¿Qué tan seguro es TeamViewer para el soporte remoto simple?

Hay un par de diferencias entre usar un proveedor externo (como teamviewer) y una solución de control remoto directo (por ejemplo, VNC)

Team Viewer tiene ventajas en que no requiere que se abran puertos en el firewall para las conexiones entrantes, lo que elimina un posible punto de ataque. Por ejemplo, si tiene algo como la escucha de VNC (y no es posible restringir las direcciones IP de origen para las conexiones), si existe una vulnerabilidad de seguridad en VNC, o si se usa una contraseña débil, existe el riesgo de que un atacante pueda Utiliza este mecanismo para atacar a tu cliente.

Sin embargo, hay una compensación para esto, que es que estás brindando un nivel de confianza a las personas que crean y ejecutan el servicio (en este caso, teamviewer). Si su producto o servidores están comprometidos, es posible que un atacante pueda usar eso para atacar a cualquiera que use el servicio. Una cosa a tener en cuenta es que si usted es un cliente que paga por el servicio, es posible que tenga una devolución contractual si es pirateada (aunque es muy probable que dependa del servicio en cuestión y de una gran cantidad de otros factores)

Como todo en seguridad, es una compensación. Si tiene un producto de control remoto decentemente seguro y lo administra y controla bien, entonces me inclino a decir que es probable que sea una opción más segura que depender de un tercero de cualquier tipo.

Dicho esto, si los reclamos en el sitio web de TeamViewers son precisos, parece probable que estén prestando bastante atención a la seguridad, y también podría considerar que si alguien piratea a TeamViewer (que tiene un número bastante grande de clientes), la posibilidad de que te ataquen :)

Eche un vistazo a este análisis de seguridad de TeamViewer. En resumen, definitivamente no es seguro en redes que no son de confianza: enlace

Conclusión:

  

Mi recomendación es que TeamViewer no se use en una red que no sea de confianza o con la configuración de contraseña predeterminada. TeamViewer admite el aumento de la seguridad de la contraseña a una longitud configurable, y el uso de códigos de acceso alfanuméricos, pero es poco probable que los usuarios ocasionales hayan cambiado esta configuración. Tenga en cuenta que hay una gran superficie de ataque en TeamViewer que necesita más análisis, como el no autenticado. la comunicación de texto simple entre el cliente y el servidor (más de 100 comandos son compatibles y analizados en el lado del cliente), así como muchos comandos de igual a igual, enrutados a través del servidor de la puerta de enlace. A pesar del peligro de esta superficie de ataque tan expuesta, el riesgo se ve mitigado por un uso extensivo de std :: string y std :: vector en lugar de cadenas y matrices de estilo C.

Solo quiero agregar una respuesta que creo que aún no se ha tratado. Cuando te conectas a través de teamviewer a otra computadora, compartes tu portapapeles con esa computadora (por defecto).

Por lo tanto, todo lo que copia en su portapapeles también se copia en el portapapeles de la computadora a la que está conectado. Al instalar una aplicación de seguimiento del portapapeles, como ClipDiary , en la computadora host, puede mantener un registro de todo lo copiado en el portapapeles por la persona que se conecta a usted.

La mayoría de las respuestas aquí se centran en la seguridad de la computadora que se usa como host, pero esto también es un problema de seguridad potencial para la computadora que se conecta al host, especialmente si utiliza una herramienta de administración de contraseñas como KeePass. ya que la computadora host podría tener un registro de nombres de usuario y contraseñas (y potencialmente URL si también copia la URL de KeePass a su navegador) en el historial del portapapeles una vez que finalice su sesión.

No sé lo suficiente sobre TeamViewer para evaluar sus riesgos o si es una buena opción para su situación. Pero voy a repetir un comentario de @Lie Ryan. Si implementa TeamViewer para este propósito, una forma potencial de reducir el riesgo de ataques remotos es configurar un firewall (en ambos puntos finales) que bloquee todo acceso a los puertos de TeamViewer, excepto desde las máquinas autorizadas.

Sobre TeamViewer, hay un par de cosas que creo que deberías tener en cuenta:

• No puede mirar fácilmente la fuente y verificar su seguridad, y es una superficie de ataque que se enfrenta a la red. Eso no es tan bueno: si puedes hacer que un servidor OpenSSH con autenticación basada en contraseña desactiva la parte de Internet, hazlo. (Es posible que desee darle al usuario un método para iniciar / detener el servidor). A través del túnel OpenSSH, puede usar el VNC vinculado al servidor local para conectarse a la pantalla. Por supuesto, este método no funciona tan bien si las PC en cuestión están detrás de un firewall NAT / demasiado entusiasta y usted no tiene una manera de estar detrás de ese firewall. Ideas para sortearlo:
  • Podría usar un truco como enlace para abrirlos a conexiones desde internet.
  • Podría hacer el túnel SSH en la dirección inversa: cuando quieren asistencia, inician una secuencia de comandos que hace un túnel SSH a su servidor de asistencia y conecta una conexión TCP con el servidor VNC a la conexión SSH. Su servidor de soporte tiene la clave pública del cliente en su archivo authorized_keys con un comando forzado que conecta al cliente a su cliente VNC inverso.
• Si lo usas, asegúrate de nunca tener un sistema funcionando con ese estúpido sistema de código de acceso de 4 dígitos. Sí, tienen tiempos de bloqueo exponenciales, pero lo primero es que no desea que el soporte se bloquee tan fácilmente y, en segundo lugar, ¿qué pasa si alguien intenta una combinación aleatoria en 100000 PC que ejecutan teamviewer? Obtendrá ~ 100 conexiones establecidas sin encontrarse con ningún bloqueo, creo, afaik, el bloqueo es completamente del lado del cliente.

Teamviewer no es un período seguro. Piénsalo. Teamviewer puede configurarse para usar siempre el mismo ID de socio y contraseña. El usuario puede hacer clic en un correo electrónico para crear e iniciar un código similar. Gran herramienta? Absolutamente ... para tipos como yo que admiten un gran grupo de usuarios remotos que no pueden distinguir los dos puntos de un punto y coma. Pero seguro? De ninguna manera no cómo. Teamviewer permite el acceso remoto a una PC y puede eludir Cisco VPN o cualquier otra seguridad VPN. Esta mierda acerca de que el usuario final tiene que entregar la identificación del socio y la aprobación es solo eso ... mierda. Esto se puede conseguir muy fácilmente. No me malinterpretes Me gusta Teamviewer. Pero no te engañes, no es seguro en absoluto.

Sugeriría una solución nativa como VNC, que le permita omitir soluciones alternativas como TeamViewer en WINE, etc., y utilizar la utilidad de administración de paquetes de sistemas operativos locales para garantizar que la solución se mantenga actualizada. Por seguridad, use un túnel SSH. Esto garantiza que todas las comunicaciones de VNC estén cifradas, incluido el protocolo inicial de autenticación / contraseña de VNC. Esto es especialmente importante ya que muchas implementaciones de VNC son bastante inseguras.

Además, como sugirió otro encuestado, use el filtrado de IP para asegurarse de que solo aquellos en ciertas direcciones puedan comunicarse con el servidor VNC.

Una forma en que lo manejamos: si el cliente solicita la disponibilidad de TeamViewer, usuario inicia TeamViewer a pedido y admin lo mata al completar las tareas. Otra solución que implementamos en tal caso, es que el administrador inicia TeamViewer desde una sesión de SSH. Alternativamente, puede buscar en las herramientas de uso compartido de escritorio "invitarme". O mi favorito: reflejar el Xsession a través de SSH en su escritorio.

Teamviewer le da al usuario de la computadora la capacidad de dar una sesión remota a cualquier PC en Internet. Entonces, ¡la seguridad de la red pasa al usuario final! Eso es un no-go Te aconsejo que uses VNC.