Bloquear Teamviewer

ffischer
(usa Red Hat)

Enviado em 19/07/2012 - 16:44h

Fala pessoal,
Abri outro tópico já que o anterior está como resolvido, mas não funcionou pra mim.

Seguinte, segui os passos que resolveram o problema do nosso amigo no outro tópico, acontece que ele bloqueou só o teamviewer 6, o 7 continua passando, mesma com bloqueio de acl para .teamviewer.com e com as regras iptables abaixo:

iptables -I FORWARD -p tcp -m string --algo bm --string "teamviewer" -m multiport --dport 80,443,5389 -j DROP
iptables -I OUTPUT -p tcp -m string --algo bm --string "teamviewer" -m multiport --dport 80,443,5389 -j DROP

Outra coisa que notei agora, consigo abrir o site do teamviewer pelo firefox, mas pelo IE não .... o.O

Rodei um modprobe ipt_string instalei o ipttables (apt-get install iptables) e rodei as linhas acima...

Como disse o teamviewer 7 continua conectando...

Alguma luzzzz pra essa praga que faz tempo q to tentando bloquear????

Vlw

removido
(usa Nenhuma)

Enviado em 19/07/2012 - 16:49h

Obrigado por abrir um novo tópico.

tenta bloquear assim:

iptables -I FORWARD -m string --algo bm --string "teamviewer.com" -j DROP 

ou assim:

iptables -I FORWARD -m string --algo bm --string "teamviewer" -j DROP 

ité mais

ffischer
(usa Red Hat)

Enviado em 19/07/2012 - 17:00h

Tentei,
Rodei os comandos com o teamviewer aberto, e ele saiu do ar, procurou um tal de keepalive e voltou a me deixar conectar.

Também tentei:
iptables -I FORWARD -m string --algo bm --string "teamviewer" -j DROP
iptables -I OUTPUT -m string --algo bm --string "teamviewer" -j DROP
iptables -I FORWARD -m string --algo bm --string "keepalive" -j DROP
iptables -I OUTPUT -m string --algo bm --string "keepalive" -j DROP

Fechei o programa e abri novamente, ele demora um pouco mais, mas ainda assim me disponibiliza ID e conexão.

Fábio

removido
(usa Nenhuma)

Enviado em 19/07/2012 - 17:04h

Mas consegue se conectar após disponibilizar o ID ?

O bloqueio vai ser feito em todas as máquinas da rede ou não ?

ffischer
(usa Red Hat)

Enviado em 19/07/2012 - 17:12h

Consigo conectar minha máquina em casa sem problema algum.
A principio o bloqueio é para todos, depois tenho q estudar a forma de liberar pros analistas daqui. Mas como estamos com problema de consumo de banda por conta desse fdp do teamviewer o bloqueio a principio é para todos.

removido
(usa Nenhuma)

Enviado em 19/07/2012 - 17:26h

A regra está sendo colocada no servidor né isso ? então já verificou se alguma máquina da rede interna está conseguindo fazer a conexão após a aplicação das regras, isto é a máquina que está usando para se conectar está na rede interna também ?

Mostra a tabela de todas as chains que contém regras do teu IPtables que está usando.

andrecanhadas
(usa Debian)

Enviado em 19/07/2012 - 17:27h

Depois de colocar as regras verifica como ele esta conectando usando o tcpdump:

tcpdump -v host IP-da-maquina

 

ffischer
(usa Red Hat)

Enviado em 19/07/2012 - 17:43h

eabreu nunca usei iptables, temos checkpoint aqui na empresa, nunca precisei fazer qualquer tipo de bloqueio com ele...
estou apenas pegando as linhas e executando, fiz assim com um proxy transparente que montei a um tempo atras, mas usei só pra fazer o redirect da portal 80 pra 3128 ou vice versa, nem me lembro ao certo.
Não tenho uma tabela, só usaria as linhas pra fazer o bloqueio específico do teamviewer, até porque as outras coisas eu bloqueio pelo squid ou pelo checkpoint.
Como li que o teamviewer "acha" outras portas para conectar nem tentei fazer nada pelo checkpoint, mas já to pensando em mudar de idéia e bloquear a porta 5389 pra ver bloqueia, daria muito menos trabalho!!!!

ffischer
(usa Red Hat)

Enviado em 19/07/2012 - 17:44h

E respondendo a suas perguntas eu estou aplicando as regras no servidor e acessando da minha máquina que está na rede e com w7.

ffischer
(usa Red Hat)

Enviado em 19/07/2012 - 17:47h

André segue:

RPROXY01S.54595 > server1302.teamviewer.com.https: Flags [P.], cksum 0xa1c9 (incorrect -> 0xceeb), seq 1408028073:1408028078, ack 680443238, win 119, options [nop,nop,TS val 159471135 ecr 477198576], length 5
server1302.teamviewer.com.https > RPROXY01S.54595: Flags [P.], cksum 0xb8ce (correct), seq 1:6, ack 5, win 254, options [nop,nop,TS val 477204097 ecr 159471135], length 5
RPROXY01S.54595 > server1302.teamviewer.com.https: Flags [.], cksum 0xeb4d (correct), ack 6, win 119, options [nop,nop,TS val 159471187 ecr 477204097], length 0
RPROXY01S.57845 > server1609.teamviewer.com.https: Flags [P.], cksum 0x2fea (incorrect -> 0x3a3e), seq 2581403082:2581403106, ack 1637763643, win 108, options [nop,nop,TS val 159471356 ecr 16969036], length 24
server1609.teamviewer.com.https > RPROXY01S.57845: Flags [P.], cksum 0x2300 (correct), seq 1:25, ack 24, win 258, options [nop,nop,TS val 16974556 ecr 159471356], length 24
RPROXY01S.57845 > server1609.teamviewer.com.https: Flags [.], cksum 0xa2b2 (correct), ack 25, win 108, options [nop,nop,TS val 159471409 ecr 16974556], length 0
RPROXY01S.55499 > server1403.teamviewer.com.https: Flags [P.], cksum 0xe32c (incorrect -> 0x93ba), seq 1520736901:1520736925, ack 3124464444, win 108, options [nop,nop,TS val 159472591 ecr 1081528164], length 24
server1403.teamviewer.com.https > RPROXY01S.55499: Flags [P.], cksum 0x7ca0 (correct), seq 1:25, ack 24, win 257, options [nop,nop,TS val 1081533649 ecr 159472591], length 24
RPROXY01S.55499 > server1403.teamviewer.com.https: Flags [.], cksum 0xf338 (correct), ack 25, win 108, options [nop,nop,TS val 159472648 ecr 1081533649], length 0
RPROXY01S.51210 > server1400.teamviewer.com.https: Flags [P.], cksum 0x7801 (incorrect -> 0x4618), seq 3708277242:3708277266, ack 1796245057, win 108, options [nop,nop,TS val 159476001 ecr 851771798], length 24
server1400.teamviewer.com.https > RPROXY01S.51210: Flags [P.], cksum 0x2e75 (correct), seq 1:25, ack 24, win 257, options [nop,nop,TS val 851777420 ecr 159476001], length 24
RPROXY01S.51210 > server1400.teamviewer.com.https: Flags [.], cksum 0xd717 (correct), ack 25, win 108, options [nop,nop,TS val 159476058 ecr 851777420], length 0
RPROXY01S.36713 > server15031.teamviewer.com.https: Flags [P.], cksum 0xe862 (incorrect -> 0x799c), seq 2385243025:2385243030, ack 2288226695, win 266, options [nop,nop,TS val 159476471 ecr 11945907], length 5
server15031.teamviewer.com.https > RPROXY01S.36713: Flags [P.], cksum 0x630d (correct), seq 1:6, ack 5, win 511, options [nop,nop,TS val 11951432 ecr 159476471], length 5
RPROXY01S.36713 > server15031.teamviewer.com.https: Flags [.], cksum 0x95ef (correct), ack 6, win 266, options [nop,nop,TS val 159476534 ecr 11951432], length 0
RPROXY01S.57610 > server15027.teamviewer.com.https: Flags [P.], cksum 0xe66e (incorrect -> 0x7b51), seq 24:48, ack 25, win 108, options [nop,nop,TS val 159483150 ecr 19325093], length 24
server15027.teamviewer.com.https > RPROXY01S.57610: Flags [P.], cksum 0x62c5 (correct), seq 25:49, ack 48, win 513, options [nop,nop,TS val 19330692 ecr 159483150], length 24
RPROXY01S.57610 > server15027.teamviewer.com.https: Flags [.], cksum 0x5260 (correct), ack 49, win 108, options [nop,nop,TS val 159483212 ecr 19330692], length 0
RPROXY01S.34422 > server3316.teamviewer.com.https: Flags [P.], cksum 0x89db (incorrect -> 0x2a8e), seq 5:10, ack 6, win 126, options [nop,nop,TS val 159484241 ecr 17032050], length 5
server3316.teamviewer.com.https > RPROXY01S.34422: Flags [P.], cksum 0x1473 (correct), seq 6:11, ack 10, win 258, options [nop,nop,TS val 17037572 ecr 159484241], length 5
RPROXY01S.34422 > server3316.teamviewer.com.https: Flags [.], cksum 0x46ed (correct), ack 11, win 126, options [nop,nop,TS val 159484295 ecr 17037572], length 0

andrecanhadas
(usa Debian)

Enviado em 19/07/2012 - 17:53h

Essa maquina com o firewall é o gateway da maquina win7 com o teamviewer?

Pelo tcpdump ele continua acessando endereços com teamviewer.com na url

ffischer
(usa Red Hat)

Enviado em 19/07/2012 - 18:07h

Taí André não é não.
Usamos squid autenticado com AD via LDAP, e a máquina que está o proxy não é gateway de máquina nenhuma.
Encontrei uma máquina com o proxy transparente que eu fiz, configurei o teamviewer apontando pra essa máquina e apliquei as regras, também não rolou... Se pra regra funfar é exigencia que o server com o proxy/iptables seja gateway da rede não vai rolar...