Re: [bofhers] Bloquear teamviewer entrante (pero no established ni saliente)
- From: TarodBOFH <bofh@xxxxxxxxxxxxx>
- To: bofhers@xxxxxxxxxxxxx
- Date: Fri, 16 May 2014 10:41:53 +0200
Ese es el tema, la app tb tiene uso legítimo.
USER <--> <servidor teamviewer> <--> IT
Si bloqueo IT <--> <servidor teamviewer> (en cualquiera de los dos
sentidos) no podrá tampoco conectarse legítimamente.
Abriré ticket porque entiendo que tiene que haber una forma de bloquearlo /
permitir el acceso sin tener que ponerme a jugar con marks, established o
related.
2014-05-16 10:37 GMT+02:00 jrojo <jrojoal@xxxxxxxxx>:
> Yo bloquearía los puertos de entrada de la aplicación y los redirigiría
> hacia la VPN con un bonito mensaje de bienvenida tipo ( Eh tu... se pué
> sabé ande vas, pero tu quien te cree querej? Anda haj laj cosah bieng o te
> caneo!!! Firmado: Tu querido BOFH )
>
>
> 2014-05-16 10:17 GMT+02:00 M. Alex Hermosilla <sasha.hs@xxxxxxxxx>:
>
> Has mira los puertos abiertos cuando la conexion es entrante? Tal vez
>> bloqueando puertos puedes bloquearlo.
>> On 16 May 2014 10:15, "TarodBOFH" <bofh@xxxxxxxxxxxxx> wrote:
>>
>>> Si, el tema es que el usuario es quien administra Teamviewer. Y lo que
>>> ha hecho -en lugar de VPN- es porque le resulta "más comodo" (y siendo
>>> quién adminsitra TV podría volver a cambiarlo).
>>>
>>> Por eso, además de las opciones de TV, buscaba la forma de bloquearlo ya
>>> sea a) por política de win y bloquear el Firewall local del equipo o b)
>>> firewall perimetral. Pero claro, manteniendo las conexiones que él inicia.
>>>
>>> Supongo que se podría con DPI y creando una regla muy muy específica,
>>> pero no veo la forma fácil de hacerlo con reglas básicas :$
>>>
>>>
>>> 2014-05-16 9:54 GMT+02:00 Marotillo <marotillo@xxxxxxxxx>:
>>>
>>>> Perdón, que le di a enviar antes de tener el correo completo.
>>>>
>>>> Si le configuras que admita exclusivamente conexiones LAN entrantes, al
>>>> menos ya le estás forzando a que use la VPN primero para poder conectarse a
>>>> ese equipo y ya podéis auditar...
>>>>
>>>>
>>>> El 16 de mayo de 2014, 9:49, Eduardo G. Aguilar Grandes <
>>>> yacopi88@xxxxxxxxx> escribió:
>>>>
>>>> Es decir, que no solo puedes aplicar listas en base a IDs, sino también
>>>>> a máquinas registradas porque a la derecha te sale el arbol de todas.
>>>>> Pues a la tarde miro lo de las listas y te digo algo
>>>>>
>>>>>
>>>>> El 16 de mayo de 2014, 9:45, TarodBOFH <bofh@xxxxxxxxxxxxx> escribió:
>>>>>
>>>>> Están registrados. Es una cuenta corporativa con varios seats
>>>>>> flotantes. La cuenta de administrador de la corporativa se gestiona desde
>>>>>> Italia (llevamos un par de años tratando de tener el control al menos en
>>>>>> nuestras cuentas...)
>>>>>>
>>>>>>
>>>>>> 2014-05-16 9:26 GMT+02:00 Eduardo G. Aguilar Grandes <
>>>>>> yacopi88@xxxxxxxxx>:
>>>>>>
>>>>>> Teamviewer tiene opción de listas negras, al menos en la versión 9.
>>>>>>> Bueno, y un montón de mierdas más, pero creo que no es lo que necesitas
>>>>>>> en
>>>>>>> estos momentos.
>>>>>>>
>>>>>>> Os conectais por ID, o teneis las clientes registrados contra algun
>>>>>>> mail?
>>>>>>>
>>>>>>> Con mas datos igual puedo simularlo con mis máquinas y decirte
>>>>>>>
>>>>>>>
>>>>>>> El 16 de mayo de 2014, 9:22, TarodBOFH <bofh@xxxxxxxxxxxxx>escribió:
>>>>>>>
>>>>>>> La cosa es sencilla:
>>>>>>>> - Usamos teamviewer para dar soporte a la gente que está fuera.
>>>>>>>> - Un IT User se ha conectado desde casa a su ordenador de la ofi
>>>>>>>> porque conoce los pass de teamviewer.
>>>>>>>> - Se ha conectado desde su equipo al DC y cambiado una cuenta.
>>>>>>>>
>>>>>>>> Normalmente esto lo hacemos desde una VPN ya que así auditamos. El
>>>>>>>> tema es que ha usado una herramienta (teamviewer) para conectarse a su
>>>>>>>> equipo (que está en una red privilegiada) y desde ahí, la auditoría no
>>>>>>>> es
>>>>>>>> tan "estricta".
>>>>>>>>
>>>>>>>> ¿Sabeís alguna forma de que se pueda usar Teamviewer para
>>>>>>>> conectarse a otros equipos pero no para conectarse a ESE equipo?
>>>>>>>>
>>>>>>>> Algo como "instalar solo cliente" en lugar de "cliente y servidor"
>>>>>>>>
>>>>>>>> Salud!
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>>
>>>>>>>
>>>>>>> Saludos,
>>>>>>>
>>>>>>> Eduardo G. Aguilar Grandes
>>>>>>>
>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>>
>>>>>
>>>>> Saludos,
>>>>>
>>>>> Eduardo G. Aguilar Grandes
>>>>>
>>>>
>>>>
>>>
>
>
> --
> --
> Josep R. Rojo
>
Other related posts:
