classic.ISPforum.cz

Zdravim, potreboval bych blokovat komunikaci Teamvieweru v praci na firewallu, bohuzel se mi to nedari, komunikuje pres port 80 a bohuzel jde tento program rovnou spustit i bez instalace nesetkal se s tim z Vas uz nekdo? Diky

skus bloknut ipcky teamvieweru
87.230.73.16 - 87.230.73.31
predpokladam ze sa musi teamviewer pripojit najprv na tieto IP az potom sa niekto moze pripojit na vzdialeny PC

Diky ale nepomaha, mam tam zcela jine adresy a nove se objevuji nejaky jiny napad

judzin píše:Diky ale nepomaha, mam tam zcela jine adresy a nove se objevuji nejaky jiny napad

tak pak jedine najit vsechny ip adresy - coz je asi vecny boj, mohou jich mit stovky. jiny zpusob asi nebude existovat. teamviewer je navrzen tak aby se nedal blokovat, resp. tak aby obesel jakykoliv firewall, aby byl dostupny odkudkoliv.

jedno možné řešení je, ale postup je náročný a úspěch nezaručený.
1. odchytávat pakety komunikace Teamvieweru - např. při navazování spojení
2. najít v nich část, kterou mají společnou a přitom jednozačnou právě pro Teamviewer
3. sestavit pravidlo pro L7 pomocí kterého budeš markovat a následně blokovat pakety

judzin píše:Zdravim, potreboval bych blokovat komunikaci Teamvieweru v praci na firewallu, bohuzel se mi to nedari, komunikuje pres port 80 a bohuzel jde tento program rovnou spustit i bez instalace nesetkal se s tim z Vas uz nekdo? Diky

protoze pises ze to jde spustit i bez instalace, tak predpokladam ze je pro tebe reseni i zakazat to lokalne na pc, tak tedy zakaz pomoci FW komunikaci aplikace teamviewer.exe (mozna se jmenuje proces jinak) s internetem a je to.

Ano mam moznost zakazat to lokalne na stanici, ale radsi bych to resil nejak systemove pres FW, L7 jsem jeste nezkusil, zkusim pres vikend. Jinak jsem prohledaval na todle net, nasel jsem par odkazu k ASA/PIX od Cisca a k par dalsim FW, ale netusim jak bych to mohl pouzit v mikrotiku. Tady namatkou par odkazu
http://www.experts-exchange.com/Securit ... 59008.html
http://forums.bluecoat.com/viewtopic.php?f=1&t=5142
http://forums.juniper.net/t5/Intrusion- ... /m-p/20738

Jestli nekoho chytrejsiho napadne jeste nejake lepsi reseni, tak sem s nim

Jinak zatim diky vsem

toto jsem nasel pro layer7:

^(post|get) /d(out|in).aspx?.*client=dyngate
a nebo
^\x17

ano, na DD-WRT je taky uvedený ^\x17

qidoRV píše:ano, na DD-WRT je taky uvedený ^\x17

oboje je z dd-wrt:
http://svn.dd-wrt.com:8000/dd-wrt/browser/src/router/l7/protocols/teamviewer.pat?rev=13606
http://svn.dd-wrt.com:8000/dd-wrt/browser/src/router/l7/protocols/teamviewer1.pat?rev=13606

Mam to takhle a nefunguje

/ip firewall layer7-protocol> pr
# NAME REGEXP
0 teamviewer ^(post|get) /d(out|in).aspx?.*clien...
1 teamviewer1 ^\x17

/ip firewall filter> pr
Teamviewer
0 chain=forward action=drop layer7-protocol=teamviewer
1 chain=forward action=drop layer7-protocol=teamviewer1

judzin píše:Mam to takhle a nefunguje

/ip firewall layer7-protocol> pr
# NAME REGEXP
0 teamviewer ^(post|get) /d(out|in).aspx?.*clien...
1 teamviewer1 ^\x17

/ip firewall filter> pr
Teamviewer
0 chain=forward action=drop layer7-protocol=teamviewer
1 chain=forward action=drop layer7-protocol=teamviewer1

Me to najde provoz, ale tipoval bych, ze to bude delat spis neplechu, hazu si to misto dropovani do addresslistu(jak dst tak i src) a haze mi to tam treba nas dns server, ani nevim, jestli to u nas na siti nekdo provozuje, ale zabira na to jenom to ^\x17 , to druhe pravidlo nic nebere

to judzin: nefunguje jak? nic nezachytí, nebo nezabrání plnému provozu Teamvieweru

to Ajfel: to druhé pravidlo pro L7 je podle dost krátkého vzorku, takže by bylo dobré upřesnit podmínky - např. jestli je to UDP nebo TCP, na jakém portu nebo rozsahu portů ten provoz běží nebo naopak určitě neběží atd.

qidoRV píše:to judzin: nefunguje jak? nic nezachytí, nebo nezabrání plnému provozu Teamvieweru

to Ajfel: to druhé pravidlo pro L7 je podle dost krátkého vzorku, takže by bylo dobré upřesnit podmínky - např. jestli je to UDP nebo TCP, na jakém portu nebo rozsahu portů ten provoz běží nebo naopak určitě neběží atd.

Ano, ja jsem jenom reagoval na to, ze to nic nedela, tak jsem zkousel, jestli to neco bere nebo ne.

jj, taky to zrovna zkouším