ubuntianer
Goto Top

Fernwartung wie z.B. Teamviewer, Netviewer, etc. wie kann man das in einem Unternehmen unterbinden

Wie kann man solche Tools in einem Unternehmen steuern bzw. verbieten per Firewall, Policies etc. ?
wie wird das bei euch gehandhabt ?

Hallo,

es gibts ja mittlerweile etliche Remotetools die über Port 80 bzw. über einen Proxy eine
Remoteverbindung herstellen können.

Nur ist es ja so, dass dies nicht immer gewollt oder erlaubt ist. (IT-Sicherheitsrichtlinie)
Die Frage ist nun wie kann ich solche Tools überwachen und welche Erfahrungen positiv/negativ habt Ihr
schon gemacht? Die User wissen ja nicht immer sofort welche Risiken Sie damit eingehen....

LG ubuntianer

Content-ID: 94146

Url: https://administrator.de/forum/fernwartung-wie-z-b-teamviewer-netviewer-etc-wie-kann-man-das-in-einem-unternehmen-unterbinden-94146.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

Arch-Stanton
Arch-Stanton 11.08.2008 um 16:40:03 Uhr
Goto Top
Das sollte doch eher eine Sache der "Erziehung" sein, denke ich.

Gruß,
Arch Stanton
ubuntianer
ubuntianer 11.08.2008 um 16:43:58 Uhr
Goto Top
Bei 1000 Mitarbeiter gibt es keine Erziehung!

Und es ist auch nicht die Erziehung sondern offtmals die Unwissenheit der Mitarbeiter

LG ubuntianer
Btodar
Btodar 11.08.2008 um 16:51:26 Uhr
Goto Top
Vielleicht sollte man den Standard-Internet-port umbiegen (auf 8080 beispielsweise). Diese Konfiguration kann man ja auch verteilen (wie DHCP). Damit könnte man wenigstens die Standardkonfig der Remotetools unterbinden. Man braucht also ein bisschen Knowhow um doch noch raus zu kommen face-wink

MfG BtodaR
ubuntianer
ubuntianer 11.08.2008 um 16:54:56 Uhr
Goto Top
...guter Ansatz, leider bringt das nix!!! das Tool verwendet immer die lokalen Einstellungen
der Clients und da ist die Portnummer (8080 oder z.B. 3128) egal.

Teilweise muss man bei den Tools dies auch manuell einstellen.
Btodar
Btodar 11.08.2008 um 16:56:16 Uhr
Goto Top
hmm...

wie siehts denn mit den lokal benutzerrechten aus? Dürfen die jungs und mädels denn lokal software installieren?

MfG BtodaR
ubuntianer
ubuntianer 11.08.2008 um 17:00:07 Uhr
Goto Top
Nein!, natürlich nicht...das Problem bei Netviewer ist z.B., dass dies nur eine EXE Datei ist.
Also keine Installation....Manche User haben die Möglichkeit EXE Dateien runter zu laden.
Andere bekommen z.B. gebrannte CD´s dabei brennen Service-Unternhemen gleich
das Remotetool in einem Service Verz.
keitel
keitel 11.08.2008 um 17:17:25 Uhr
Goto Top
@ubuntianer
Hallo

Wir Verwenden Netviewer für den Support.

Der Client am anderen ende bekommt eine nummer ohne der geht nichts (bei jeder sitzung ein andere nummer)

Sicherheitprobleme sehe ich überhaupt keine.

Diese Programm ist total Kundenspezifisch ausgelegt

Kunde muß die Verbindung Erlauben + Desktop Fernsteuerung.

Ohne einverständnis des Kunden kann man weder was runterladen oder raufladen.

Mit Taste F11 ist die Verbindung sofort getrennt.

Was gibt es besseres als Fernwartung wenn die Kunde in Innsbruck zuhause ist ,

oder sonst wo auf der Welt.

http://www.netviewer.at/binaries/Netviewer_flyer_vertrieb_de_web_tcm22- ...

mfg
Keitel
uebeltat
uebeltat 11.08.2008 um 17:20:34 Uhr
Goto Top
der Netviewer geht soweit ich weiß doch immer über den Server des Herstellers... Von Netviewer selbst versteht sich...

Eventuell kannst du diese IP(s) in der Firewall oder im Proxy sperren... Was anderes würde mich nicht einfallen...
ubuntianer
ubuntianer 11.08.2008 um 19:13:59 Uhr
Goto Top
Hallo Lars,

folgendes Scenario:

Ein Techniker wird aufgefordert eine EXE auszuführen damit ein externer Dienstleister sich auf den Benutzerpc draufschalten kann.

Sowas möchte ich als Admin steuern können oder mitbekommen...

LG ubuntianer
uebeltat
uebeltat 11.08.2008 um 20:22:39 Uhr
Goto Top
Sorry, hab mich durch die vielen Antworten verwirren lassen...

Ideen zum Sperren hätte ich (noch mehr), aber mitbekommen ist schwer... Und steuern noch viel schwerer...
Dani
Dani 12.08.2008 um 02:46:20 Uhr
Goto Top
Moin,
ganz klar, diese Tools / Website sind bei uns alle durch Proxies und Firewallrichtlinien gesperrt. Sprich wir filtern sowohl Outbound als auch Inbound - Datenverkehr. Standardmäßig ist alles verboten. Es werden wirklich nur die Ports nach außen aufgemacht, die notwenig sind. Wird spezielle nochmal auf IP-Adresse / IP-Bereich oder Usernamen bezogen.

Ihr mit 1000 MA solltet eigentlich min. 1 Proxy und 1 Hardwarefireall haben. Somit sollte das kein Problem, dass Ganze zu kontrollieren und verbieten.

Wir haben z.B. eine Firma, die RemoteControl auf einige Clients hat. Dafür haben wir ein VPN-GW aufgestellt. Sprich, die Jungs müssen sich einwählen und erst dann können sie auf die Clients verbinden. In deinem Fall müsste man eben noch n Script bauen, wo eben eine Mail-Benachrichtigung für alle VPN-User "vpn_wartung_00x" erstellt bei Einwahl....

Und lass dir bitte nicht von der Firma ein RemoteControl Programm aufdrücken. Wählt eurer eigenes und wenn es der Firma nicht passt, Pech gehabt. Schließlich gibt es noch andere und die Sicherheit steht mal ganz oben! Darum halte ich von den Tools nicht viel, die über Internetserver der Softwarehersteller o.ä. die Daten kopieren und zur Verfügung stellen. Ein Leck muss sich da auf tun und schon ist das Kind in Brunnen gefallen.


Gruss,
Dani
RabITs
RabITs 12.08.2008 um 16:00:14 Uhr
Goto Top
Normalerweise nutzt Fernwartungssoftware ob Teamviewer oder Netviewer den Port 80 (http tunneling). Wenn Proxy vorhanden, sollte es kein Problem sein zu schauen wohin die Verbindung geht. Diese IPs (IP-Bereiche) einfach sperren, dann gibt es auch keine Verbindung über diese Tools. Das wäre die Ausschluß-Methode, ansonsten eine Whitelist für die IP-Bereiche die angesteuert werden dürfen erstellen.

Ich nutze Teamviewer und bin sehr zufrieden damit. Da gibt es auch die Möglichkeit Verbindungen zu kontrollieren und zu reglementieren (z.B. kein Dateitransfer, keine Steuerung, nur zuschauen, etc.).
Equinox
Equinox 14.08.2008 um 18:32:33 Uhr
Goto Top
Wenn ich das richtig verstanden habe geht es hier nicht " wie sicher ist dies oder jenes RemoteToole" oder " wer benutzt was", sondern:
Wie kann ich das installieren bzw. ausführen eines Remote Tools für die Clients unterbinden, wobei es egal ist woher die Quelle kommt ( Internet download, Cd, Diskette, USB Device,.. ).

  1. IP-Bereiche Sperren würde nichts bringen, schließlich kann ich das Tool auf jedem Rechner laufen lassen.
  2. Portblocking hilft hier nur bei Tools etwas, welche nicht die Standard Verbindung von Browser nimmt.

Selbst wenn du downloads unterbindest, Laufwerke und USB sperrst, gezipte Exe Attachement per Mail blockst, installieren von Software sperrst,.
bist du nicht davor sicher.

Wir haben alles oben genannte, und dennoch ist es mir ohne Probleme möglich das ganze immer wieder zu umgehen, mit eingeschränkten Benutzerrechten.
uebeltat
uebeltat 14.08.2008 um 18:47:55 Uhr
Goto Top
Das nenn ich mal ne qualifizierte Antwort face-wink
Dani
Dani 15.08.2008 um 00:56:04 Uhr
Goto Top
Hi,
also wir haben z.B. Sophos ApplicationControl im Einsatz. Damit kann Programme mit ihrer Signatur an der Client-Firewall gewähren oder sperren. Diese Liste ist nicht editierbar und wird schön sauber über Management-Programm gepflegt.
Die Liste selber, hat mal klein angefangen und ist jetzt eben gross - klar. Aber es funktioniert ohne Probleme und somit sind solche Themen bei uns mit grünen Haken versehen. face-smile
Gepflegt werden die Listen von 10 Admins. Denn jedes Programm das noch nicht auf der Whiteliste steht mit der Signatur "x" wird eine Anfrage an das Management interface geschickt. Dort wird dann entschieden was passieren soll. Sprich, wir wissen ganz genau, welche Software wo am Laufen ist.


Gruss,
Dani
Equinox
Equinox 19.08.2008 um 08:02:04 Uhr
Goto Top
Das ganze basiert aber auf einer Client Lösung mit einer Management Console für die Admins oder?
Wenn dem so ist, wie sicher ist dann die Installierte Client Software gegen Manipulierung, Ordner Löschung, Programm deinstallation und deaktivierung der Engine?
Da es anscheinend mit Virenscanner, Firewall und Application Control ( Modulen? ) ausgestattetes Programm handelt, wäre bei einer "nicht korrekt laufenden" Engine das gesamte Produkt inaktiv.

Da ich nur kurz reingelesen habe kann ich mir durchaus auch irren und lerne gerne von Admins die aktiv damit arbeiten.
Dani
Dani 19.08.2008 um 11:31:04 Uhr
Goto Top
Moin,
richtig...bei uns ist es so, dass die Konsole einmal die SophosAdmins haben und zu anderen das Team "ITApplication". Diese können darüber die Anwendung freigeben oder eben nicht.

Unsere User haben max. Hauptbenutzer bis auf wenige. Klar, wenn einer Adminrechte haben sollte, kann er die Task vllt. auch beenden. Ansonsten ist das Ding bei uns sehr gut bei allen Admins angekommen. Das sind keine Module sondern eigenständige Anwendungen. Sprich sollte einer den AntiVirus abknallen läuft Firewall und AppControl weiterhin und natürlich anders rum.

Des Weitern sieht man in der Mangementconsole sofort, wenn auf einem Rechner einer der Dienste nicht mehr läuft. Sprich, wir haben z.B. so eine Console auf eine große Leinwand gelegt um alles im Auge zu behalten. Somit kann unser ServiceDesk gleich eingreifen und handeln.

Also wir setzen die Software für alle unserer Unternehmen ein...und sind voll zufrieden.


Gruss,
Dani
69011
69011 26.08.2008 um 13:10:18 Uhr
Goto Top
Hallo Kollegen,

jetzt bin ich auf diesen Beitrag gestossen und ich bin genauso davon betroffen und bin auf der suche nach einer lösung.

sprich ich hab hier auch einen isa server 2006 und möchte diese ganzen fernwartungstools wie pc visit, netviewer etc, die über port 80 laufen unterbinden bzw. mitbekommen wann einer dieser mitarbeiter so etwas am laufen hat.

die idee mit den application control ist ja nicht schlecht, aber da ziemlich teuer für mein unternehmen, daher fällt das aus. aber die sache mit den ips sperren ist nicht schlecht, aber da hab ich wiederrum das problem dass ich nicht wirklich alle fernwartungstools kenne, sondern nur die handvoll, die besonders populär sind, wie pc visit.....

wir selber verwenden im support auch pc visit erfolgreich und zufrieden ein um unsere aussendienstmitarbeiter, die mit laptops arbeiten, zu supporten. von daher ist das ne schicke sache.... aber vor zwei wochen hab ich per zufall mitbekommen, wie ein mitarbeiter von uns selbstständig eine remote session mit netviewer mit irgend einem externen kontakt aufgebaut hatte um "da was zu kontrollieren"

genau das macht mir sorgen, ich weiss nicht wie es bei euch läuft, aber meine user sind gefährlich. die lesen irgendwas in der computer bild und machen das hier dann bei mir auch. möchte nicht dass das jetzt rumgeht und meine user mit irgendwelchen typen fernwartung durchführen und wohlmöglich die ein oder andere datei übertragen wird.

von daher verstehe ich die problematik sehr wohl und bin auf der suche nach einer geeigneten lösung um zumindest mal die gängignen fernwartungstools zu unterbinden.

hat jemand rat?

CU

Toni
ubuntianer
ubuntianer 26.08.2008 um 13:21:53 Uhr
Goto Top
Hi germanese,

genau das ist der Punkt!

Ich denke mal es gibt keine Standard-Lösung zumal ich hier den Eindruck bekomme, dass
dieses "Problem" nicht wirklich bei allen Unternehmen eine grosse Rolle spielt.

Also ich bin immer noch auf der Suche nach der richtigen Lösung, natürlich ist es auch abhängig wie man IT-mäßig aufgestellt ist...

Klingt fast schon nach einer Marktlücke für ein Softwareunternehmen face-smile

Grüße
ubuntianer

PS: Als erstes werde ich mal (von Hand) die Kommunikationsserver sperren - ist aber nur eine halbherzige Lösung face-sad
69011
69011 26.08.2008 um 13:43:47 Uhr
Goto Top
ich versteh dich voll und ganz face-wink

bei uns hier war das auch nie als "problem" gesehen, im gegenteil.... du kommst an jeder firewall und router vorbei weil die software das ohnehin überall offene port 80 verwendet. ist so gesehen schon praktisch. und der gegenüber muss das ganze ja auch bestätigen und ne session id eingeben sonst geht nichts. nicht so wie bei winvnc wo ich mich einfach so auf deinen rechner draufschalten kann und du merkst nichts davon.

aber jetzt wo ich das mit dem user mitbekommen habe, der das einfach so macht und sich dessen garnicht bewusst ist was er da tut, mach ich mir schon gedanken. unsere aufgabe als admin besteht ohnehin darin den user vor sich selbst zu schützen.... klingt traurig ist aber wirklich so....

ja das mit dem kommunikationsserver scheint mir auch die vorerst schnellste und beste möglichkeit, musst halt die liste ständig aktuell halten, aber ich denke wenn ich die bekanntesten und am meist verbreitesten sperre bin ich schon mal ein stück weiter.

wie findest du die dann raus? ganz normal über den isa monitoring? hast du vielleicht schon ne liste mit den IPs von den Kommunikationsserver, die du mir schicken kannst? wär schon cool face-smile
Driver401
Driver401 28.10.2008 um 16:15:49 Uhr
Goto Top
Hallo auch,

bin ebenfalls auf der Suche nach einer einfachen Sperrmöglichkeit für solche Tools. Habt Ihr inzwischen schon Erfahrungen mit den Sperren oder noch andere Lösungen gefunden?

Die IP's zu sperren dürfte wohl wirklich nur zum Teil nutzen, da ja auch direkte Verbindungen ohne die Kommunikationsserver möglich sind soweit ich das jetzt herausgefunden habe.

Mein Lösungsansatz ging ursprünglich dahin, die Anwendungen (*.exe) über Policies zu sperren.

Gruß
Jürgen
kleiner
kleiner 18.06.2009 um 15:02:12 Uhr
Goto Top
Moin,

damit kann man die Noobs ärgern:

Eine Gruppenrichtlinie erstellen und dann unter Benutzerkonfiguration >> Administrative Vorlagen >> System >> folgende “Windows“ Applikationen sperren TeamViewer.exe, TeamViewer_Service.exe, TeamViewer_Setup_de.exe

Gruß
kleiner
Driver401
Driver401 18.06.2009 um 15:33:47 Uhr
Goto Top
Die Policy ist nicht das Problem. Wenn das Programm aber umbenannt wird, funktionierts trotzdem.
ithi
ithi 24.07.2009 um 10:47:06 Uhr
Goto Top
Aaaalso. Ich hole mal aus wie eine Lösung für eine Sperrung/eines nicht-Zulassens aussehen könnte und deren problematischen Umsetzung.

Teamviewer ist es möglich vielen domänenweiten Sicherheitskonzepten auszuweichen. Denn diese Sicherheitskonzepten beruhen häufig auf die Kontrolle von kontrollierbaren Verbindungen. Dass heißt, "was ich kontrollieren kann, kontrolliere ich. Was nicht... muss "OK/sauber" sein. VPN-Verbindungen können aufgrund einer Verschlüsselung und anderer Gründe nicht eingesehen werden. Und da diese Verbindung noch von einer internen IP-Adresse aufgebaut wird und das IDS nicht anschlägt, wird diese Verbindung in den meisten Fällen erlaubt.
Warum das so funktioniert? Eine Ausschlussprinzip-Regelung bei der Konfiguration von Sicherheitssystemen ist den meisten Admins (auch mir) zu aufwändig.

Da Teamviewer nicht in den Viren-Signaturen der AV-Programmhersteller als Bedrohung auftaucht, wird es auch von diesen Programmen nicht geblockt/der Zugriff gesperrt.

Einige Sicherheitssoftware erlaubt anhand von Datei-Signaturen, Ermittlung von Hash-Werten (Checksummen) der Software eine Identifizierung der Software/der Kommunikationswege und kann diese danach sperren.
Beispiele:
• NOD32-Antivirus (von mir getestet)
• Sophos-ApplicationControl
• CynapsPro ApplicationPro (von mir getestet)

Andere Programme wie Hamatchi und Skype funktionieren nach einem ähnlichen Prinzip wie Teamviewer und lassen sich daher genauso schwierig handhaben, oder einschränken. Diese Anwendungen nur dem Datei-Namen nach zu sperren ist zwecklos. Es ist bekanntlich unwirksam, da man ja einfach die .exe-Datei umbenennen, oder eine portable Version starten lassen könnte usw. Tricks gibt es genug.

Die Firma TeamViewer GmbH sagt in einem Telefongespräch aus, dass es kaum möglich ist, dieses Programm zu stoppen. Außer den Möglichkeiten die oben beschrieben sind kann man noch die IP-Adressen der Teamviewer-Server sperren, die eine Verbindung vermitteln. Allerdings gibt es mit einem gewissen Aufwand die Möglichkeit einen solchen Server selber zu hosten. Womit die Sperrung der Server-IP-Adressen nur bedingt eine Lösung darstellt. Die Teamviewer GmbH gibt zudem keine Garantie, dass die Server-IP-Adressen sich nicht ändern.

Ein weiter Lösungsansatz (von der TeamViewer GmbH selbst so ausgegeben) wäre,
• Teamviewer zu installieren
• eine Konfiguration einzurichten, die jede Kommunikation nicht erlaubt
• Teamviewer nur mit Adminrechten beenden/konfigurieren zu dürfen
Da Teamviewer immer nur über eine Instanz läuft und nicht zweimal gestartet werden kann, würde ein weiteres starten eines Clients mit eigener Konfiguration nicht möglich sein. Teamviewer wäre somit Flügellahm. Das Problem, da sich Teamviewer somit auf den Rechnern finden lassen würde, müssten wir es Lizenzieren, was auch mit Kosten verbunden wäre.

Nicht gerade praktikabel.

Wie jetzt jemand mit diesem Problem umgeht, bleibt jedem Admin selbst überlassen. Ich sehe diese Programme, alleine der Möglichkeiten für Standard-User (ohne Admin-Rechte) wegen, als extreme Sicherheitslücke. Was nützt mir die totale Kontrolle von Speichermedien (USB-Sticks/ext. HDDs) im Unternehmen, wenn die User mit solchen Programmen Daten im GB-Bereich gleich entführen, zur Bildzeitung hin schaufeln können?!
Ich werde wohl noch ein wirksames Tool, welches auf Checksumme ein Programm zu sperren vermag, einsetzen.

Mit freundlichen Grüßen

Ithi

PS: Ich hatte mich dazu ausführlich mit Kaspersky und der Teamviewer GmbH auseinander gesetzt...
Meine Forenbeiträge dazu im Kaspersky-Forum findet ihr hier: http://forum.kaspersky.com/index.php?showtopic=125127
ubuntianer
ubuntianer 24.07.2009 um 10:53:28 Uhr
Goto Top
Hallo,

in der Zwischenzeit habe wir eine Lösung gefunden:

Mittels Bluecoat ProxySG und AV können wir den Download von Remotetools verhindern.

Und intern im Netz gibt es ja Möglichkeiten Remotetools zu suchen und zu löschen face-smile

LG ubuntianer