2 Ocak 2010 Cumartesi

Teamviewer Blocklama (yasaklama,engelleme)

Bilişim sektöründe çalışan veya bu işe ilgi duyan birçok insanın destek amaçlı kullandığı teamviewer bazen sistem yöneticilerinin başının büyük belası olabiliyor. Düşünün şirketin muhasebe bölümünde çalışan personel dışarıda tanıdığı bilgisayardan anlayan birinden bilgisayarda takıldığı bir sorunla ilgili destek istiyor ve uzaktan bağlanıp bakıyor veya şirket dışındaki kendi bilgisayarına bağlanıp sizin engellediğiniz facebook, twitter gibi sitelerde dolaşıyor. Siz bunun farkında bile olmuyorsunuz, burada şirketin bilgileri de tehlikeye giriyor, sisteminizde. Hiçbir sistem yöneticisi çalıştığı firmanın yapısını dışarıdan başkalarının bilmesini istemez. Güvenlik zafiyeti doğurur. Program yüklemeyi engellediniz ama teamviewer kurulumsuz da çalışıyor. Server 2008 ve Windows 7yi birlikte kullananlar programın hash kodu ile GPO’ dan engelleyebiliyor. Şu an bu iki sisteme geçiş yapan bir firma olduğunu sanmıyorum varsa da çok azdır. Teamviewer’ı engellemek için en güvenli yol firewalldan yasaklamanız. Peki, bunu nasıl yapacağız.

Bazı firewallar teamviewer’ın imzasını ekleyerek block koyabiliyor(Cisco ASA, Checkpoint, Fortinet, vs). Ama her firewall bunu desteklemiyor. Bu sebepten dolayı internet trafiğini Wireshark Programı yardımı ile dinleyerek Teamviewer iletişim noktalarını bulmaya çalıştım. Takip ettikçe teamviewer’ın önce sitelere yönelerek bağlantı kurduğunu gördüm, siteleri blocklayınca da IPlere yönelerek bazı portlar kullanarak bağlantı sağladığını gördüm. Siteleri aşağıda sıraladım direk aşağıda yazdığım şekilde firewallda url filtering (http policy)’e eklemeniz engellemeniz için yeterli olacaktır.
*.1e100.net
*.crossloop.com
*.dyngate.com
*.msecn.net
*.rossmanith.com
*.verisign.net
*.dyndns.*
*.hosteurope.de
*.netpartnet.*
*.teamviewer.*
Teamviewer çalıştırdığınızda önce bu sitelere gidip bağlantı kurmayı deneyecek bu sitelere erişemediği zamanda aşağıda yazdığım iplere yönelmeye başlayacak. Fakat burada bu iplere block koymanız çok bir şey ifade etmiyor. Çünkü siz engelledikçe ipler çoğalıyor.














Durum böyle olunca bende ipler değil de bağlantı kurduğu portları takibe almaya başladım ve aşağıdaki portları kullanarak iletişim kurduğunu gördüm
Tcp 51434-5938-60438-60441-60452-60454-64723-64725
Udp 5938
Evet, bu portları kullanarak teamviewer iletişimini sağlıyor ve sizin baş belanız olabiliyor.
Sonuç olarak Firewallda yapmanız gereken http policy ile yukarıda belirttiğim sitelere block koymanız ve traffic policy ile de yasaklamak istediğiniz Pclerin internet çıkışlarında yine yukarıda belirttiğim portları eklemeniz gerekiyor. Daha sonra teamviewer açtığınız zaman aşağıda da göreceğiniz gibi teamviewer ID ve Password alamayacaktır. Arka planda da gördüğünüz gibi http portunu engellemeden direk bu ruleleri kullanarak teamviewer ı engellemiş olduk. 

Belli bir firewallda buradan bunu, buradanda şunu yapın diye yazmadım. Her Firewall'un yönetim paneli farklı, genel anlamda her firewallda bunları http Policy ve Traffic rule menulerinde uygulayarak rahatlıkla engelleme yapabilirsiniz.

Not: Yazıda bahsedilen yöntem geçerli olup Domain, IP Adresleri ve Portlar güncel değildir. Wireshark ile trafiği dinleyerek güncel bilgileri edinip aynı şekilde engelleyebilirsiniz.

1 yorum:

ahmettolga dedi ki...

Güzel yazı olmuş ellerine sağlık.