web-dev-qa-db-ja.com

TeamViewerはシンプルなリモートサポートに対してどの程度安全ですか?

私はWebベースのERPシステムを顧客に導入しているため、サーバーとクライアントの両方のマシンが顧客のイントラネット内にあります。私はアドバイスを受けました 別の質問 代わりに、より安全な手段を使用して、TeamViewerを使用してサーバーにアクセスしないようにしました。しかし、私は、TeamViewerがこのシステムに「特別」ではないクライアントマシンに適しているかどうか心配しています特に、それでも私は彼らの現在のセキュリティを低下させたくありませんし、私のコンピュータを危険にさらしたくもありません。

私の質問は、TeamViewerが単純なリモートデスクトップのサポートに「十分」であるかどうか、システムの使用においてユーザーを支援するためだけに使用されるかどうか、そして追加の措置(変更など)を講じる必要があるかどうかです。デフォルト設定、ファイアウォールの変更など)で十分なレベルまたはセキュリティに到達します。

いくつかの詳細:

  1. 私はすでに会社の セキュリティステートメント を読んでおり、専門家ではない意見ではすべて元気です。しかし、他の質問で この答え は私を疑問に思っています。調査の結果、UPnPを使用する機能(DirectIn)はデフォルトで無効になっているため、特にUPnPの心配はありません。しかし、そのドキュメントではカバーされていないことを知っておくべきことが他にもあるのでしょうか。

  2. Wikipedia 記事 TeamViewerについては、LinuxポートはWineを使用していると述べています。ネットワークのセキュリティに影響を与えないAFAIKは正しいですか?

  3. 結局のところ、顧客のネットワークを保護する責任は私のものではなく、彼らの責任です。しかし、私は彼らにこのシステムをセットアップする可能性について助言する必要があります。特に、彼らのほとんどは、独自のITスタッフのいない中小規模のNGOだからです。多くの場合、「理想的な」セットアップを提供できませんが、少なくとも、「このマシンにTeamViewerをインストールしている場合、X、Y、およびZを使用します。これは無効にします。」;または:「TeamViewerを通常のマシンにインストールできます。デフォルトの構成で安全です。これは*サーバーを指す*だけが禁止されています。」.

  4. TeamViewerを選択したのは、WindowsとLinuxの両方のマシンにインストールするのが簡単であり、機能するだけです(そのコストにもアクセスできます)。しかし、私は他の提案をお待ちしています。私は予算も専門スタッフも低いので、もっと簡単なツールを選びますが、それが何であれ、意識的な決定をしたいと思います。

networkremote-desktop
66
mgibsonbr

サードパーティサプライヤー(teamviewerなど)と直接リモートコントロールソリューション(VNCなど)の使用にはいくつかの違いがあります。

Team Viewerには、インバウンド接続のためにファイアウォールでポートを開く必要がないため、攻撃の潜在的なポイントを排除できるという利点があります。たとえば、VNCリッスンのようなものがあり(接続のソースIPアドレスを制限できない場合)、VNCにセキュリティの脆弱性があるか、弱いパスワードが使用されている場合、攻撃者が危険を冒す可能性があります。このメカニズムを使用して、顧客を攻撃します。

ただし、これにはトレードオフがあります。つまり、サービスを作成して実行するユーザー(この場合はteamviewer)に一定の信頼を提供します。製品またはサーバーが侵害された場合、攻撃者はそれを使用して、サービスを使用しているすべてのユーザーを攻撃できる可能性があります。考慮すべき1つの点は、サービスの有料顧客である場合、ハッキングされた場合、契約上の復帰が見られる可能性があることです(ただし、問題のサービスと他の要素の負荷全体に依存する可能性が非常に高いです)。

セキュリティのすべてのように、それはトレードオフです。きちんと安全なリモートコントロール製品があり、それを適切に管理および制御している場合、サードパーティに依存するよりも安全なオプションであると言えるでしょう。

そうは言っても、TeamViewers Webサイトでの主張が正確であれば、セキュリティにかなりの注意を払っている可能性が高いようです。また、誰かがTeamViewer(かなりの数の顧客を持っている)をハッキングした場合、その可能性は何ですか。彼らはあなたを攻撃します:)

33
Rory McCune

TeamViewerのこのセキュリティ分析をご覧ください。簡単に言えば、信頼できないネットワークでは確実に安全ではありません: https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-

結論:

TeamViewerを信頼できないネットワークで、またはデフォルトのパスワード設定で使用しないことをお勧めします。 TeamViewerは、パスワードの強度を構成可能な長さに増やし、英数字のパスコードを使用することをサポートしますが、カジュアルなユーザーがこの設定を変更することはまずありません。クライアントからサーバーへのプレーンテキスト通信(100を超えるコマンドがサポートされ、クライアント側で解析されます)だけでなく、ゲートウェイサーバー経由でルーティングされる多くのピアツーピアコマンド。この露出した攻撃面に対する危険性にもかかわらず、Cスタイルの文字列と配列の代わりにstd :: stringとstd :: vectorを広範囲に使用することにより、リスクはある程度軽減されます。

32
Bill Johnson

まだ触れられていないと思う答えを追加したいだけです。 teamviewerを介して別のコンピューターに接続すると、クリップボードをそのコンピューターと共有します(デフォルト)。

したがって、クリップボードにコピーしたものはすべて、接続しているコンピューターのクリップボードにもコピーされます。ホストコンピューターに ClipDiary などのクリップボード追跡アプリケーションをインストールすると、接続している人がクリップボードにコピーしたすべての記録を保持できます。

ここでの回答のほとんどは、ホストとして使用されているコンピューターのセキュリティに焦点を当てていますが、これは、特にホストとしてKeePassなどのパスワード管理ツールを使用している場合、ホストに接続しているコンピューターの潜在的なセキュリティ問題でもあります。セッションが終了した後、コンピューターのユーザー名とパスワード(および、KeePassからブラウザーにURLをコピーした場合はURLのレコード)がクリップボードの履歴に記録される可能性があります。

20
JMK

TeamViewerについて、そのリスクを評価したり、状況に適した選択肢であるかどうかを十分に知りません。しかし、@ Lie Ryanからのコメントを繰り返します。この目的でTeamViewerを展開する場合、リモート攻撃のリスクを軽減する1つの潜在的な方法は、許可されたマシン以外のTeamViewerポートへのすべてのアクセスをブロックするファイアウォールを(両方のエンドポイントに)セットアップすることです。

5
D.W.

TeamViewerについて、覚えておくべきことがいくつかあります。

  • ソースを簡単に調べてセキュリティを確認することはできません。これは、ネットワークに面した攻撃面です。それはそれほど良いことではありません。パスワードベースの認証を使用してOpenSSHサーバーを作成し、インターネットに直接接続する部分を無効にすることができる場合は、それを行ってください。 (ユーザーにサーバーを開始/停止する方法を提供したい場合があります。)OpenSSHトンネルを介して、localhost-bound VNCを使用してディスプレイに接続できます。もちろん、この方法は、問題のPCがNAT /過熱ファイアウォールの背後にあり、そのファイアウォールの背後に到達する方法がない場合は、あまりうまく機能しません。それを回避するためのアイデア:
    • http://samy.pl/pwnat/ のようなハックを使用して、インターネットからの接続にそれらを開くことができます。
    • SSHトンネルを逆方向​​に実行できます。サポートが必要な場合、サポートサーバーへのSSHトンネルを作成し、VNCサーバーへのTCP接続をSSHに接続するスクリプトを開始します。接続。サポートサーバーは、クライアントをリバースVNCクライアントに接続する強制コマンドを使用して、authorized_keysファイルにクライアントの公開鍵を持っています。
  • それを使用する場合は、その愚かな4桁のパスコードシステムでシステムを実行しないでください。はい、彼らは指数関数的なロックアウト時間を持っていますが、最初に、サポートがそれほど簡単にロックアウトされることを望まないでください。ロックアウトに遭遇することなく、最大100の接続が確立されると思います。つまり、ロックアウトは完全にクライアント側です。
5
thejh

Teamviewerは安全な期間ではありません。それについて考えてください。 Teamviewerは、常に同じパートナーIDとパスワードを使用するように構成できます。ユーザーがメールをクリックするだけで、同様のコードを作成して起動できます。素晴らしいツール?絶対に..コロンのようなセミコロンを区別できないリモートユーザーの大きな束をサポートする私のような人たちのために。しかし、安全ですか?いやいやいや。 Teamviewerを使用すると、PCへのリモートアクセスが可能になり、Cisco VPNまたはその他のVPNセキュリティを回避できます。エンドユーザーがパートナーIDとパスを渡さなければならないというこのくだらないことは、まさにそれです...これは非常に簡単に回避できます。誤解しないでください。私はTeamviewerが好きです。しかし、あなた自身をからかわないでください、それはまったく安全ではありません。

3
Larry Webb

VNCなどのネイティブソリューションをお勧めします。これにより、WINEなどのTeamViewerなどの回避策を省略できるほか、ローカルオペレーティングシステムのパッケージ管理ユーティリティを使用して、ソリューションを最新の状態に保つことができます。セキュリティのために、SSHトンネルを使用します。これにより、最初のVNC認証/パスワードハンドシェイクを含むすべてのVNC通信が確実に暗号化されます。多くのVNC実装は安全ではないため、これは特に重要です。

さらに、別の回答者が提案したように、IPフィルタリングを使用して、特定のアドレスのユーザーのみがVNCサーバーと通信できるようにします。

1
deed02392

それを処理する1つの方法:クライアントがTeamViewerの可用性を要求した場合、serはオンデマンドでTeamViewerを開始し、adminはタスクの完了時にそれを強制終了します。このような場合に導入した別のソリューションは、TeamViewerが管理者によってSSHセッションから開始されることです。あるいは、「invite-me」デスクトップ共有ツールを検討することもできます。または私のお気に入り:SSH経由でXsessionをデスクトップにミラーリングします。

0
user31259