我的问题是,TeamViewer是否“足够好”以提供简单的远程桌面支持,它将仅用于协助用户使用系统,以及是否必须采取其他措施(例如更改默认设置,更改防火墙等)来帮助用户。达到令人满意的水平或安全性。但是,在另一个问题中的答案使我感到怀疑。经过研究后,UPnP不再让我担心,因为默认情况下禁用使用它的功能DirectIn。但是我想知道是否还有更多我应该意识到的事情未被文档覆盖。
关于TeamViewer的维基百科文章说Linux端口使用Wine。不影响其网络安全性的AFAIK正确吗?
最终,保护我的客户网络的责任不是我的,而是我的。但是我需要向他们提供有关建立该系统的可能性的建议,尤其是因为它们大多数是中小型NGO,没有自己的IT员工。通常,我无法提供“理想”的设置,但至少我想提供以下建议:“如果在此计算机上安装TeamViewer,则将无法执行X,Y和Z,因为我将其禁用”;或:“您可以在所需的任何常规计算机上安装TeamViewer,它的默认配置是安全的;仅此一个*指向服务器*是禁止的。”既可以在Windows和Linux机器上安装,它也可以正常工作(它的成本也是可以负担的)。但我愿意接受其他建议。我的预算和专业人员都很低,所以我会选择较简单的工具,但是无论如何我都想做出明智的决定。
#1 楼
使用第三方供应商(例如Teamviewer)和直接远程控制解决方案(例如VNC)之间有两个区别。Team Viewer的优点是不需要打开端口在防火墙上进行入站连接,从而消除了潜在的攻击点。例如,如果您有VNC侦听之类的东西(并且不可能限制连接的源IP地址),那么如果VNC中存在安全漏洞,或者使用了弱密码,那么就有攻击者可能使用这种机制来攻击您的客户。团队查看者)。如果他们的产品或服务器受到威胁,则攻击者很可能会利用它来攻击使用该服务的任何人。要考虑的一件事是,如果您是该服务的付费客户,那么如果他们被黑客入侵,您可能会获得一些合同收益(尽管这很可能取决于所涉及的服务以及其他因素的全部负担)
像安全性一样,这是一个折衷。如果您有一个安全性很高的远程控制产品并能很好地管理和控制它,那么我倾向于说这可能比依赖于任何第三者更安全。
这就是说,如果TeamViewers网站上的声明准确无误,那么他们似乎很可能对安全性给予了相当程度的关注,此外,您还可以考虑是否有人入侵了TeamViewer(他们拥有相当大的客户数量)他们有什么机会攻击您:)
评论
非常有见地!现在,我倾向于信任TeamViewer,我本人在这方面的专业知识的缺乏可能会使定制解决方案的风险远大于现成的短期解决方案(只要该解决方案自然是个好的解决方案)。但我会确保在我的未来策略中权衡这些论点。
– mgibsonbr
2012年2月28日22:00
+1是“安全中的一切都是折衷方案”。这是对许多问题的解答
– Shurmajee
13年4月4日在4:42
我不会因为“有什么机会”而很快放弃成为目标的可能性
–micsthepick
18年4月7日在8:11
@micsthepick有一个笑脸。我认为这很讽刺,因为如果TeamViewer服务受到损害,显然每个TeamViewer客户都会遇到问题。
–乔纳斯·斯坦(Jonas Stein)
19-09-10在20:58
#2 楼
看一下TeamViewer的安全性分析。简而言之,在不受信任的网络上绝对不安全:https://www.optiv.com/blog/teamviewer-authentication-protocol-part-1-of-3结论:
我建议不要在不受信任的网络或默认密码设置下使用TeamViewer。 TeamViewer确实支持将密码强度增加到可配置的长度,并使用字母数字密码,但是临时用户不太可能会更改此设置。请注意,TeamViewer中存在大量攻击面,需要进行更多分析,例如未经身份验证,客户端到服务器之间的纯文本通信(在客户端上支持并解析了100多个命令),以及通过网关服务器路由的许多对等命令。尽管存在暴露于如此多的攻击面的危险,但通过广泛使用std :: string和std :: vector而不是C样式的字符串和数组,可以一定程度地减轻风险。
评论
这是非常好的信息,我希望我能多次投票给您!我只想指出,可以通过不让TeamViewer不受监督地运行,而仅在需要时打开它,并在使用后立即关闭它,来减轻链接页面中显示的许多危险。那不会保护您免受窃听,但是,如果可以(如我的情况),您也可以禁用远程控制,因此活跃的攻击者将无法造成太大的伤害。
– mgibsonbr
2013年6月1日9:47
@mgibsonbr:您可以使用SE奖励机制将您的部分代表捐赠给Bill,以得到他的回答。
–沃伦·杨(Warren Young)
2013年9月25日15:38
@ mgibsonbr,Bill,请总结3页,并对这个答案进行总结。
–起搏器
15年2月16日在11:13
上面的链接不再起作用。
– EinarÓlafsson
20-2-6在10:53
#3 楼
我只想添加一个我认为尚未涉及的答案。当您通过teamviewer连接到另一台计算机时,您将与该计算机共享剪贴板(默认情况下)。,因此,复制到剪贴板上的所有内容也会复制到所连接计算机的剪贴板上。通过在主机上安装剪贴板跟踪应用程序(例如ClipDiary),您可以记录与您连接的人复制到剪贴板上的所有内容的记录。
这里的大多数答案都集中于用作主机的计算机的安全性,但这对于连接到主机的计算机也是一个潜在的安全问题,特别是如果您使用密码管理工具(例如KeePass),因为主机可能会记录用户名和密码会话结束后,在剪贴板历史记录中输入密码(如果也将URL从KeePass复制到浏览器,则可能包含URL)。
评论
好点子!忘记此细节非常容易,而且您永远都不知道剪贴板中的内容,因为它是不可见的...所以我宁愿放心使用它并禁用此选项。
– mgibsonbr
13年5月3日23:56
@JMK,哇,有没有办法禁用这种自动剪贴板行为?
–起搏器
2015年2月16日在10:57
@Pacerier我想您可以在Teamviewer设置的“高级选项”下取消选中“剪贴板同步”。
– JMK
15年2月16日在11:12
@JMK,奇怪的是这里的其他答案是矛盾的。有些人说它是安全的,而另一些人说不是。
–起搏器
15年2月16日在11:16
我对TeamViewer的经验是,在初始安装中,剪贴板同步已关闭。您需要自己打开它,但此后它将保持不变。而且我不确定设置是否为每次连接。
–Heraldmonkey
15年5月27日在6:03
#4 楼
我对TeamViewer的了解不足,无法为您评估其风险或它是否适合您的情况。但我要再次重申@Lie Ryan的评论。如果为此目的部署TeamViewer,则降低远程攻击风险的一种潜在方法是在两个端点上都设置防火墙,该防火墙阻止从授权计算机访问TeamViewer端口的所有操作。评论
TeamViewer在两端都使用端口80。我不知道它是否使用端到端加密,或者TeamViewer公司是否可以查看/修改其中继服务器上的流量。
–亨德里克·布鲁默曼
2012年2月26日17:28
该网页声称他们使用使用公钥/私钥加密的端到端加密,因此路由服务器无法解密流量。但是,它没有详细介绍如何管理公钥的信任。
–亨德里克·布鲁默曼
2012-2-26在17:32
@HendrikBrummermann“没有详细介绍如何管理公钥的信任”-根据此答案,不是很好...
– mgibsonbr
2013年6月1日9:53
@mgibsonbr,究竟哪一部分?
–起搏器
15年2月16日在11:14
@Pacerier嗯,我问这个问题已经快三年了,但是如果我没记错的话,这是第3部分的这一部分:方式(...),这样就可以轻松实现中间人操作...“另外:”如果由于任何原因对等加密协商失败,则其中一个客户端(...)将发送一个CMD_RequestNoEncryption命令,它将关闭会话的所有对等加密。关闭加密是无提示的,不会引起用户注意。”
– mgibsonbr
15年2月16日在15:17
#5 楼
关于TeamViewer,我需要牢记以下几点:您不能轻易查看源并验证其安全性,这是一种面向网络的攻击表面。那不是很好–如果您能够使基于密码的身份验证的OpenSSH服务器停用面向互联网的部分,请执行此操作。 (您可能希望为用户提供一种启动/停止服务器的方法。)通过OpenSSH隧道,您可以仅使用本地主机绑定的VNC连接到显示器。当然,如果有问题的PC位于NAT /狂热防火墙之后,并且您没有办法躲避该防火墙,则此方法将无法正常工作。解决这个问题的方法:
您可以使用像http://samy.pl/pwnat/这样的黑客工具来打开它们与互联网的连接。反向:当他们需要支持时,他们启动一个脚本,该脚本将SSH隧道连接到您的支持服务器,并将TCP连接连接到VNC服务器到SSH连接。支持服务器在其authorized_keys文件中具有客户端的公钥,并带有强制命令,该命令将客户端连接到反向VNC客户端。与那个愚蠢的4位数密码系统一起运行。是的,它们确实具有指数级的锁定时间,但是第一件事,您不希望支持被轻易锁定,第二件事,那么,如果有人只是在100000个运行teamviewer的PC上尝试一个随机组合怎么办?我认为他将获得约100个已建立的连接,而不会出现任何锁定,而afaik,该锁定完全是客户端。
评论
第三方的快速分析表明它实际上是不安全的:blog.accuvant.com/bthomasaccuvant/…
–mikebabcock
2013年12月6日17:12
@mikebabcock链接已断开
–乔纳斯·斯坦(Jonas Stein)
19年9月10日在20:59
和互联网档案馆进行救援:web.archive.org/web/20160306132655/http://www.accuvant.com/blog/…
–mikebabcock
19-09-18在12:54
我认为通过SSH的VNC不会比teamviewer更安全。
–王
19-10-26在16:35
#6 楼
Teamviewer不在安全期间。想一想。可以将Teamviewer配置为始终使用相同的合作伙伴ID和密码。只需用户单击电子邮件,就可以创建和启动类似的代码。很棒的工具?绝对..对于像我这样支持大量远程用户,无法用分号分辨冒号的人来说。但是安全吗?没办法没办法Teamviewer允许远程访问PC,并且可以规避Cisco VPN或任何其他VPN安全性。最终用户必须给出合作伙伴ID和密码的废话就是……废话。这很容易解决。不要误会我的意思。我喜欢Teamviewer。但是不要自欺欺人,这一点都不安全。评论
您是说对用户不安全还是对服务器不安全或二者兼而有之?
–起搏器
15年2月16日在11:15
#7 楼
我建议使用本机解决方案,例如VNC,使您可以省略WINE中的TeamViewer等变通办法,以及使用本地操作系统软件包管理实用程序来确保解决方案保持最新。为了安全起见,请使用SSH隧道。这样可确保对所有VNC通信进行加密,包括初始的VNC身份验证/密码握手。这一点特别重要,因为许多VNC实施都相当不安全。另外,正如另一位受访者所建议的那样,请使用IP过滤来确保只有那些位于特定地址的人才能与VNC服务器通信。 br />
评论
如果您采用这种方法,从理论上讲,您也可以通过使用VPN将支持扩展到外部客户端。阻止除列表之外的每个人都容易得多,然后让每个人都担心,并尝试保护网络安全。
–猎犬
2012年3月1日14:47
#8 楼
我们处理它的一种方式:如果客户端请求TeamViewer可用性,则用户可以按需启动TeamViewer,管理员在任务完成时将其杀死。我们曾经在这种情况下部署的另一种解决方案是,TeamViewer是由管理员从SSH会话启动的。或者,您可以研究“邀请我”桌面共享工具。还是我最喜欢的:通过SSH将Xsession镜像到您的桌面。#9 楼
Teamviewer使计算机用户能够与Internet上的任何人进行PC远程会话。因此,网络的安全性将传递给最终用户!那是不行的。我建议您使用VNC。评论
一些参考,或更详细的内容可能对海报有何帮助。
–马克C.华莱士
2012年10月11日12:49
“网络的安全性将传递给最终用户”-我不同意。 TeamViewer本身不会执行任何特权升级,因此远程操作员只能执行本地用户可以执行的操作。可能还有其他原因可能会导致选择其他工具更好,但是恕我直言,这不是其中之一(用户是否具有允许远程操作员的权限,而特定的工具无关紧要)。
– mgibsonbr
2012年10月29日在20:01
评论
我更喜欢像join.me这样的自毁式按需解决方案。Join.me是一个Logmein服务,它并不完全对Linux友好。如果您不喜欢葡萄酒,请记住一些事项。
@Joel我爱上了葡萄酒,尽管我发现将它与工作混合会使我难以置信的生产力
我建议在本地RHUB远程支持设备上进行部署。它们在您公司的防火墙后面工作,因此与托管服务相比,它们的安全性更高。
UltraVNC提供了一个自毁客户端启动的连接工具,该工具也兼容VNC,用于远程查看Windows客户端。