¿Es posible usar una herramienta de código abierto como Cisco IPS o Cisco ASA para bloquear las conexiones entrantes de Teamviewer a bloques de IP internos específicos, mientras se permiten las salientes? No puedo encontrar una respuesta específica en otras fuentes en línea.
No creo que puedas hacer esto con firewalls, en la capa de red. Cuando conectas a alguien con TeamViewer, no lo haces directamente. Los usuarios de TeamViewer se conectan entre sí mediante un servidor de terceros en el medio.
Puede ver la respuesta de kobaltz para la pregunta ¿Cómo funciona exactamente un programa remoto como Team Viewer?
Cuando ejecuta TeamViewer, se le asigna una ID en su servidor de intermediario. Realiza una conexión a un ID de Teamviewer, y TeamViewer pasa la conexión hacia abajo a través del túnel establecido por el cliente de TeamViewer hasta el destino y, a continuación, se le solicita la contraseña y luego la conexión se establece posteriormente.
Para lograr tu objetivo, debes usar el modo TeamViewer. Creo que este artículo de TeamViewer es lo que está buscando: ¿Cómo puedo restringir el acceso de las conexiones de TeamViewer a mi computadora?
También puede restringir el acceso a su computadora de diferentes maneras. Dependiendo de cómo desee restringir el acceso y en qué medida, elija una de las siguientes opciones:
Para evitar completamente cualquier acceso con ID y contraseña, salga de TeamViewer en la barra de tareas. Cualquier conexión entrante o saliente ya no es posible.
Para restringir el acceso a los dispositivos ordenados, use la lista negra o blanca en la versión completa de TeamViewer. Denegar conexiones entrantes para ID de TeamViewer específicas o permitir solo conexiones para ID de TeamViewer definidos.
Para restringir las funciones de las conexiones entrantes, use el control de acceso para las conexiones entrantes. Elija entre Acceso completo, Confirmar todo, acceso de visualización o denegar cualquier conexión de control remoto entrante.
Para denegar conexiones desde fuera de su red, solo permita conexiones LAN entrantes.
Puede hacerlo con ASA o cualquier otro cortafuegos si puede usar grupos. Lo que harías es crear un grupo al que quisieras permitir acceder / que el Teamviewer acceda a él. Lance máquinas con permisos para conectarse a Teamviewer, luego bloquee todas las demás.
El problema se convierte en una ACL de firewall. Cuando realiza conexiones hacia y desde TeamViewer, se le envía un proxy a través de sus servidores. Aquí están las listas redes de TeamViewer . Lo que desea hacer es crear una ACL llamada "TeamViewer Networks" que permita a su grupo y negar a otros.
No es posible (con una cierta cantidad de tiempo / recursos) bloquear Teamviewer con un firewall convencional. Sería posible usar un proxy y un firewall en combinación. La solución más fácil si estás en un entorno Windows:
Permitir solo la conexión LAN. Cree un GPO que establezca la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer\Version[X]\Security_AcceptIncoming
REG_DWORD = 0
o
HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer\Version[X]\Security_AcceptIncoming
REG_DWORD = 0
Hay un par de formas en que puede bloquear / permitir que Teamviewer específicamente a través de Cisco ASA y el módulo Firepower (IPS / IDS). NBAR también se puede utilizar en enrutadores.
NBAR también se puede usar a nivel de enrutador para bloquear el tráfico para un tráfico específico. solicitud. Aunque no estoy 100% seguro, deberías poder crear algunas ACL personalizadas para el tráfico entrante y saliente para Teamviewer. Esto tratará su problema de que Teamviewer salte a diferentes puertos a medida que NBAR inspecciona el tráfico y busca marcadores específicos.
Saltando a Cisco Firepower, que es un módulo IPS / IDS para firewalls Cisco ASA, podemos configurarlo para bloquear aplicaciones específicas ...
podemos establecer una política de control de acceso específicamente para el tráfico entrante para bloquear la aplicación teamviewer y permitir la salida. Cisco recibe actualizaciones diarias sobre los tipos de firmas para las aplicaciones teamviewer.
Se puede encontrar en Políticas - > Control de acceso - > Nueva regla - > Pestaña de aplicación Seleccione las aplicaciones de control remoto que desea bloquear aquí. Esto puede requerir una licencia más avanzada, por lo que puede pagar para verificar que eres capaz de hacerlo.
la otra forma, que no requiere ninguna licencia adicional es a través de la prevención de intrusiones. sin embargo, esto no resuelve el problema de querer permitir conexiones salientes. bloqueará completamente las conexiones entrantes y salientes, pero sí tiene la capacidad de monitorear / alertar o bloquear las conexiones establecidas. esta puede ser una alternativa a bloquearla por completo, ya que puede ver de dónde proviene la conexión y, potencialmente, incluirla en su agregador de registros o SIEM y actuar desde allí.
Creo que la forma más fácil de bloquear la conexión entrante de TeamViewer es editar la configuración de TeamViewer. Ir al menú de TeamViewer > Extras > Opción > Avance > Mostrar opción anticipada. En la sección Control de acceso puede cambiar de Acceso completo a Configuración de Costum o cambiar a Negar sesiones de control remoto entrantes , que Bloquea todas las sesiones entrantes a tu PC.
Tal vez Configuración de Costum es la mejor opción que puede permitir, confirmar o rechazar algún servicio al hacer clic configurar ....
Lea otras preguntas en las etiquetas teamviewer cisco