Clever Geek Handbook

TeamViewerのしくみ

画像



現在の経済情勢では、従業員や顧客の職場にアクセスするために、リモート管理ツールにますます注目しています。少し前までは、「リモートアクセス」と「ポートフォワーディング」という言葉で、システム管理者は非常に悲しかったです。さまざまな種類のオペレーティングシステムを接続するために互換性のある製品を探す必要がなくなりました。TeamViewer(TV)をインストールするだけで十分です。起動するだけで、インストールする必要もありません。さらに、テレビでは、電話をかけたり、対話者を見たり、驚いた声を聞いたりすることもできます。これで、他の人のデスクトップ上でマウスを使ってすでに「移動」しています。しかし、それはどのように機能しますか?ここでの落とし穴は、システム管理者を脅かす可能性がありますか?この記事では、この最も人気のあるソフトウェアの動作原理を検討し、アナログ(Anydesk、AmyAdmin、Radmin、Googleリモートデスクトップ、Dameware、Lite Manager)と比較したいと思います。



Team Viewer



  • Team Viewer GMBH 2005 .
  • - , Windows, Linux, MacOS, Android Chrome app IoT enterprise — . - - ( ) . - Flash.
  • .
  • , , , AES-256, — RSA-4096.
  • Team Viewer , . – .


NAT



HabréでNATについて多く話す必要はないと思います。簡単に言うと、このメカニズムは、ネットワークのローカルIPアドレスを外部のパブリックに変換し、インターネット上でルーティングします。その逆も同様です。ネットワークのエッジで機能します。



ただし、TVについて話すときは、基本を覚えて、NATネットワークのRFC分類を簡単に再説明して、接続を確立するための可能なオプションを理解することが重要です。



  • フルコーンNATまたはNAT1対1-ペアの明確な変換。内部IPアドレス:ポートペアからのすべてのパケットは、外部IPアドレス:ポートペアを通過します。外部ホストは、ファイアウォールで許可されている場合、外部IPアドレス:ポートのペアを介して内部アドレス:ポートにパケットを転送できます。
  • Restricted Cone NAT – («») : . , NAT , . c — .
  • Port-restricted Cone NAT – , , , .
  • 対称NATまたは対称NAT-この接続では、内部アドレス:ポートはランダムな空きペアに変換されます-外部アドレス:ポート。ペアは動的であるため、同じ内部ホストが同じポートから別の宛先に接続を送信した場合でも、マッピングペアは動的に変化します。その結果、外部ホストは内部ホストにのみパケットを送り返すことができます。この場合、パブリックネットワークからの接続開始はできません。


これらの原則を組み合わせ、その結果、独自に動作するNAT実装もあります。



画像



テレビの基本原理について



Team Viewerは、サーバーであると同時にクライアントでもあります。TVアプリケーションは、インターネット上のプロキシサーバーを使用して接続を維持します。VP接続タイプは、テレビ自体によって選択およびインストールされます。



開発者は正確なアルゴリズムを開示していませんが、ログ全体の分析によると、オプションは次のとおりです。



  • NATを使用しない2つの外部IPを使用した接続は、VPN接続を確立する最も単純で最も一般的なケースですが、これは私たちにとって興味深いことではありません。
  • IP- . , , , , . IP - TV. TCP UDP-. UDP hole punching. – , TV , . TV . , , , . . , TV, , , . , «firewall pinhole» .
  • «» IP, (NAT). , NAT . TV https-. . – . , TV. 4G- hotspot .




接続タスクが大幅に簡素化されているにもかかわらず、このような制御システムの欠点は、その利点から直接得られます



。TVには、インストールや管理者権限を必要とせず、USBフラッシュドライブから起動するクイックサポートバージョンがあります。その人にプログラムへのリンクリンクを与えるだけで十分です。このようなバージョンは、既知のパスワードを使用して生成できます。1回のセッションは5分に制限されていますが、これは、足場を築いてOSの制御を奪ったり、秘密のデータを取得したりするのに十分です。



テレビは、リモートアクセスおよび制御プログラムの開発に強力な推進力を与えています。数十の選択肢があります-私たちの国でよく知られているものの中には、Anydesk、AmyAdmin、Radmin、Googleリモートデスクトップ、Dameware、LiteManagerがあります。 2020年のパンデミックにより需要が大幅に増加しましたが、セキュリティ上の懸念に対応するためにすべてのベンダーがテレビほど大きく成長したわけではありません。



Amyadmin。 2016年、彼は自分のWebサイトへの攻撃を生き延びたことで有名であり、その結果、Lurkトロイの木馬とともに公式ディストリビューションがインストールされました。この問題はずっと前に修正されましたが、それは製品の人気を妨げました。



Anydesk。ニアバンキング詐欺と取引の分野のおかげで、ロシアと世界の両方でセンセーショナルな製品。 2019年にインドのリザーブバンクで顧客詐欺(詐欺)の既知のケースがあります。Anydeskは問題を解決するためにチャットを装って提供されました。 2018年、サイバー犯罪に使用された非公式に変更された偽装されたAnydeskアセンブリが、トレンドマイクロの日本人によってウイルスシグネチャとして追加されました。それ以来、さまざまなアンチウイルスで、ソフトウェアはウイルスのように機能する可能性があります。実際、Anydeskは、トラフィックを圧縮し、30に対して60フレーム/秒を生成するより生産的なDeskRTビデオコーデックの形で、TVに比べて技術的な利点があり、より自由なライセンスもあります。



ChromeOSデスクトップ-ブラウザから直接動作します。ブラウザは、仮想マシンまたはコンテナから起動することもできます。例としては、Windows 10 Edgeブラウザー用の分離環境(アプリケーションガードテクノロジー)にあるGoogleChromeリモートデスクトップがあります。同時に、アプリケーションはメインOSと接続せず、ディスクやクリップボードにアクセスできません。ウィンドウを閉じると、コンテナーは完全に破壊されます。



Chrome OSデスクトップは無料で、それがすべてです。ただし、PCからモバイルデバイスを制御したり、電話から電話を設定したりすることはできません。この点で、ChromeOSデスクトップはテレビよりも大幅に劣っています。



画像



アンチウイルスは依然としてこれらのプログラムをリスクウェアとして分類しています-リモートアクセスを提供するのは潜在的に危険です。サイバーセキュリティコミュニティは、別のカテゴリの犯罪者、つまりテクニカルサポート詐欺師を特徴づけています。これらは、大企業の合法的なリモートサポートを装った詐欺師です。基本的なスキームは、テレビなどの設置を実現するためのコールドコールとソーシャルエンジニアリングに基づいており、そのアプローチは独創的です。



  • キーロガーのインストール。
  • 「期限切れのライセンスキー」の有料更新。
  • cmd --netstatまたはrecursion dir / sでコマンドを実行して、ハッカーに攻撃されていることを被害者に納得させます。
  • 気を散らして身代金を要求することにより、機密文書をダウンロードまたは削除する。
  • 起動パスワードを設定してOSをロックする。
  • この記事の範囲をはるかに超えています。


そのようなケースの最初の言及は2008年に始まりました。テレビは30の言語に翻訳されており、世界のほぼすべての国で人気があるため、多くの人が苦しんでいます。統計によると、テレビはすでに3億人以上が利用しています。



TeamViewerから接続を保護するための最も強力な手段



  • ソフトウェアはVerisign署名によって保護されています。
  • TVは、ISO27001規格への準拠が認定されています。
  • セッションレコーディングが導入されました。
  • 認証プロトコルがSRPに変更され、テレビでキーが強化されました。キーの交換はRSA4096を介して実行され、セッションはAES 256で暗号化されます。TVは、「中間者攻撃」が不可能であることを保証します。
  • レコードにログインするための2要素認証を実装しました。
  • 元のネットワーク外の接続を含む着信接続に対して、ブロッキングリストが導入されました。
  • 許可なしの無制限のテストアクセスの可能性は破壊されました(2016年以降)。


画像



企業を保護するための対策にもかかわらず、管理者にとって、テレビなどの制御は制御の喪失と大きな頭痛の種です。企業のセキュリティゲートウェイの装甲ゲートに加えて、リモートユーザーの承認と制御により、VPNセッションログを承認したり残したりすることなく、ポートを開かずにイントラネット全体にアクセスできる、常に開いているゲートを受け取ります。



ソフトウェアへのリンクはどこからでも誰からでもアクセスできます。インターネットに少なくともある程度アクセスできれば十分であり、暗号化された対話を実行してPCを制御できます。そして、機能するBYOD(パーソナル)デバイスがあり、TVまたはそれに相当するものをデフォルトでインストールすることもできます。



はい、プロセスの起動を検出できるDLPソリューションと、CheckpointやPalo Altoなどの新しいゲートウェイがあり、ポートではなくアプリケーションの署名によってトラフィックを分析およびブロックしますが、それらを識別して追加する必要があります。そして、そのようなバージョンはいくつありますか?



必要に応じてそのようなソフトウェアを使用する場合は、開発者自身が作成した一連の推奨事項にたどり着くことができます。



TVまたはアナログを使用する場合の開発者の推奨事項



  • セッション中にPCを離れないでください。
  • 可能であれば、他の人のセッションを記録します。
  • 使用後はソフトウェアを削除または無効にしてください。
  • 送信されたものではなく、自分でダウンロードしてインストールしたソフトウェアを使用してください。
  • 見知らぬ人からの助けを受け入れないでください-「プロバイダー」または「マイクロソフト」は、そのようなソリューションをダウンロードして使用することを提案しません。


全体として、TeamViewerのコンセプトは私を魅了します。利便性、安全性、機能性のバランスが取れた革新的な製品です。それは機能するだけで、ポートを転送したり、ネットワーク間のルーティングの詳細を調べたり、これを行うことが単に不可能なファイアウォールを構成したりする必要はありません。装填された銃のように注意して扱ってください。誰に接続を許可するかを知り、会社に関しては使用法を規制すれば、生活が楽になります。



記事の著者:ガリウリンティムール GTRch


More articles:


All Articles