Рецепт от нашего админа

На DNS-сервере зона teamviewer.com прописывается в 127.0.0.1. И до свиданья! Ж;-)

P.S. Сам недели две мучился - забыл, что дома DNS-запросы рулились на конторские DNS-серверы, замучил поддержку TeamViewer...

И что там, окошками ворочать? Тоже мне удобство. Тормозное, антирабочее гумно.

«Я тебе один умный вещь скажу... Ты только не обижайся.» RDP в среднем существенно быстрее TeamViewer.

Он утверждает что у него продвинутые пользователи.

Спасибо, добрый человек. Получилось. Я просканировал этим скриптом

for i in `seq 101 20000` ; do dig +short server$i.teamviewer.com; done |sort -u

ptables -t mangle -A FORWARD -p udp --dport 5938 -j DROP                                                                            
iptables -t mangle -A FORWARD -p tcp --dport 5938 -j DROP                                                                            
iptables -t mangle -A FORWARD -s ТО.ЧТО.НАШЛИ.СКРИПТОМ -j DROP 

Если тебе не нужна гуй сессия, то да.

Впрочем я емаксом предпочитаю таки пользоваться с X форвардингом. В отличие от других редакторов, и вообще другого ПО, он отлично работает в мультиголовом режиме

На DNS-сервере зона teamviewer.com прописывается в 127.0.0.1. И до свиданья! Ж;-)

cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
::1             localhost6.localdomain6 localhost6
127.0.0.1  localhost.localdomain localhost 01com.com alchemy-lab.com ammyy.com anyplace-control.com dyngate.com dyngate.de dyngate.org gotoassist.com gotomypc.com http-tunnelclient.com instant-vpn.com logmein.com logmein.ru logmein123.com logmeinrescue.com netviewer.com norton-lambert.com notetoteapp.com ntradmin.com ntrconnect.com remoteexplorer.com remotelyanywhere.com showmypc.com teamviewer.com totalrc.com your-freedom.de your-freedom.net 

и Это НЕ РАБОТАЛО

И они сами пропишут себе нужные узлы в hosts? Тогда дополнительно можно всю зону заблокировать в iptables - хотя я думаю, что это может быть и overkill, и блокировка DNS проблему решит. Можно и хитрее сделать - не 127.0.0.1 использовать, а несколько реальных адресов (я думаю, что какой-нибудь «Демос» не сильно обидится паре десятков дополнительных запросов в день на http://www.ru).

А как сделать исключение для одного IP, чтобы я мог законектиться?

Ето провал

RDP в среднем существенно быстрее TeamViewer

Для RDP 3389 нужно специально пробросить на сервере, а это юзерам никто не даст.

А они не на прокси ли разрешали имена? Очень на то похоже.

Да я не к тому, в общем-то. Я реагировал на характеристику RDP как тормозного и не работоспособного - в то время как у меня с ним проблем по скорости как раз намного меньше всегда, чем с TeamViewer.

Они пропишут 8.8.8.8, не?

А вот это уже вполне лечится iptables - и просто, к тому же. Всего пара строчек.

А ведь он не один такой...

Возьми ты уже tcpdump + wireshark ( GUI ) и посмотри, куда идёт подключение

Уже никуда не идет - все заблокировано. «Замуровали,...» (с)

А ведь он не один такой...

А iptables - один. На шлюзе. Не дающий TCP/UDP 53 наружу никому, кроме внутренних серверов DNS. Ж;-)

Наловилось 560 с лишним IP-адресов... Зловредство прямо какое-то со стороны разработчиков.

566 если быть точным (у меня)

у тимвьювера должен быть какойто протокол - можно забанить через стрингс по начальному пакету

А у вас продвинутый пользователь не может загрузиться с флешки или с СД на ноуте, и сбросить пароль?

На прошлом месте работы, где была секретность, не мог ни один пользователь сделать ввиду отсутствия usb, cd-rom и пр. излишеств.

У меня 568 (565 server'ов и 3 master'а).
Причем эти гады не покупают себе AS, а пользуются айпишками Host Europe, и банить их зонами категорически невозможно :(

у тимвьювера должен быть какойто протокол - можно забанить через стрингс по начальному пакету

идея правильная, только пока никто его сниффером не ковырял... и насколько я понимаю, там обычный HTTP SSL без собственных вкраплений.

я вот глянул - там передаётся hta приложение

Кстати, стрингс бесполезен при попытке банить SSL, пакеты-то шифрованые. Коварные гады. :)

hta нешифровано - в самом начале как запускаешь приложение

URL какой-то стандартный или рандомный с одного и 568 адресов?

я уже закрыл рыбакит - завтра детально посмотрю и попробую

Прочитал только пяток первых комментов.

У меня другая проблема: скуп нужен начальству. А когда запрещаю tv, внезапно он перестаёт работать. Интернет полон легендами, якобы скуп и tv могут обходить любые NAT'ы и всё такое.... Но это неправда. Даже анализатор трафика (самый примитивный) рубит намертво. Я даже тему завёл на скуповском форуме. Так и так, говорю ребята - какой порт открыть, чтобы работало, кроме 443? Ответа нет.

Кстати, что характерно, спрашиваю у скуповцев, как направить его на другой порт? В ответ: рулите на наш форум - типа там ответы. Настроек нету. :(

внезапно он перестаёт

На всякий случай уточню - запрещаю tv - не работает скайп (ака скуп)

И, кстати, по теме - серверов у них немеряно. iptables не поможет.

Вот потому и полезно читать треды, прежде чем писать: тут и скрипт есть для выявления всех ip-адресов, и попытки поймать сигнатуру сниффером.

запрещаю tv - не работает скайп (ака скуп)

ты я так понял 443 порт затыкаешь.
ну как бы... да, лечение головной боли методом отрубания головы.

Как раз 443 в браузерах работает как положено. Ибо «примитивный» сканер только ищет нарушения протокола. Всё работает как обычно - файлы по ssl качаются, странички открываются. Отрубаются тока tv (я сам хотел его отрубить, у меня, как и у ТС слишком многие завели) ну и скип. Вот это нежелательно.

И по какому признаку фильтруется?

скрипт есть для выявления всех ip-адресов, и попытки поймать сигнатуру сниффером.

админ штоле? Я из-за этого на линух и перешел: меньше проблем. iptables в связке с работающим dns отрубает всякие вконтакты на ура.

А вот как ты отрубишь скайп, без сканера?

Я скайп не рублю, необходимости такой не было - в организациях с секретностью ничего не админю, а у остальных скайп - часть бизнес-процесса, ибо мелкие сильно.

здесь

Если ты тру, приведу фрагмент второго параграфа:

HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.

Камрад, я у тебя не лекции по устройству https спрашиваю, а по каким признакам ты фильтруешь пакеты тв. Это вроде как не военная тайна, ты можешь и не отвечать, но смысла я в этом не вижу.

Собственно что я имел в виду: !«супер программисты» придумали такой бинарный протокол, который не укладывается в handshake.

Я скайп не рублю, необходимости такой не было

И да - я хотел зарубить только tv.

То есть какой-то определенной сигнатуры нет, и банится оно только по этому признаку?

Как ты/вы представляешь себе потоковую дешифрацию? Тем более простейшим сканером? Единственно, как можно отрубать, это на элементарных вещах, вроде согласования протоколов (aka handshake).

Я просто ищу нересурсоемкий способ это дело банить, пока кроме блэклиста айпишек с периодическим его обновлением ничего не придумалось. Обновление можно автоматизировать, но непонятно, что будет делать, когда они догадаются субдомены хэшами или uuid'ами называть.

Прям предвижу следующий твой вопрос: как вообще могут существовать защищенные протоколы? Ответ: они используют другие в качестве нижнего уровня. Тока дебилы из скупа и tv догадались использовать свой.

Не угадал с вопросом :)
Да, в тырнетах предпочитаю на «ты», анонимусы все равны.

Согласование протоколов, в том числе, включает в себя ответ от удалённого сервера. Даже если «злоумышленник» на твоей стороне пытается открыть защищённое соединение, ты всегда можешь проанализировать ответ. Приблизительно так (по-моему) должны работать сканеры. Но, скорее всего они поступают проще: размеры (в байтах) пакетов извествны. Если кто-то не укладывается в стандарт - рубить. Заодно и против офтоп вирусов эффективно.

Если кто-то не укладывается в стандарт - рубить. Заодно и против офтоп вирусов эффективно

осталось взять в зубы сниффер и вдумчиво поковырять хендшейк тв...

Отнюдь. Как я уже говорил тв не укладыватся в стандарт. К сожалению скуп тоже не укладывается. Поэтому приходится использовать репрессивные меры.

В это время

...по интернетам гуляют мифы что нат и фаерволы херня...

Как я уже говорил тв не укладыватся в стандарт. К сожалению скуп тоже не укладывается

Но ведь они могут не укладываться по-разному.

Все биосы запаролены, системники опечатаны, CD-ромов в компах нет, usb отключено в биосах, на компах везде линуксы(кроме одного с маздаем), рутовых паролей ни у кого нет. Программеры для тестов(проверки нужных версий софта, библиотек и т.д.) имеют свои виртуалки на сервере с openvz с рутовым доступом, манагерам, понятное дело, это не надо. На шлюзовом фаере разрешена инициализация соединения только с внутреннего интерфейса, на каждом пользовательском компе входящие соединения запрещены вообще, исходящие только по разрешённому списку, прокся режет полинтернетов. Пользователи прикованы к стульям, приваренным к полу, работают за еду. В целом нареканий не было. Если кому необходим какой-то необычный доступ, пишется заявление на отдел безопасности, если одобряют, админам приходит установка доступ открыть(некоторым манагерам всекта нужна для работы с клиентами, а она закрыта была, само собой).