß auch diese Regelung, bspw. AD-weit, nicht greift.

Die Grundidee wäre bspw. einen proxy á la squid zu nutzen - nur: kann ich dort überhaupt mit einem entsprechenden pattern arbeiten? Denn bei IP-zu-IP-Verbindungen würde er ja nicht greifen, außer ich würde im pattern alle IP-Adressen angeben (und nicht nur jene von TeamViewer).

Habt ihr Ideen dazu?

**cane** · 04.10.10, 10:39

I looks like teamviewer use port 5938/tcp udp for incoming connections & 80 for out

I would block port 5938 - that should stop the initial handshake - but let the full port 80 traffic through

Quelle:
http://www.clearfoundation.com/compo...,view/id,1898/

Ansonsten:
http://www.google.de/search?q=iptables+teamviewer

mfg
cane

**Stormbringer** · 04.10.10, 11:30

Zitat von cane

Quelle:
http://www.clearfoundation.com/compo...,view/id,1898/

Ansonsten:
http://www.google.de/search?q=iptables+teamviewer

mfg
cane

Danke! Aber das steht so auch in der TeamViewer Wissensdatenbank Technik:

13 – Welche Ports werden von TeamViewer genutzt?
Zusammenfassung:
Standardmäßig benutzt TeamViewer Port 80 (HTTP) für ausgehende Verbindungen – eine Firewallkonfiguration ist daher nicht notwendig. Alternativ kann Port 5938 (TCP) für ausgehende Verbindungen geöffnet werden.
Die Informationen in diesem Artikel beziehen sich auf:
TeamViewer Version 3.x / 4.x / 5.x

14 – INFO: Funktioniert TeamViewer auch hinter Firewalls und NAT Routern?
Zusammenfassung:
Ja. Dafür haben wir TeamViewer entwickelt. TeamViewer ermöglicht es Ihnen, über jede Art von Internet-/LAN-Verbindung und beinahe hinter jeder Firewall, Ihren Desktop Ihren Partnern bereit zu stellen.

Ein Sperren beider Ports hatte keine Auswirkung auf TeamViewer ... er baute trotzdem eine Verbindung auf - drum ja auch der Begriff "Parasit"

**stefaan** · 04.10.10, 11:49

Servus!

Das Ding funktioniert ja nur, weil der Teamviewer von sich aus Kontakt zu einem zentralen Server aufnimmt, der dann weitervermittelt.
Lassen sich diese IPs herausfinden und blockieren?

Grüße, Stefan

**Stormbringer** · 04.10.10, 13:30

Zitat von stefaan

Servus!

Das Ding funktioniert ja nur, weil der Teamviewer von sich aus Kontakt zu einem zentralen Server aufnimmt, der dann weitervermittelt.
Lassen sich diese IPs herausfinden und blockieren?

Grüße, Stefan

Jain

Man kann die zentralen Server von TeamViewer sperren, das funzt ... aber:
man kann TeamViewer auch derart konfigurieren das eben nicht die Server von TeamViewer genutzt werden ... und dann fängt die Sucherei an.
Drum wäre eigentlich eine softwarebasierte Application-FW nicht schlecht, oder eine pattern-Umleitung in squid bspw. zu einer Phyton-basierten Auswertung, ähnlich zu Zorg.
Hardwareseitig kann selbstredend eine entsprechende FW gekauft und eingebunden werden, keine Frage - eine sw-basierte Lösung hat aber auch Vorteile.

**derRichard** · 04.10.10, 23:39

hi!

es wird immer einen weg geben, dass man dich raustunneln kann.
wenn alle stricke reißen kann man sich sogar einen tunnel durch das dns graben.

bist du sicher, dass teamviewer einen http-tunnel macht?
und nicht nur über https oder gar nur port 80 verwendet?
dem kann man ja mit einem http-proxy entgegenwirken, der kein https zulässt.

hth,
//richard

ps: w00t! mein 2^12ter beitrag!

**Stormbringer** · 05.10.10, 05:12

Zitat von derrichard

ps: W00t! Mein 2^12ter beitrag!

gw

0123456789

**Stormbringer** · 05.10.10, 05:15

Zitat von derRichard

hi!

es wird immer einen weg geben, dass man dich raustunneln kann.
wenn alle stricke reißen kann man sich sogar einen tunnel durch das dns graben.

Aber erschweren kann man es dem Normalnutzer.

bist du sicher, dass teamviewer einen http-tunnel macht?
und nicht nur über https oder gar nur port 80 verwendet?
dem kann man ja mit einem http-proxy entgegenwirken, der kein https zulässt.

Das werde ich am kommenden WE testen.
Den Proxy haben wir schon testhalber verbogen, aber der Parasit baut noch immer Verbindungen auf. Am WE kümmere ich mich dann auch mal um die Protokollierung und Analyse des Netzverkehrs.

**marce** · 05.10.10, 12:19

Zitat von Stormbringer

Am WE kümmere ich mich dann auch mal um die Protokollierung und Analyse des Netzverkehrs.

Sollte ihr das in einem Firmennetz machen - über derlei Tun müsst ihr evtl. die Mitarbeiter informieren, sollte dies noch nicht geschehen sein...

**oziris** · 05.10.10, 19:30

Ich kenne TeamViewer nicht, aber kannst Du nicht einfach /home usw. mit noexec mounten, weil dann können die Benutzer keine Anwendungen mehr ausführen.

Rain_maker · 05.10.10, 19:44

Hm, das wäre vielleicht die Holzhammermethode für *NIX-artige Systeme.

Ich befürchte allerdings, daß in besagtem Netzwerk unter den Clients auch was Anderes dabei sein könnte *nudge, nudge, say no more*.

**Stormbringer** · 06.10.10, 12:43

Zitat von Rain_maker

Hm, das wäre vielleicht die Holzhammermethode für *NIX-artige Systeme.

Ich befürchte allerdings, daß in besagtem Netzwerk unter den Clients auch was Anderes dabei sein könnte *nudge, nudge, say no more*.

Ach, die *nix-Systeme sind die Pflegeleichtesten

In diesem Fall sind es die MS-Windows-Systeme, besser gesagt deren Nutzer.