it-swarm-id.com

Seberapa amankah TeamViewer untuk dukungan jarak jauh yang sederhana?

Saya menggunakan ERP sistem berbasis web untuk pelanggan, sehingga server dan mesin klien akan berada di dalam intranet pelanggan. Saya disarankan di pertanyaan lain tidak menggunakan TeamViewer untuk mengakses server, sebagai gantinya menggunakan cara yang lebih aman, dan saya juga. Tapi sekarang saya khawatir tentang apakah TeamViewer cocok untuk mesin klien, yang tidak "istimewa" untuk sistem ini khususnya, tetapi saya tidak ingin menurunkan keamanan mereka saat ini, saya juga tidak ingin membahayakan komputer saya.

Pertanyaan saya, kemudian, apakah TeamViewer "cukup baik" untuk dukungan desktop jarak jauh yang sederhana, di mana ia akan digunakan hanya untuk membantu pengguna dalam penggunaan sistem, dan apakah saya harus mengambil tindakan tambahan atau tidak (seperti mengubah pengaturan default, mengubah firewall, dll) untuk mencapai tingkat atau keamanan yang memuaskan.

Beberapa detail:

  1. Saya sudah membaca perusahaan pernyataan keamanan dan menurut pendapat non-pakar saya baik-baik saja. Namun, jawaban ini dalam pertanyaan lain itu membuat saya ragu. Setelah beberapa penelitian, UPnP khususnya tidak membuat saya khawatir lagi, karena fitur yang menggunakannya - DirectIn - dinonaktifkan secara default. Tetapi saya bertanya-tanya apakah ada lebih banyak hal yang harus saya sadari yang tidak tercakup dalam dokumen itu.

  2. Wikipedia artikel tentang TeamViewer mengatakan port Linux menggunakan Wine. AFAIK yang tidak memengaruhi keamanan jaringannya, benarkah itu?

  3. Pada akhirnya, tanggung jawab untuk mengamankan jaringan pelanggan saya bukan milik saya, itu milik mereka. Tapi saya perlu memberi tahu mereka tentang kemungkinan mendirikan sistem ini, khususnya karena kebanyakan dari mereka adalah LSM kecil-menengah tanpa staf TI sendiri. Seringkali saya tidak akan dapat menawarkan pengaturan "ideal", tetapi setidaknya saya ingin dapat memberikan saran seperti: "jika Anda menginstal TeamViewer di mesin ini, Anda tidak akan dapat melakukan X, Y dan Z di dalamnya, karena saya akan menonaktifkannya "; atau: "Anda dapat menginstal TeamViewer di mesin reguler mana pun yang Anda inginkan, aman dalam konfigurasi default; hanya yang ini * menunjuk ke server * yang terlarang".

  4. Pilihan saya atas TeamViewer semata-mata karena mudah untuk menginstal di kedua mesin Windows dan Linux, dan itu hanya berfungsi (biayanya juga dapat diakses). Tapi saya terbuka untuk saran lainnya. Saya rendah dalam hal anggaran dan staf khusus, jadi saya akan mencari alat yang lebih sederhana, tetapi saya ingin membuat keputusan sadar apa pun itu.

66
mgibsonbr

Ada beberapa perbedaan antara menggunakan pemasok pihak ke-3 (seperti teamviewer) dan solusi remote control langsung (mis., VNC)

Team Viewer memiliki kelebihan karena tidak memerlukan port untuk dibuka pada firewall untuk koneksi masuk, yang menghilangkan titik serangan potensial. Misalnya jika Anda memiliki sesuatu seperti mendengarkan VNC (dan tidak mungkin untuk membatasi alamat IP sumber untuk koneksi) maka jika ada kerentanan keamanan di VNC, atau kata sandi yang lemah digunakan, maka ada risiko bahwa penyerang dapat gunakan mekanisme ini untuk menyerang pelanggan Anda.

Namun ada trade-off untuk ini, yaitu Anda memberikan tingkat kepercayaan kepada orang-orang yang membuat dan menjalankan layanan (dalam hal ini peninjau tim). Jika produk atau server mereka dikompromikan, maka mungkin penyerang akan dapat menggunakannya untuk menyerang siapa pun yang menggunakan layanan ini. Satu hal yang perlu dipertimbangkan adalah bahwa jika Anda adalah pelanggan layanan yang membayar, Anda mungkin akan mendapatkan kontrak kembali jika mereka diretas (meskipun sangat mungkin bergantung pada layanan yang dimaksud dan banyak faktor lainnya)

Seperti semua yang ada dalam keamanan, ini adalah kompromi. Jika Anda memiliki produk remote control yang cukup aman dan mengelola serta mengendalikannya dengan baik maka saya akan cenderung mengatakan bahwa itu kemungkinan akan menjadi opsi yang lebih aman daripada mengandalkan pihak ketiga dalam bentuk apa pun.

Yang mengatakan jika klaim di situs web TeamViewers akurat, sepertinya mereka membayar tingkat perhatian yang adil terhadap keamanan, dan Anda juga dapat mempertimbangkan bahwa jika seseorang meretas TeamViewer (yang memiliki jumlah pelanggan yang cukup besar) berapa kemungkinan mereka akan menyerangmu :)

33
Rory McCune

Lihatlah analisis keamanan TeamViewer ini. Singkatnya, itu pasti tidak aman di jaringan yang tidak terpercaya: https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-

Kesimpulan:

Saya merekomendasikan TeamViewer untuk tidak digunakan pada jaringan yang tidak terpercaya, atau dengan pengaturan kata sandi default. TeamViewer mendukung peningkatan kekuatan kata sandi menjadi panjang yang dapat dikonfigurasi, dan menggunakan kode sandi alfanumerik, tetapi sepertinya pengguna biasa tidak akan mengubah pengaturan ini. Perlu diingat bahwa ada permukaan serangan substansial di TeamViewer yang memerlukan analisis lebih lanjut seperti tidak terauthentikasi, komunikasi plaintext antara klien ke server (lebih dari 100 perintah didukung dan diuraikan di sisi klien), serta banyak perintah peer-to-peer, dialihkan melalui server gateway. Terlepas dari bahaya terhadap permukaan serangan yang banyak terekspos ini, risikonya agak dikurangi dengan penggunaan std :: string dan std :: vector secara ekstensif alih-alih string dan array gaya-C.

32
Bill Johnson

Saya hanya ingin menambahkan jawaban yang menurut saya belum tersentuh. Ketika Anda terhubung melalui teamviewer ke komputer lain, Anda berbagi clipboard Anda dengan komputer itu (secara default).

Karena itu, semua yang Anda salin ke clipboard Anda juga disalin ke clipboard komputer yang Anda terhubung. Dengan memasang aplikasi pelacakan clipboard seperti ClipDiary , di komputer Host, Anda dapat menyimpan catatan semua yang disalin ke clipboard oleh orang yang terhubung dengan Anda.

Sebagian besar jawaban di sini berfokus pada keamanan komputer yang digunakan sebagai Host, tetapi ini juga merupakan masalah keamanan potensial untuk komputer yang terhubung ke Host, terutama jika Anda menggunakan alat manajemen kata sandi seperti KeePass, sebagai Host. komputer berpotensi memiliki catatan nama pengguna dan kata sandi (dan kemungkinan URL jika Anda juga menyalin URL dari KeePass ke browser Anda) pada riwayat clipboard setelah sesi Anda selesai.

20
JMK

Saya tidak cukup tahu tentang TeamViewer untuk memberi Anda penilaian risiko atau apakah itu pilihan yang baik untuk situasi Anda. Tapi saya akan mengulangi komentar dari @Lie Ryan. Jika Anda menggunakan TeamViewer untuk tujuan ini, salah satu cara potensial untuk mengurangi risiko serangan jarak jauh adalah dengan memasang firewall (di kedua titik akhir) yang memblokir semua akses ke port TeamViewer kecuali dari mesin resmi.

5
D.W.

Tentang TeamViewer, ada beberapa hal yang saya pikir harus Anda ingat:

  • Anda tidak dapat dengan mudah melihat sumber dan memverifikasi keamanannya, dan itu adalah permukaan serangan yang menghadap jaringan. Itu tidak begitu baik - jika Anda dapat membuat server OpenSSH dengan kata sandi auth yang menonaktifkan bagian yang menghadap internet, lakukan itu. (Anda mungkin ingin memberikan metode kepada pengguna untuk memulai/menghentikan server.) Melalui terowongan OpenSSH, Anda bisa menggunakan VNC yang terikat dengan localhost untuk menyambung ke layar. Tentu saja, metode ini tidak berfungsi dengan baik jika PC yang dimaksud berada di belakang NAT/Firewall yang terlalu bersemangat dan Anda tidak memiliki cara untuk berada di balik firewall itu. Gagasan untuk menyiasatinya:
    • Anda bisa menggunakan hack seperti http://samy.pl/pwnat/ untuk membukanya untuk koneksi dari internet.
    • Anda bisa melakukan terowongan SSH ke arah sebaliknya: Ketika mereka menginginkan dukungan, mereka memulai skrip yang membuat terowongan SSH ke server dukungan Anda dan menghubungkan koneksi TCP ke server VNC ke SSH koneksi. Server dukungan Anda memiliki kunci publik klien dalam file Authorized_key dengan perintah paksa yang menghubungkan klien ke klien VNC terbalik Anda.
  • Jika Anda menggunakannya, pastikan untuk tidak pernah menjalankan sistem dengan sistem kode sandi 4 digit yang bodoh itu. Ya, mereka memang memiliki waktu penguncian eksponensial, tetapi hal pertama, Anda tidak ingin dukungan dikunci dengan mudah dan yang kedua, baik, bagaimana jika seseorang hanya mencoba satu kombinasi acak pada 100000 PC yang menjalankan teamviewer? Dia akan mendapatkan ~ 100 koneksi yang mapan tanpa mengalami penguncian apa pun, saya pikir - afaik, penguncian itu sepenuhnya sisi klien.
5
thejh

Teamviewer bukan periode aman. Pikirkan tentang itu. Teamviewer dapat dikonfigurasi untuk selalu menggunakan ID dan kata sandi Mitra yang sama. Kode serupa dapat dibuat dan diluncurkan hanya dengan pengguna mengklik email. Alat hebat? Benar-benar..untuk orang-orang seperti saya yang mendukung banyak pengguna jarak jauh yang tidak dapat mengetahui titik dua dari titik koma. Tapi aman? Tidak mungkin Tidak bagaimana. Teamviewer memungkinkan akses jarak jauh ke PC dan dapat menghindari Cisco VPN atau keamanan VPN lainnya. Omong kosong tentang pengguna akhir ini harus memberikan ID mitra dan lulus hanya ... omong kosong. Ini bisa didapat dengan sangat mudah. Jangan salah sangka. Saya suka Teamviewer. Tapi jangan menipu diri sendiri, itu sama sekali tidak aman.

3
Larry Webb

Saya akan menyarankan solusi asli seperti VNC, memungkinkan Anda untuk menghilangkan workarounds seperti TeamViewer di WINE dll, serta menggunakan utilitas manajemen paket sistem operasi lokal untuk memastikan bahwa solusi tetap up to date. Untuk keamanan, gunakan terowongan SSH. Ini memastikan bahwa semua komunikasi VNC dienkripsi, termasuk jabat tangan autentik/kata sandi VNC awal. Ini sangat penting karena banyak implementasi VNC agak tidak aman.

Selain yang disarankan responden lain, gunakan pemfilteran IP untuk memastikan bahwa hanya mereka yang di alamat tertentu yang dapat berkomunikasi dengan server VNC.

1
deed02392

Salah satu cara kami mengatasinya: jika klien meminta ketersediaan TeamViewer, pengguna memulai TeamViewer sesuai permintaan dan admin bunuh setelah tugas selesai. Solusi lain yang pernah kami gunakan dalam kasus seperti itu, adalah TeamViewer dimulai dari sesi SSH oleh admin. Atau, Anda dapat melihat alat berbagi desktop "invite-me". Atau favorit saya: mirroring Xsession via SSH ke desktop Anda.

0
user31259