Quanto è sicuro TeamViewer per un semplice supporto remoto?

62

Sto implementando un sistema ERP basato sul Web per un cliente, in modo tale che sia il server che i computer client si trovino all'interno della intranet del cliente. Mi è stato consigliato in un'altra domanda di non utilizzare TeamViewer per accedere al server, usando invece mezzi più sicuri, e così ha fatto I. Ma ora sono preoccupato se TeamViewer sarebbe appropriato o meno per le macchine client, che non sono "speciali" in particolare per questo sistema, ma comunque non voglio abbassare la loro attuale sicurezza, né voglio compromettere il computer alla mia estremità.

La mia domanda, quindi, è se TeamViewer è "abbastanza buono" o meno per un supporto desktop remoto semplice, in cui verrà usato semplicemente per aiutare gli utenti nell'uso del sistema e se devo prendere o meno misure aggiuntive (come cambiare le impostazioni di default, cambiare il firewall, ecc.) per raggiungere un livello soddisfacente o sicurezza.

Alcuni dettagli:

  1. Ho già letto la dichiarazione sulla sicurezza della società e nel mio parere non esperto va tutto bene . Tuttavia, questa risposta in quell'altra domanda mi ha messo in dubbio. Dopo alcune ricerche, in particolare UPnP non mi preoccupa più, poiché la funzione che lo utilizza - DirectIn - è disabilitata di default. Ma mi chiedo se ci siano più cose di cui dovrei essere a conoscenza che non sono trattate in quel documento.

  2. L'articolo di Wikipedia su TeamViewer dice che la porta Linux utilizza Wine. AFAIK che non influisce sulla sicurezza della rete, è corretto?

  3. In definitiva, la responsabilità di proteggere le reti dei miei clienti non è mia, è loro. Ma ho bisogno di informarli sulle possibilità di istituire questo sistema, in particolare perché la maggior parte di loro sono ONG medio-piccole senza personale IT. Spesso non sarò in grado di offrire una configurazione "ideale", ma almeno vorrei essere in grado di dare consigli del tipo: "se stai installando TeamViewer su questa macchina, non sarai in grado di fare X, Y e Z in esso, perché lo disabiliterò "; oppure: "puoi installare TeamViewer in qualsiasi macchina normale che desideri, è sicuro nella sua configurazione predefinita, solo questo * punta al server * è off-limits".

  4. La mia scelta di TeamViewer era dovuta al fatto che era semplice da installare sia su macchine Windows che Linux, e funziona (anche il suo costo è accessibile). Ma sono aperto per altri suggerimenti. Sono basso sia nel budget che nel personale specializzato, quindi vado per gli strumenti più semplici, ma voglio prendere una decisione consapevole qualunque sia.

posta mgibsonbr 25.02.2012 - 10:10
fonte

9 risposte

32

Ci sono un paio di differenze tra l'utilizzo di un fornitore di terze parti (come teamviewer) e una soluzione di controllo remoto diretto (ad esempio, VNC)

Team Viewer ha dei vantaggi in quanto non richiede l'apertura di porte sul firewall per le connessioni in entrata, che rimuove un potenziale punto di attacco. Ad esempio, se hai qualcosa come VNC in ascolto (e non è possibile limitare gli indirizzi IP di origine per le connessioni), se c'è una vulnerabilità di sicurezza in VNC o se viene utilizzata una password debole, c'è il rischio che un utente malintenzionato possa usa questo meccanismo per attaccare il tuo cliente.

Tuttavia c'è un compromesso per questo, che è che stai fornendo un livello di fiducia alle persone che creano ed eseguono il servizio (in questo caso teamviewer). Se il loro prodotto o server sono compromessi, è possibile che un utente malintenzionato sia in grado di usarlo per attaccare chiunque usi il servizio. Una cosa da considerare è che se sei un cliente pagante del servizio, potresti avere un ritorno contrattuale se sono stati violati (anche se è molto probabile che dipenda dal servizio in questione e da un intero carico di altri fattori)

Come ogni cosa in sicurezza è un compromesso. Se si dispone di un prodotto di controllo remoto decentemente sicuro e gestito e controllato bene, sarei propenso a dire che è probabile che sia un'opzione più sicura che affidarsi a una terza parte di qualsiasi tipo.

Detto questo, se le affermazioni sul sito Web di TeamViewers sono accurate, è probabile che stiano pagando un discreto livello di attenzione alla sicurezza, e si potrebbe anche considerare che se qualcuno hack TeamViewer (che ha un numero piuttosto elevato di clienti) che cosa è la possibilità che ti attacchino:)

    
risposta data 28.02.2012 - 21:56
fonte
29

Dai un'occhiata a questa analisi della sicurezza di TeamViewer. In breve, non è sicuro su reti non attendibili: link

Conclusione:

It is my recommendation that TeamViewer not be used on an untrusted network, or with the default password settings. TeamViewer does support increasing the password strength to a configurable length, and using alphanumeric passcodes, but it’s unlikely that casual users will have changed this setting.Keep in mind that there is a substantial attack surface in TeamViewer that needs more analysis such as the unauthenticated, plaintext communication between client to server (over 100 commands are supported and parsed on the client side), as well as many peer-to-peer commands, routed through the gateway server. Despite the danger to this much exposed attack surface, the risk is somewhat mitigated by an extensive use of std::string and std::vector instead of C-style strings and arrays.

    
risposta data 31.05.2013 - 23:34
fonte
19

Voglio solo aggiungere una risposta che a mio avviso non è stata ancora toccata. Quando ti connetti tramite teamviewer a un altro computer, condividi gli appunti con quel computer (per impostazione predefinita).

Pertanto, tutto ciò che copi negli Appunti viene copiato anche negli Appunti del computer a cui sei connesso. Installando un'applicazione di tracciamento degli appunti come ClipDiary , sul computer host, puoi tenere un registro di tutto ciò che è stato copiato negli Appunti dalla persona che si connette a te.

La maggior parte delle risposte qui si concentra sulla sicurezza del computer utilizzato come host, ma questo è anche un potenziale problema di sicurezza per il computer che si connette all'host, specialmente se si utilizza uno strumento di gestione delle password come KeePass, poiché il computer host potrebbe potenzialmente avere una registrazione di nomi utente e password (e potenzialmente URL se si copia anche l'URL da KeePass al browser) nella cronologia degli appunti dopo che la sessione è terminata.

    
risposta data 03.05.2013 - 13:17
fonte
5

Non ne so abbastanza di TeamViewer per darti una valutazione dei suoi rischi o se è una buona scelta per la tua situazione. Ma ho intenzione di ripetere un commento di @Lie Ryan. Se si distribuisce TeamViewer per questo scopo, un potenziale modo per ridurre il rischio di attacchi remoti consiste nell'impostare un firewall (su entrambi gli endpoint) che blocca tutti gli accessi alle porte di TeamViewer ad eccezione dei computer autorizzati.

    
risposta data 25.02.2012 - 15:44
fonte
4

A proposito di TeamViewer, ci sono un paio di cose che penso dovresti tenere a mente:

  • Non è possibile visualizzare facilmente la fonte e verificarne la sicurezza, ed è una superficie di attacco rivolta verso la rete. Non è così bello - se si è in grado di creare un server OpenSSH con un'autenticazione basata su password, disattivare invece la parte rivolta verso Internet, farlo. (Si potrebbe desiderare di fornire all'utente un metodo per avviare / arrestare il server.) Attraverso il tunnel OpenSSH, è possibile utilizzare VNC associato a localhost per connettersi al display. Naturalmente, questo metodo non funziona così bene se i PC in questione sono dietro un NAT / Firewall troppo zelante e non si ha un modo per ottenere dietro quel firewall. Idee per aggirarlo:
    • Potresti usare un hack come link per aprirli alle connessioni da Internet.
    • Si potrebbe fare il tunnel SSH nella direzione opposta: quando vogliono il supporto, avviano uno script che crea un tunnel SSH sul server di supporto e collega una connessione TCP al server VNC alla connessione SSH. Il server di supporto ha la chiave pubblica del client nel suo file authorized_keys con un comando forzato che collega il client al tuo client VNC inverso.
  • Se lo usi, assicurati di non avere mai un sistema in esecuzione con quello stupido sistema di passcode a 4 cifre. Sì, hanno tempi di blocco esponenziali, ma per prima cosa, non vuoi che il supporto venga bloccato in modo semplice e di seconda mano, beh, e se qualcuno provasse solo una combinazione casuale su 100000 PC con Teamviewer in esecuzione? Otterrà ~ 100 connessioni stabilite senza incorrere in alcun blocco, penso - afaik, il blocco è completamente client-side.
risposta data 03.04.2013 - 20:17
fonte
3

Teamviewer non è un periodo sicuro. Pensaci. Teamviewer può essere configurato per utilizzare sempre lo stesso ID partner e la stessa password. Un codice simile può essere creato e lanciato solo dall'utente che fa clic su un'e-mail. Ottimo strumento? Assolutamente..per ragazzi come me che supportano un gran numero di utenti remoti che non riescono a distinguere i due punti da un punto e virgola. Ma sicuro? No way No come. Teamviewer consente l'accesso remoto a un PC e può aggirare Cisco VPN o qualsiasi altra sicurezza VPN. Questa schifezza sull'utente finale che deve dare l'ID del partner e passare è solo quella ... merda. Questo può essere ottenuto molto facilmente. Non fraintendermi. Mi piace Teamviewer. Ma non illuderti, non è affatto sicuro.

    
risposta data 03.04.2013 - 19:00
fonte
1

Suggerirei una soluzione nativa come VNC, che consente di omettere tali soluzioni alternative come TeamViewer in WINE, ecc., nonché l'utilizzo dell'utilità di gestione dei pacchetti dei sistemi operativi locali per garantire che la soluzione rimanga aggiornata. Per sicurezza, utilizzare un tunnel SSH. Ciò garantisce che tutte le comunicazioni VNC siano crittografate, incluso l'handshake VNC auth / password iniziale. Ciò è particolarmente importante in quanto molte implementazioni VNC sono piuttosto insicure.

Inoltre, come suggerito da un altro rispondente, utilizzare il filtro IP per garantire che solo quelli in determinati indirizzi siano in grado di comunicare con il server VNC.

    
risposta data 29.02.2012 - 13:50
fonte
0

Un modo in cui lo gestiamo: se il client richiede la disponibilità di TeamViewer, utente avvia TeamViewer su richiesta e admin lo uccide al completamento delle attività. Un'altra soluzione che abbiamo implementato in questo caso è che TeamViewer viene avviato da una sessione SSH da parte dell'amministratore. In alternativa, è possibile esaminare gli strumenti di condivisione del desktop "invitami". O il mio preferito: il mirroring di Xsession tramite SSH sul desktop.

    
risposta data 26.09.2013 - 09:27
fonte
-2

Teamviewer dà all'utente del computer la possibilità di dare una sessione remota al PC per chiunque su Internet. Quindi, la sicurezza della rete passa all'utente finale! Questo è un no-go. Ti consiglio di usare VNC.

    
risposta data 11.10.2012 - 13:53
fonte

Leggi altre domande sui tag