O ile takie rozwiązanie dla osób świadczących zdalne wsparcie znajomym, rodzinie ewentualnie zarabiających na w wsparciu informatycznym firm jest czymś fantastycznym, to w przypadku bezpieczeństwa IT i dostępu do zasobów firmy z zewnątrz jest czymś nie chcianym. Zablokowanie działania tego typu aplikacji nie jest łatwe, gdyż używa ona rozproszonej sieci pośredników sieciowych. Rozwiązaniem jest zablokowanie komunikacji do wybranych domen, a raczej rozwiązywanie nazw pewnych domen.
W celu zablokowania komunikacji aplikacji teamviewer na routerze/firewall'u lub stacji roboczej linux należy użyć iptables.
iptables -A OUTPUT -p tcp -m string --string "teamviewer.com" --algo kmp -j DROP
iptables -A OUTPUT -p udp -m string --string "teamviewer.com" --algo kmp -j DROP
iptables -A OUTPUT -p tcp -m string --string "crossloop.com" --algo kmp -j DROP
iptables -A OUTPUT -p udp -m string --string "crossloop.com" --algo kmp -j DROP
Jeśli używamy zapór sieciowych firmy Cisco (PIX lub ASA) konieczne jest stworzenie odpowiednich polityk i inspekcja zapytań dns.
Tworzymy wyrażenie regularne:
regex crossloop "\.crossloop\.com"
regex teamviewer "\.teamviewer\.com"
Podpinamy wyrażenia regularne pod class mape:
class-map type regex match-any BLOKOWANE_DOMENY
match regex teamviewer
match regex crossloop
Podpinamy class mape pod politykę:
policy-map type inspect dns BLOKOWANE_DOMENY_INSPEKCJA
match domain-name regex class BLOKOWANE_DOMENY
drop log
policy-map global_policy
class inspection_default
inspect dns BLOKOWANE_DOMENY_INSPEKCJA
Testowane na Cisco PIX Security Appliance Software Version 7.2(4) oraz Cisco Adaptive Security Appliance Software Version 8.2(5).
Brak komentarzy:
Prześlij komentarz