En el clima económico actual, recurrimos cada vez más a herramientas de gestión remota para acceder al lugar de trabajo de un empleado o cliente. No hace mucho, los administradores del sistema estaban notablemente tristes ante las palabras "acceso remoto" y "reenvío de puertos". Ahora ya no necesitas buscar productos compatibles para conectar diferentes tipos de sistemas operativos, basta con instalar Team Viewer (TV), solo arranca, ni siquiera tienes que instalarlo. Además, en la televisión también puedes llamar, ver al interlocutor, escuchar su voz de sorpresa, y ahora ya estás "moviéndote" con el mouse sobre el escritorio de otra persona. pero como funciona? ¿Qué trampas aquí pueden amenazar a los administradores de sistemas? En este artículo, quiero considerar el principio de funcionamiento de este software más popular, y también compararlo con los análogos: Anydesk, AmyAdmin, Radmin, Google Remote Desktop, Dameware y Lite Manager.
Team Viewer
- Team Viewer GMBH 2005 .
- - , Windows, Linux, MacOS, Android Chrome app IoT enterprise — . - - ( ) . - Flash.
- .
- , , , AES-256, — RSA-4096.
- Team Viewer , . – .
NAT
Creo que es innecesario hablar mucho de NAT en Habré. Brevemente: el mecanismo traduce las direcciones IP locales de las redes a un público externo y se enrutan en Internet y viceversa. Funciona en el borde de la red.
Sin embargo, cuando se habla de televisión, es importante recordar los conceptos básicos y volver a contar brevemente la clasificación RFC de las redes NAT para comprender las posibles opciones para establecer una conexión:
- NAT de cono completo o NAT uno a uno : traducción inequívoca de pares. Todos los paquetes de la dirección IP interna: par de puertos pasan por la dirección IP externa: par de puertos. Cualquier host externo puede reenviar paquetes a una dirección interna: puerto a través de una dirección IP externa: par de puertos, siempre que el firewall lo permita.
- Restricted Cone NAT – («») : . , NAT , . c — .
- Port-restricted Cone NAT – , , , .
- NAT simétrica o NAT simétrica : con esta conexión, la dirección interior: puerto se convierte en un par libre aleatorio - dirección exterior: puerto. Dado que el par es dinámico, incluso si el mismo host interno envió una conexión desde el mismo puerto a otro destino, el par de mapeo cambia dinámicamente. Como resultado, el host externo solo puede enviar el paquete al host interno. En este caso, no es posible iniciar la conexión desde la red pública.
También hay implementaciones de NAT que combinan estos principios y, como resultado, se comportan de manera única.
Sobre los principios básicos de la televisión.
Team Viewer es un servidor y un cliente al mismo tiempo. La aplicación de TV utiliza servidores proxy en Internet para mantener conexiones activas. El tipo de conexión VP lo selecciona e instala el propio televisor.
Los desarrolladores no revelan el algoritmo exacto, sin embargo, de acuerdo con el análisis del registro en su conjunto, las opciones son las siguientes:
- Una conexión con dos IP externas, sin NAT es el caso más simple y común de establecer una conexión VPN, lo cual no nos interesa.
- IP- . , , , , . IP - TV. TCP UDP-. UDP hole punching. – , TV , . TV . , , , . . , TV, , , . , «firewall pinhole» .
- «» IP, (NAT). , NAT . TV https-. . – . , TV. 4G- hotspot .
A pesar de la enorme simplificación de las tareas de conexión, las desventajas de tales sistemas de control se derivan directamente de sus ventajas: el
televisor tiene versiones de soporte rápido que no requieren instalación o derechos de administrador e incluso comienzan desde una unidad flash USB. Basta con darle a la persona un enlace de enlace al programa. Dicha versión se puede generar con una contraseña previamente conocida y, aunque hay un límite para una sola sesión de 5 minutos, esto es suficiente para afianzarse y tomar el control del sistema operativo, o para obtener datos secretos.
La televisión ha dado un fuerte impulso al desarrollo de programas de control y acceso remoto. Hay decenas de alternativas, entre las conocidas en nuestro país Anydesk, AmyAdmin, Radmin, Google Remote Desktop, Dameware, Lite Manager. Si bien la pandemia de 2020 ha provocado un aumento increíble en la demanda, no todos los proveedores han crecido tanto como la televisión para mantenerse al día con las preocupaciones de seguridad.
Amyadmin. En 2016, es conocido por sobrevivir a un ataque en su sitio web, como resultado del cual se instaló la distribución oficial junto con el troyano Lurk. Aunque el problema se solucionó hace mucho tiempo, obstaculizó la popularidad del producto.
Anydesk.Un producto sensacional tanto en Rusia como en el mundo, gracias al campo del fraude y el trading near-banking. Hay un caso conocido de fraude de clientes (fraude) en el Banco de la Reserva de la India en 2019. Se ofreció a Anydesk que se pusiera en forma de chat para resolver problemas. En 2018, los japoneses de Trend Micro agregaron como firmas de virus los ensamblajes Anydesk disfrazados y modificados extraoficialmente utilizados para el ciberdelito. Desde entonces, en diferentes antivirus, el software puede funcionar como un virus. De hecho, Anydesk incluso tiene ventajas tecnológicas sobre la televisión en forma de un códec de video DeskRT más productivo, que comprime el tráfico y produce 60 cuadros / s frente a 30, así como una licencia más liberal.
Escritorio de Chrome OS- funciona directamente desde el navegador, que también se puede iniciar desde una máquina virtual o contenedor. Un ejemplo es el escritorio remoto de Google Chrome en un entorno aislado (tecnología de protección de aplicaciones) para el navegador Windows 10 Edge. Al mismo tiempo, la aplicación no tiene conexión con el sistema operativo principal, no tiene acceso a los discos o al portapapeles; cuando se cierra la ventana, el contenedor se destruye por completo.
El escritorio de Chrome OS es gratuito y eso lo dice todo. Sin embargo, no puede controlar su dispositivo móvil desde una PC, ni puede configurar su teléfono desde un teléfono. En este sentido, el escritorio de Chrome OS es significativamente inferior al televisor.
Los antivirus aún clasifican estos programas como software de riesgo, potencialmente peligroso para proporcionar acceso remoto. La comunidad de ciberseguridad caracteriza una categoría separada de delincuentes: los estafadores de soporte técnico. Estos son delincuentes que pretenden ser un soporte remoto legítimo para grandes corporaciones. El esquema básico se basa en llamadas en frío e ingeniería social con el fin de lograr la instalación de un televisor o similar, entonces sus enfoques son inventivos:
- instalación de un keylogger;
- renovación pagada de "claves de licencia caducadas";
- convencer a la víctima de que está siendo atacada por piratas informáticos ejecutando comandos en cmd - netstat o dir / s de recursividad;
- descargar o eliminar documentos confidenciales por distracción y exigiendo un rescate;
- bloquear el sistema operativo estableciendo una contraseña de inicio;
- mucho más fuera del alcance de este artículo.
La primera mención de tales casos comenzó en 2008. Dado que la televisión se traduce a 30 idiomas y es popular en casi todos los países del mundo, muchos han sufrido. Según las estadísticas, la televisión ya la utilizan más de 300 millones de personas.
Las medidas más poderosas para proteger las conexiones de Team Viewer
- El software está protegido por una firma de Verisign.
- El televisor ha sido certificado para cumplir con la norma ISO 27001.
- Se introdujo la grabación de sesiones.
- Se cambió el protocolo de autorización a SRP, se reforzaron las claves en TV. El intercambio de claves se realiza a través de RSA 4096 y la sesión está encriptada con AES 256. La TV asegura que "Man in the middle attack" es imposible.
- Se implementó la autenticación de dos factores para iniciar sesión en un registro.
- Se ha introducido una lista de bloqueo para las conexiones entrantes, incluidas las que están fuera de la red original.
- Se ha destruido la posibilidad de acceso de prueba ilimitado sin autorización (desde 2016).
A pesar de las medidas para proteger a las empresas, para los administradores, controles como la televisión son una pérdida de control y un gran dolor de cabeza. Junto a las puertas blindadas de las pasarelas de seguridad corporativas, con autorización y control de usuarios remotos, reciben una puerta constantemente abierta por la que se puede acceder a toda la intranet sin abrir puertos, sin autorizar y sin dejar registros de sesión VPN.
Un enlace al software puede provenir de cualquier lugar y de cualquier persona, basta con tener al menos algo de acceso a Internet y ya puede realizar un diálogo cifrado y controlar la PC. Y luego están los dispositivos BYOD (personales) que llevan al trabajo, donde incluso se puede instalar TV o su equivalente por defecto.
Sí, existen soluciones DLP que pueden detectar el lanzamiento de procesos y pasarelas novedosas como Checkpoint o Palo Alto, analizando y bloqueando el tráfico no por puertos, sino por firmas de aplicaciones, pero necesitan ser identificadas y agregadas. ¡Y cuántas versiones de este tipo puede haber!
Si usa dicho software según sea necesario, puede llegar a un conjunto de recomendaciones escritas por los propios desarrolladores.
Recomendaciones de desarrolladores al usar TV o analógicos
- No abandone su PC durante una sesión.
- Grabe las sesiones de otras personas, si es posible.
- Quite o deshabilite el software después de su uso.
- Utilice el software que descargó e instaló usted mismo, no el que se le envió.
- No acepte la ayuda de extraños: el "proveedor" o "Microsoft" no ofrecerán descargar y utilizar dicha solución.
En general, el concepto de Team Viewer me fascina. Es un producto revolucionario que equilibra comodidad, seguridad y funcionalidad. Simplemente funciona, no necesita reenviar puertos, ni entrar en los detalles del enrutamiento entre redes, ni configurar firewalls donde es simplemente imposible hacer esto. Trátelo con cuidado como un arma cargada: sepa a quién permite que se conecte, regule el uso en lo que respecta a la empresa y la vida se volverá más fácil.
Autor del artículo: Galiulin Timur GTRch