Question:
Quel est le niveau de sécurité de TeamViewer pour une assistance à distance simple?
mgibsonbr
2012-02-25 15:10:22 UTC
view on stackexchange narkive permalink

Je déploie un système ERP basé sur le Web pour un client, de sorte que le serveur et les machines clientes se trouvent dans l'intranet du client. On m'a conseillé dans une autre question de ne pas utiliser TeamViewer pour accéder au serveur, en utilisant des moyens plus sécurisés à la place, et moi aussi. Mais maintenant, je me demande si TeamViewer conviendrait ou non au client machines, qui ne sont pas "spéciales" pour ce système en particulier, mais je ne veux pas non plus baisser leur sécurité actuelle, ni compromettre l'ordinateur de mon côté.

Ma question, alors, est de savoir si TeamViewer est "assez bon" pour une prise en charge simple du bureau à distance, où il sera utilisé simplement pour aider les utilisateurs dans l'utilisation du système, et si je dois ou non prendre des mesures supplémentaires (comme changer les paramètres par défaut, changer le pare-feu, etc.) pour atteindre un niveau ou une sécurité satisfaisant.

Quelques détails:

  1. J'ai déjà lu la déclaration de sécurité de l'entreprise et à mon avis non expert, tout va bien. Cependant, cette réponse à cette autre question m'a mis en doute. Après quelques recherches, l'UPnP en particulier ne m'inquiète plus, puisque la fonctionnalité qui l'utilise - DirectIn - est désactivée par défaut. Mais je me demande s'il y a d'autres choses dont je devrais être conscient et qui ne sont pas couvertes dans ce document.

  2. L ' article de Wikipedia sur TeamViewer indique le port Linux utilise Wine. AFAIK qui n'affecte pas la sécurité du réseau, est-ce exact?

  3. En fin de compte, la responsabilité de sécuriser les réseaux de mes clients n'est pas la mienne, c'est la leur. Mais je dois les conseiller sur les possibilités de mise en place de ce système, en particulier parce que la plupart d'entre elles sont des petites et moyennes ONG sans personnel informatique propre. Souvent, je ne pourrai pas proposer une configuration "idéale", mais au moins je veux être en mesure de donner des conseils tels que: "si vous installez TeamViewer sur cette machine, vous ne pourrez pas faire X, Y et Z dedans, parce que je vais le désactiver "; ou: "vous pouvez installer TeamViewer sur n'importe quelle machine ordinaire de votre choix, c'est sûr dans sa configuration par défaut; seul celui-ci * pointe vers le serveur * est interdit".

  4. Mon Le choix de TeamViewer était uniquement dû au fait qu'il était simple à installer sur les machines Windows et Linux, et que cela fonctionne (son coût est également accessible). Mais je suis ouvert à d'autres suggestions. Mon budget et mon personnel spécialisé sont limités, donc je privilégie les outils les plus simples, mais je veux prendre une décision consciente quoi que ce soit.

Je préfère une solution autodestructrice à la demande comme join.me.
Join.me est un service Logmein qui n'est pas vraiment compatible avec Linux. Quelque chose à garder à l'esprit si vous n'êtes pas amoureux du vin.
@Joel Je suis amoureux du vin, même si je trouve que le mélanger avec le travail me rend incroyablement improductif
Je recommanderais de déployer des appliances de support à distance RHUB sur site. Ils fonctionnent derrière le pare-feu de votre entreprise et sont donc beaucoup plus sécurisés que les services hébergés.
UltraVNC propose un outil de connexion auto-destructif lancé par le client, compatible VNC également pour les clients Windows de visualisation à distance.
Neuf réponses:
Rory McCune
2012-02-29 02:56:48 UTC
view on stackexchange narkive permalink

Il existe quelques différences entre l'utilisation d'un fournisseur tiers (tel que teamviewer) et une solution de contrôle à distance directe (par exemple, VNC)

Team Viewer présente des avantages en ce sens qu'il ne nécessite pas de ports pour être ouvert sur le pare-feu pour les connexions entrantes, ce qui supprime un point d'attaque potentiel. Par exemple, si vous avez quelque chose comme l'écoute VNC (et qu'il n'est pas possible de restreindre les adresses IP source pour les connexions), alors s'il y a une vulnérabilité de sécurité dans VNC, ou un mot de passe faible est utilisé, alors il y a un risque qu'un attaquant puisse utilisez ce mécanisme pour attaquer votre client.

Cependant, il y a un compromis à faire, à savoir que vous fournissez un niveau de confiance aux personnes qui créent et exécutent le service (dans ce cas, teamviewer ). Si leur produit ou leurs serveurs sont compromis, il est possible qu'un attaquant puisse l'utiliser pour attaquer toute personne utilisant le service. Une chose à considérer est que si vous êtes un client payant du service, vous pouvez avoir un retour contractuel s'il est piraté (bien que cela dépende très probablement du service en question et de tout un tas d'autres facteurs)

Comme tout ce qui concerne la sécurité, c'est un compromis. Si vous avez un produit de contrôle à distance correctement sécurisé et que vous le gérez et le contrôlez bien, je serais enclin à dire que c'est probablement une option plus sûre que de compter sur un tiers de quelque nature que ce soit.

Cela dit, si les affirmations sur le site Web de TeamViewers sont exactes, il semble probable qu'ils accordent une assez grande attention à la sécurité, et vous pouvez également considérer que si quelqu'un pirate TeamViewer (qui en a un assez grand nombre des clients) quelle est la chance qu'ils vous attaquent :)

Très perspicace! En ce moment, je suis enclin à faire confiance à TeamViewer, mon propre manque d'expertise sur ce sujet pourrait rendre une solution personnalisée plus risquée qu'une solution toute faite, à court terme (tant que cette solution est bonne, naturellement). Mais je veillerai à pondérer ces arguments dans ma future stratégie.
+1 pour "tout en sécurité est un compromis". Ceci est une réponse à de nombreuses questions
Je ne serais pas si prompt à écarter la possibilité d’être une cible simplement parce que «quelle est la chance»
@micsthepick Il y a un smiley.Je pense que c'était du sarcasme, car de toute évidence, chaque client de Teamviewer a un problème si le service Teamviewer est compromis.
Bill Johnson
2013-06-01 02:34:23 UTC
view on stackexchange narkive permalink

Jetez un œil à cette analyse de sécurité de TeamViewer. En bref, il n'est certainement pas sécurisé sur les réseaux non approuvés: https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-3

Conclusion:

Je recommande que TeamViewer ne soit pas utilisé sur un réseau non approuvé, ou avec les paramètres de mot de passe par défaut. TeamViewer prend en charge l'augmentation de la force du mot de passe à une longueur configurable et l'utilisation de codes alphanumériques, mais il est peu probable que les utilisateurs occasionnels aient modifié ce paramètre. communication en clair entre client et serveur (plus de 100 commandes sont prises en charge et analysées côté client), ainsi que de nombreuses commandes d'égal à égal, acheminées via le serveur de passerelle. Malgré le danger pour cette surface d'attaque très exposée, le risque est quelque peu atténué par une utilisation intensive de std :: string et std :: vector au lieu de chaînes et de tableaux de style C.

C'est une très bonne information, j'aimerais pouvoir vous voter plus d'une fois! Je voudrais juste noter que de nombreux dangers présentés dans la page liée peuvent être atténués en ** ne laissant pas TeamViewer fonctionner sans surveillance, mais en l'ouvrant uniquement lorsque vous en avez besoin et en le fermant immédiatement après utilisation. Cela ne vous protégera pas contre un espionnage, mais si vous le pouvez [comme dans mon cas], vous pouvez également désactiver le contrôle à distance, de sorte qu'un attaquant actif ne pourra pas faire beaucoup de dégâts.
@mgibsonbr: Vous pouvez utiliser le mécanisme de primes SE pour donner une partie de votre représentant à Bill pour sa réponse.
@mgibsonbr, Bill, Veuillez résumer les 3 pages et mettre en place un résumé de cette réponse.
Le lien ci-dessus ne fonctionne plus.
JMK
2013-05-03 16:17:22 UTC
view on stackexchange narkive permalink

Je veux juste ajouter une réponse qui, je pense, n'a pas encore été abordée. Lorsque vous vous connectez via teamviewer à un autre ordinateur, vous partagez votre presse-papiers avec cet ordinateur (par défaut).

Par conséquent, tout ce que vous copiez dans votre presse-papiers est également copié dans le presse-papiers de l'ordinateur auquel vous êtes connecté. En installant une application de suivi du presse-papiers telle que ClipDiary, sur l'ordinateur hôte, vous pouvez conserver un enregistrement de tout ce qui est copié dans le presse-papiers par la personne qui se connecte à vous.

La plupart des Les réponses ici se concentrent sur la sécurité de l'ordinateur utilisé en tant qu'hôte, mais il s'agit également d'un problème de sécurité potentiel pour l'ordinateur se connectant à l'hôte, en particulier si vous utilisez un outil de gestion de mot de passe tel que KeePass, car l'ordinateur hôte pourrait potentiellement avoir un enregistrement des noms d'utilisateur et des mots de passe (et potentiellement des URL si vous copiez également l'URL de KeePass vers votre navigateur) dans l'historique du presse-papiers après la fin de votre session.

Bon point! Il est très facile d'oublier ce détail, et vous ne savez jamais ce qu'il y a dans le presse-papiers à aucun moment, car il est invisible ... alors je préfère jouer en toute sécurité et désactiver cette option.
@JMK, Wow, n'y a-t-il pas un moyen de désactiver ce comportement de presse-papiers automatisé?
@Pacerier Je pense que vous pouvez simplement décocher * Synchronisation du presse-papiers * sous Options avancées dans les paramètres de Teamviewer.
@JMK, Il est étrange que les autres réponses ici soient contradictoires. Certains disent que c'est sûr tandis que d'autres disent que ce n'est pas le cas.
Mon expérience avec TeamViewer est que Clipboard Sync est désactivé dans l'installation initiale. Vous devez l'activer vous-même, mais après cela, il reste allumé. Et je ne sais pas si le paramètre est par connexion.
@Heraldmonkey J'ai répondu à cela en mai 2013, peut-être que cela a changé depuis
D.W.
2012-02-25 20:44:32 UTC
view on stackexchange narkive permalink

Je ne connais pas assez TeamViewer pour vous donner une évaluation de ses risques ou s'il s'agit d'un bon choix pour votre situation. Mais je vais réitérer un commentaire de @Lie Ryan. Si vous déployez TeamViewer à cette fin, un moyen potentiel de réduire le risque d'attaques à distance consiste à configurer un pare-feu (sur les deux points de terminaison) qui bloque tous les accès aux ports TeamViewer, à l'exception des machines autorisées.

TeamViewer utilise [le port 80 sortant des deux côtés] (http://www.teamviewer.com/en/kb/10-Which-ports-does-TeamViewer-use.aspx). Je ne sais pas s'il utilise un cryptage de bout en bout ou si la société TeamViewer peut voir / modifier le trafic sur ses serveurs relais.
La [page Web] (http://www.teamviewer.com/en/products/security.aspx) prétend utiliser un chiffrement de bout en bout à l'aide de la cryptographie à clé publique / privée, de sorte que les serveurs de routage ne peuvent pas déchiffrer le trafic. Mais il n'entre pas dans les détails de la façon dont la confiance de la clé publique est gérée.
@HendrikBrummermann "ne rentre pas dans les détails sur la façon dont la confiance de la clé publique est gérée" - selon [cette réponse] (http://security.stackexchange.com/a/36773/6939), pas très bien ...
@mgibsonbr, Quelle section exactement?
@Pacerier euh, cela fait presque 3 ans que j'ai posé cette question, mais si je me souviens bien c'est cette partie de la partie 3: "Gardez à l'esprit que la réponse initiale RequestRoute2, contenant la clé publique de la destination, n'est en aucun cas authentifiée (...), donc cela peut être trivialement man-in-the-middle ... "Aussi:" Si la négociation de chiffrement peer-to-peer échoue pour une raison quelconque, l'un des clients (...) enverra un Commande CMD_RequestNoEncryption, qui désactivera tout le chiffrement d'égal à égal pour la session. La désactivation du chiffrement est silencieuse, sans effet perceptible par l'utilisateur. "
@mgibsonbr, Hmm, il devrait y avoir un paramètre qui peut arrêter ces désactivation silencieuse du cryptage.
thejh
2013-04-03 23:17:52 UTC
view on stackexchange narkive permalink

À propos de TeamViewer, il y a quelques choses que je pense que vous devriez garder à l'esprit:

  • Vous ne pouvez pas facilement regarder la source et vérifier sa sécurité, et c'est une connexion réseau surface d'attaque. Ce n'est pas si gentil - si vous êtes capable de créer un serveur OpenSSH avec l'authentification par mot de passe désactivée la partie Internet, faites-le. (Vous voudrez peut-être donner à l'utilisateur une méthode pour démarrer / arrêter le serveur.) Via le tunnel OpenSSH, vous pouvez simplement utiliser le VNC lié à l'hôte local pour vous connecter à l'affichage. Bien sûr, cette méthode ne fonctionne pas si bien si les PC en question sont derrière un pare-feu NAT / trop zélé et que vous n'avez pas de moyen de passer derrière ce pare-feu. Idées pour contourner le problème:
    • Vous pouvez utiliser un hack comme http://samy.pl/pwnat/ pour les ouvrir aux connexions depuis le Internet.
    • Vous pouvez faire le tunnel SSH dans le sens inverse: lorsqu'ils veulent du support, ils démarrent un script qui crée un tunnel SSH vers votre serveur de support et connecte une connexion TCP au serveur VNC au SSH connexion. Votre serveur de support a la clé publique du client dans son fichier authorized_keys avec une commande forcée qui connecte le client à votre client VNC inversé.
  • Si vous l'utilisez, assurez-vous de ne jamais avoir un système fonctionnant avec ce stupide système de code à 4 chiffres. Oui, ils ont des temps de verrouillage exponentiels, mais d'abord, vous ne voulez pas que le support soit verrouillé aussi facilement et deuxièmement, que se passe-t-il si quelqu'un essaie simplement une combinaison aléatoire sur 100000 PC exécutant teamviewer? Il obtiendra ~ 100 connexions établies sans se heurter à aucun verrouillage, je pense - afaik, le verrouillage est entièrement côté client.
Une analyse rapide par un tiers montre que c'est assez peu sûr en fait: http://blog.accuvant.com/bthomasaccuvant/teamviewer-authentication-protocol-part-1-of-3/
@mikebabcock le lien est rompu
Et Internet Archive à la rescousse: http://web.archive.org/web/20160306132655/http://www.accuvant.com/blog/teamviewer-authentication-protocol-part-1-of-3
Je ne pense pas que VNC via SSH soit plus sécurisé que teamviewer.
Larry Webb
2013-04-03 22:00:44 UTC
view on stackexchange narkive permalink

Teamviewer n'est pas une période sécurisée. Pensez-y. Teamviewer peut être configuré pour toujours utiliser le même ID de partenaire et le même mot de passe. Un code similaire peut être créé et lancé simplement par l'utilisateur cliquant sur un e-mail. Excellent outil? Absolument .. pour les gars comme moi qui supportent un grand nombre d'utilisateurs distants qui ne peuvent pas distinguer un deux-points d'un point-virgule. Mais sécurisé? Pas question non comment. Teamviewer permet l'accès à distance à un PC et peut contourner Cisco VPN ou toute autre sécurité VPN. Cette merde sur le fait que l'utilisateur final doit donner l'ID de partenaire et passer est juste que ... merde. Cela peut être contourné très facilement. Ne vous méprenez pas. J'aime Teamviewer. Mais ne vous leurrez pas, ce n'est pas du tout sécurisé.

Voulez-vous dire non sécurisé pour l'utilisateur ou non sécurisé pour le serveur ou les deux?
deed02392
2012-02-29 18:50:10 UTC
view on stackexchange narkive permalink

Je suggérerais une solution native telle que VNC, vous permettant d'omettre des solutions de contournement telles que TeamViewer dans WINE, etc., ainsi que d'utiliser l'utilitaire de gestion des packages de systèmes d'exploitation locaux pour vous assurer que la solution reste à jour. Pour la sécurité, utilisez un tunnel SSH. Cela garantit que toutes les communications VNC sont cryptées, y compris la négociation initiale d'authentification / mot de passe VNC. Ceci est particulièrement important car de nombreuses implémentations VNC sont plutôt non sécurisées.

De plus, comme un autre répondant l'a suggéré, utilisez le filtrage IP pour vous assurer que seuls ceux à certaines adresses sont capables de communiquer avec le serveur VNC.

Si vous suivez cette voie, vous pourriez également en théorie étendre le support aux clients externes grâce à l'utilisation d'un VPN. Il est beaucoup plus facile de bloquer tout le monde sauf une liste, puis essayez de vous soucier de tout le monde et essayez de sécuriser le réseau.
user31259
2013-09-26 12:27:01 UTC
view on stackexchange narkive permalink

Une façon de le gérer: si le client demande la disponibilité de TeamViewer, utilisateur démarre TeamViewer à la demande et admin le tue à la fin des tâches. Une autre solution que nous avons déjà déployée dans un tel cas est que TeamViewer est démarré à partir d'une session SSH par l'administrateur. Vous pouvez également vous pencher sur les outils de partage de bureau «Invitez-moi». Ou mon préféré: mettre en miroir la Xsession via SSH sur votre bureau.

Tuga
2012-10-11 16:53:38 UTC
view on stackexchange narkive permalink

Teamviewer donne à l'utilisateur de l'ordinateur la possibilité de donner une session à distance à son PC à n'importe qui sur Internet. Ainsi, la sécurité du réseau passe à l'utilisateur final! C'est interdit. Je vous conseille d'utiliser VNC.

Quelques références, ou plus de détails sur la façon dont l'affiche pourrait aider.
"la sécurité du réseau passe à l'utilisateur final" - je ne suis pas d'accord. TeamViewer en lui-même n'effectue aucune élévation de privilèges, de sorte que l'opérateur distant ne peut faire que ce que l'utilisateur local pourrait faire. Il pourrait y avoir d'autres raisons pour lesquelles un autre choix d'outils pourrait être meilleur, mais à mon humble avis, ce n'est pas l'un d'entre eux (l'utilisateur a ou n'a pas le pouvoir d'autoriser un opérateur distant, l'outil spécifique étant sans importance).


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...