Frage:
Wie sicher ist TeamViewer für einfachen Remote-Support?
mgibsonbr
2012-02-25 15:10:22 UTC
view on stackexchange narkive permalink

Ich stelle ein webbasiertes ERP-System für einen Kunden bereit, sodass sich sowohl der Server als auch die Client-Computer im Intranet des Kunden befinden. In einer anderen Frage wurde mir geraten, TeamViewer nicht für den Zugriff auf den Server zu verwenden, sondern mit sichereren Mitteln, und ich auch. Aber jetzt bin ich besorgt darüber, ob TeamViewer für den Client geeignet ist oder nicht Maschinen, die für dieses System nicht "speziell" sind, aber ich möchte trotzdem weder ihre aktuelle Sicherheit verringern, noch den Computer auf meiner Seite gefährden.

Meine Frage also: ist, ob TeamViewer "gut genug" für eine einfache Remotedesktopunterstützung ist oder nicht, wo es lediglich verwendet wird, um die Benutzer bei der Verwendung des Systems zu unterstützen, und ob ich zusätzliche Maßnahmen ergreifen muss (wie Ändern der Standardeinstellungen, Ändern die Firewall usw.), um ein zufriedenstellendes Sicherheitsniveau zu erreichen.

Einige Details:

  1. Ich habe bereits die Sicherheitserklärung des Unternehmens gelesen und meiner Meinung nach ist alles in Ordnung. diese Antwort in dieser anderen Frage hat mich jedoch in Zweifel gezogen. Nach einigen Recherchen macht mir insbesondere UPnP keine Sorgen mehr, da die Funktion, die es verwendet - DirectIn - standardmäßig deaktiviert ist. Aber ich frage mich, ob es weitere Dinge gibt, die ich beachten sollte, die in diesem Dokument nicht behandelt werden.

  2. Der Wikipedia-Artikel über TeamViewer besagt, dass der Linux-Port verwendet Wein. AFAIK, das die Netzwerksicherheit nicht beeinträchtigt, ist das richtig?

  3. Letztendlich liegt die Verantwortung für die Sicherung der Netzwerke meiner Kunden nicht bei mir, sondern bei ihnen. Ich muss sie jedoch über die Möglichkeiten der Einrichtung dieses Systems beraten, insbesondere weil die meisten von ihnen kleine und mittlere NRO ohne eigenes IT-Personal sind. Oft kann ich kein "ideales" Setup anbieten, aber zumindest möchte ich Ratschläge geben wie: "Wenn Sie TeamViewer auf diesem Computer installieren, können Sie X, Y und nicht ausführen Z drin, weil ich es deaktivieren werde "; oder: "Sie können TeamViewer auf jedem normalen Computer installieren, der in der Standardkonfiguration sicher ist. Nur dieser * zeigt auf den Server * ist verboten."

  4. Meine Die Wahl von TeamViewer lag ausschließlich daran, dass die Installation auf Windows- und Linux-Computern unkompliziert war und einfach funktioniert (auch auf die Kosten kann zugegriffen werden). Aber ich bin offen für andere Vorschläge. Ich habe sowohl wenig Budget als auch spezialisiertes Personal, daher greife ich zu den einfacheren Tools, aber ich möchte eine bewusste Entscheidung treffen, was auch immer das ist.

    5. ol>
Ich bevorzuge eine selbstzerstörende On-Demand-Lösung wie join.me.
Join.me ist ein Logmein-Dienst, der nicht gerade Linux-freundlich ist. Denken Sie daran, wenn Sie nicht in Wein verliebt sind.
@Joel Ich bin verliebt in Wein, obwohl ich finde, dass das Mischen mit Wein mich unglaublich unproduktiv macht
Ich würde empfehlen, RHUB Remote Support Appliances vor Ort bereitzustellen. Sie arbeiten hinter der Firewall Ihres Unternehmens und sind daher im Vergleich zu gehosteten Diensten sehr sicher.
UltraVNC bietet ein selbstzerstörendes, vom Client initiiertes Verbindungstool, das VNC-kompatibel ist und auch Windows-Clients mit Remote-Anzeige anzeigen kann.
Neun antworten:
Rory McCune
2012-02-29 02:56:48 UTC
view on stackexchange narkive permalink

Es gibt einige Unterschiede zwischen der Verwendung eines Drittanbieters (z. B. Teamviewer) und einer direkten Fernsteuerungslösung (z. B. VNC).

Team Viewer hat den Vorteil, dass keine Ports erforderlich sind in der Firewall für eingehende Verbindungen geöffnet werden, wodurch ein potenzieller Angriffspunkt entfernt wird. Wenn Sie beispielsweise VNC abhören (und es nicht möglich ist, Quell-IP-Adressen für Verbindungen einzuschränken), besteht bei VNC eine Sicherheitslücke oder ein schwaches Kennwort besteht das Risiko, dass ein Angreifer dies könnte Verwenden Sie diesen Mechanismus, um Ihren Kunden anzugreifen.

Hierfür gibt es jedoch einen Kompromiss: Sie geben den Personen, die den Service erstellen und ausführen (in diesem Fall Teamviewer), ein gewisses Maß an Vertrauen ). Wenn ihr Produkt oder ihre Server kompromittiert sind, kann ein Angreifer damit möglicherweise jeden angreifen, der den Dienst nutzt. Eine Sache, die Sie berücksichtigen sollten, ist, dass Sie als zahlender Kunde des Dienstes möglicherweise ein vertragliches Comeback erhalten, wenn er gehackt wird (obwohl dies sehr wahrscheinlich vom betreffenden Dienst und einer ganzen Reihe anderer Faktoren abhängt).

Wie alles in der Sicherheit ist es ein Kompromiss. Wenn Sie ein anständig sicheres Fernbedienungsprodukt haben und es gut verwalten und steuern, würde ich sagen, dass dies wahrscheinlich eine sicherere Option ist, als sich auf Dritte jeglicher Art zu verlassen.

Das heißt, wenn die Behauptungen auf der TeamViewers-Website korrekt sind, ist es wahrscheinlich, dass sie der Sicherheit ein angemessenes Maß an Aufmerksamkeit schenken, und Sie können dies auch in Betracht ziehen, wenn jemand TeamViewer hackt (der eine ziemlich große Anzahl hat) von Kunden) wie groß ist die Chance, dass sie dich angreifen :)

Sehr aufschlussreich! Im Moment bin ich geneigt, TeamViewer zu vertrauen. Mein eigener Mangel an Fachwissen zu diesem Thema könnte eine benutzerdefinierte Lösung kurzfristig riskanter machen als eine vorgefertigte (solange diese Lösung natürlich eine gute ist). Aber ich werde sicherstellen, dass diese Argumente in meiner zukünftigen Strategie gewichtet werden.
+1 für "Alles in Sicherheit ist ein Kompromiss". Dies ist eine Antwort auf viele Fragen
Ich würde die Möglichkeit, ein Ziel zu sein, nicht so schnell verwerfen, nur weil "was ist die Chance"?
@micsthepick Es gibt einen Smiley.Ich denke, es war Sarkasmus, denn offensichtlich hat jeder Teamviewer-Kunde ein Problem, wenn der Teamviewer-Service beeinträchtigt wird.
Bill Johnson
2013-06-01 02:34:23 UTC
view on stackexchange narkive permalink

Sehen Sie sich diese Sicherheitsanalyse von TeamViewer an. Kurz gesagt, es ist definitiv nicht sicher in nicht vertrauenswürdigen Netzwerken: https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-3

Schlussfolgerung:

Ich empfehle, TeamViewer nicht in einem nicht vertrauenswürdigen Netzwerk oder mit den Standardkennworteinstellungen zu verwenden. TeamViewer unterstützt zwar das Erhöhen der Kennwortstärke auf eine konfigurierbare Länge und die Verwendung alphanumerischer Passcodes. Es ist jedoch unwahrscheinlich, dass Gelegenheitsbenutzer diese Einstellung geändert haben. Beachten Sie, dass TeamViewer eine erhebliche Angriffsfläche enthält, die mehr Analysen erfordert, z. Klartextkommunikation zwischen Client und Server (über 100 Befehle werden auf der Clientseite unterstützt und analysiert) sowie viele Peer-to-Peer-Befehle, die über den Gateway-Server geleitet werden. Trotz der Gefahr für diese stark exponierte Angriffsfläche wird das Risiko durch die weitgehende Verwendung von std :: string und std :: vector anstelle von Strings und Arrays im C-Stil etwas gemindert.

Das sind ziemlich gute Informationen, ich wünschte, ich könnte dich mehr als einmal positiv bewerten! Ich möchte nur darauf hinweisen, dass viele der auf der verlinkten Seite dargestellten Gefahren gemindert werden können, indem TeamViewer nicht unbeaufsichtigt ausgeführt wird, sondern nur bei Bedarf geöffnet und sofort nach Gebrauch geschlossen wird. Das schützt Sie nicht vor einem Lauscher, aber wenn Sie [wie in meinem Fall] können, können Sie auch die Fernbedienung deaktivieren, sodass ein aktiver Angreifer nicht viel Schaden anrichten kann.
@mgibsonbr: Sie können den SE-Kopfgeldmechanismus verwenden, um einen Teil Ihres Vertreters für seine Antwort an Bill zu spenden.
@mgibsonbr, Bill, Bitte fassen Sie die 3 Seiten zusammen und erstellen Sie eine Zusammenfassung zu dieser Antwort.
Der obige Link funktioniert nicht mehr.
JMK
2013-05-03 16:17:22 UTC
view on stackexchange narkive permalink

Ich möchte nur eine Antwort hinzufügen, die meiner Meinung nach noch nicht angesprochen wurde. Wenn Sie über Teamviewer eine Verbindung zu einem anderen Computer herstellen, geben Sie Ihre Zwischenablage für diesen Computer frei (standardmäßig).

Daher wird alles, was Sie in Ihre Zwischenablage kopieren, auch in die Zwischenablage des Computers kopiert, mit dem Sie verbunden sind. Durch die Installation einer Zwischenablage-Tracking-Anwendung wie ClipDiary auf dem Host-Computer können Sie alles aufzeichnen, was von der mit Ihnen verbundenen Person in die Zwischenablage kopiert wurde.

Die meisten Die Antworten hier konzentrieren sich auf die Sicherheit des Computers, der als Host verwendet wird. Dies ist jedoch auch ein potenzielles Sicherheitsproblem für den Computer, der eine Verbindung zum Host herstellt, insbesondere wenn Sie ein Kennwortverwaltungstool wie KeePass verwenden, wie dies der Hostcomputer möglicherweise könnte Führen Sie nach Beendigung Ihrer Sitzung eine Aufzeichnung der Benutzernamen und Kennwörter (und möglicherweise der URLs, wenn Sie die URL auch von KeePass in Ihren Browser kopieren) in den Verlauf der Zwischenablage.

Guter Punkt! Es ist sehr leicht, dieses Detail zu vergessen, und Sie wissen zu keinem Zeitpunkt, was sich in der Zwischenablage befindet, da es unsichtbar ist. Ich gehe also lieber auf Nummer sicher und deaktiviere diese Option.
@JMK, Wow, gibt es keine Möglichkeit, dieses Verhalten der automatischen Zwischenablage zu deaktivieren?
@Pacerier Ich denke, Sie können einfach * Zwischenablagesynchronisation * unter Erweiterte Optionen in den Teamviewer-Einstellungen deaktivieren.
@JMK, Es ist seltsam, dass die anderen Antworten hier widersprüchlich sind. Einige sagen, es sei sicher, andere sagen, es sei nicht sicher.
Meine Erfahrung mit TeamViewer ist, dass die Synchronisierung der Zwischenablage bei der Erstinstallation deaktiviert ist. Sie müssen es selbst einschalten, aber danach bleibt es eingeschaltet. Und ich bin nicht sicher, ob die Einstellung pro Verbindung ist.
@Heraldmonkey Ich habe dies im Mai 2013 beantwortet, vielleicht hat sich das seitdem geändert
D.W.
2012-02-25 20:44:32 UTC
view on stackexchange narkive permalink

Ich weiß nicht genug über TeamViewer, um Ihnen eine Einschätzung der Risiken zu geben oder ob es eine gute Wahl für Ihre Situation ist. Aber ich werde einen Kommentar von @Lie Ryan wiederholen. Wenn Sie TeamViewer für diesen Zweck bereitstellen, besteht eine mögliche Möglichkeit, das Risiko von Remoteangriffen zu verringern, darin, eine Firewall (auf beiden Endpunkten) einzurichten, die den gesamten Zugriff auf die TeamViewer-Ports außer von autorisierten Computern blockiert.

TeamViewer verwendet [an beiden Enden ausgehender Port 80] (http://www.teamviewer.com/de/kb/10-Which-ports-does-TeamViewer-use.aspx). Ich weiß nicht, ob es eine End-to-End-Verschlüsselung verwendet oder ob die TeamViewer-Firma den Datenverkehr auf ihren Relay-Servern sehen / ändern kann.
Die [Webseite] (http://www.teamviewer.com/de/products/security.aspx) behauptet, dass sie eine End-to-End-Verschlüsselung mit Kryptografie mit öffentlichen / privaten Schlüsseln verwenden, damit die Routing-Server den Datenverkehr nicht entschlüsseln können. Es wird jedoch nicht näher darauf eingegangen, wie das Vertrauen des öffentlichen Schlüssels verwaltet wird.
@HendrikBrummermann "geht nicht auf Details ein, wie das Vertrauen des öffentlichen Schlüssels verwaltet wird" - laut [dieser Antwort] (http://security.stackexchange.com/a/36773/6939) nicht sehr gut ...
@mgibsonbr, Welcher Abschnitt genau?
@Pacerier ähm, es ist fast 3 Jahre her, seit ich diese Frage gestellt habe, aber wenn ich mich richtig erinnere, ist es dieser Teil in Teil 3: "Beachten Sie, dass die erste RequestRoute2-Antwort, die den öffentlichen Schlüssel des Ziels enthält, in keiner Weise authentifiziert wird (...), so dass es trivial sein kann ... "Außerdem:" Wenn die Aushandlung der Peer-to-Peer-Verschlüsselung aus irgendeinem Grund fehlschlägt, sendet einer der Clients (...) eine CMD_RequestNoEncryption-Befehl, mit dem die gesamte Peer-to-Peer-Verschlüsselung für die Sitzung deaktiviert wird. Das Deaktivieren der Verschlüsselung ist stumm und hat keine vom Benutzer wahrnehmbaren Auswirkungen. "
@mgibsonbr, Hmm, es sollte eine Einstellung geben, die diese stille Deaktivierung der Verschlüsselung stoppen kann.
thejh
2013-04-03 23:17:52 UTC
view on stackexchange narkive permalink

Bei TeamViewer sollten Sie einige Dinge beachten:

  • Sie können die Quelle nicht einfach anzeigen und ihre Sicherheit überprüfen, und sie ist netzwerkfähig Angriffsfläche. Das ist nicht so schön - wenn Sie in der Lage sind, einen OpenSSH-Server mit kennwortbasierter Authentifizierung zu erstellen, deaktivieren Sie stattdessen den mit dem Internet verbundenen Teil. (Möglicherweise möchten Sie dem Benutzer eine Methode zum Starten / Stoppen des Servers geben.) Über den OpenSSH-Tunnel können Sie einfach localhost-gebundene VNC verwenden, um eine Verbindung zur Anzeige herzustellen. Natürlich funktioniert diese Methode nicht so gut, wenn sich die betreffenden PCs hinter einer NAT / übereifrigen Firewall befinden und Sie keine Möglichkeit haben, hinter diese Firewall zu gelangen. Ideen, um das Problem zu umgehen:
    • Sie können einen Hack wie http://samy.pl/pwnat/ verwenden, um sie für Verbindungen von der zu öffnen Internet.
    • Sie können den SSH-Tunnel in umgekehrter Richtung ausführen: Wenn sie Unterstützung wünschen, starten sie ein Skript, das einen SSH-Tunnel zu Ihrem Support-Server erstellt und eine TCP-Verbindung zum VNC-Server mit dem SSH verbindet Verbindung. Ihr Support-Server verfügt über den öffentlichen Schlüssel des Clients in der Datei authorized_keys mit einem erzwungenen Befehl, der den Client mit Ihrem Reverse-VNC-Client verbindet.
  • Wenn Sie ihn verwenden, stellen Sie sicher, dass Sie ihn niemals verwenden habe ein System mit diesem dummen 4-stelligen Passcode-System. Ja, sie haben exponentielle Sperrzeiten, aber erstens möchten Sie nicht, dass der Support so einfach gesperrt wird, und zweitens, was ist, wenn jemand nur eine zufällige Kombination auf 100000 PC mit Teamviewer versucht? Ich denke, er wird ~ 100 hergestellte Verbindungen erhalten, ohne auf eine Sperre zu stoßen - afaik, die Sperre ist vollständig clientseitig.
Eine schnelle Analyse durch einen Dritten zeigt, dass dies tatsächlich ziemlich unsicher ist: http://blog.accuvant.com/bthomasaccuvant/teamviewer-authentication-protocol-part-1-of-3/
@mikebabcock die Verbindung ist unterbrochen
Und Internet-Archiv zur Rettung: http://web.archive.org/web/20160306132655/http://www.accuvant.com/blog/teamviewer-authentication-protocol-part-1-of-3
Ich denke nicht, dass VNC über SSH sicherer ist als Teamviewer.
Larry Webb
2013-04-03 22:00:44 UTC
view on stackexchange narkive permalink

Teamviewer ist kein sicherer Zeitraum. Denk darüber nach. Teamviewer kann so konfiguriert werden, dass immer dieselbe Partner-ID und dasselbe Kennwort verwendet werden. Ein ähnlicher Code kann erstellt und gestartet werden, indem der Benutzer auf eine E-Mail klickt. Tolles Werkzeug? Absolut ... für Leute wie mich, die eine große Anzahl von Remotebenutzern unterstützen, die einen Doppelpunkt nicht von einem Semikolon unterscheiden können. Aber sicher? Auf keinen Fall Nein wie. Teamviewer ermöglicht den Remotezugriff auf einen PC und kann Cisco VPN oder andere VPN-Sicherheitsmaßnahmen umgehen. Dieser Mist, dass der Endbenutzer die Partner-ID und den Pass herausgeben muss, ist genau dieser ... Mist. Dies kann sehr leicht umgangen werden. Versteh mich nicht falsch. Ich mag Teamviewer. Aber mach dir nichts vor, es ist überhaupt nicht sicher.

Meinen Sie nicht sicher für den Benutzer oder nicht sicher für den Server oder beides?
deed02392
2012-02-29 18:50:10 UTC
view on stackexchange narkive permalink

Ich würde eine native Lösung wie VNC vorschlagen, mit der Sie Problemumgehungen wie TeamViewer in WINE usw. weglassen und das Paketverwaltungsdienstprogramm für lokale Betriebssysteme verwenden können, um sicherzustellen, dass die Lösung auf dem neuesten Stand bleibt. Verwenden Sie aus Sicherheitsgründen einen SSH-Tunnel. Dadurch wird sichergestellt, dass die gesamte VNC-Kommunikation verschlüsselt ist, einschließlich des anfänglichen VNC-Authentifizierungs- / Kennwort-Handshakes. Dies ist besonders wichtig, da viele VNC-Implementierungen eher unsicher sind.

Verwenden Sie außerdem, wie von einem anderen Befragten vorgeschlagen, die IP-Filterung, um sicherzustellen, dass nur diejenigen an bestimmten Adressen mit dem VNC-Server kommunizieren können.

Wenn Sie diese Route wählen, können Sie den Support theoretisch auch über ein VPN auf externe Clients ausweiten. Es ist viel einfacher, alle außer einer Liste zu blockieren, sich dann um alle zu kümmern und das Netzwerk zu sichern.
user31259
2013-09-26 12:27:01 UTC
view on stackexchange narkive permalink

Eine Möglichkeit, wie wir damit umgehen: Wenn der Client die Verfügbarkeit von TeamViewer anfordert, startet user TeamViewer bei Bedarf und admin beendet es nach Abschluss der Aufgaben. Eine andere Lösung, die wir in einem solchen Fall einmal bereitgestellt haben, besteht darin, dass TeamViewer vom Administrator aus einer SSH-Sitzung gestartet wird. Alternativ können Sie sich die Desktop-Freigabe-Tools "mich einladen" ansehen. Oder mein Favorit: Spiegeln der Xsession über SSH auf Ihren Desktop.

Tuga
2012-10-11 16:53:38 UTC
view on stackexchange narkive permalink

Teamviewer bietet dem Computerbenutzer die Möglichkeit, jedem Benutzer im Internet eine Remote-Sitzung für den PC zu geben. Die Sicherheit des Netzwerks geht also auf den Endbenutzer über! Das ist ein No-Go. Ich rate Ihnen, VNC zu verwenden.

Einige Referenzen oder mehr Details darüber, wie das Poster helfen könnte.
"Die Sicherheit des Netzwerks geht auf den Endbenutzer über" - ich bin anderer Meinung. TeamViewer selbst führt keine Eskalation von Berechtigungen durch, sodass der Remote-Operator nur so viel tun kann, wie der lokale Benutzer tun könnte. Es kann andere Gründe geben, warum eine andere Auswahl von Werkzeugen besser sein könnte, aber meiner Meinung nach ist dies nicht einer von ihnen (der Benutzer hat oder hat nicht die Berechtigung, einen Fernbediener zuzulassen, wobei das spezifische Werkzeug irrelevant ist).


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...