Запретить программы удаленного управления TeamViewer&AnyDesk&etc

Обсуждение ПО и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

https://vikilpet.wordpress.com/2017/12/ ... e-control/
Мне интересными показались эти строки
Чтобы заблокировать полностью, нужно на DNS сервере блокировать адреса по регулярному выражению:

Код: Выделить всё

.+\.teamviewer\.com
Попробуйте адреса в этом виде развернуть на 127.0.0.1 на DNS static
Ну и конечно помним об establised и related соединениях. То есть уже установленные соединения не пропадут по мановению волшебной палочки. Только со временем или после принудительного отключения всех соединений и паузы...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Возможно вопрос нужно решать другим способом - на рабочих станциях запретить использование и даже запуск посторонних програм с помощю Software Restriction Policies ?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вообще, конечно, правы те админы, которые в подобных случаях начинают жестко регламентировать работу не только самой сети, но и устройств в ней. Не смотря на сопротивление хитропопых сотрудников. Грамотно составленная докладная с реальными данными на столе у руководства в большинстве случаев приводит к нужным результатам. Они у всех разные.
* По одной схеме рабочие станции сотрудников получают возможность подключаться лишь к ограниченному числу хостов.
* По другой схеме сотрудник получает ограниченное число трафика в месяц и при перерасходе не имеет выхода в сеть до конца месяца без объяснительной на имя руководства.
* Станции строго админятся, обычные юзеры имеют минимум прав. Запрет на запуск левых программ ( в том числе и portable).
* Все вводятся в домен, администрирование не в пример гибче.
* Пускаем все через программу для контроля за трафиком, результаты ежемесячно на стол к руководству с комментариями по злостным нарушения.
Вон попросите, народ поделится рабочими схемами, на их основе построите свою.
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ещё раз:
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну-ну, то-то я смотрю тут в теме прям отбою нет от желающих поизобретать средствами Микротика. Удачи...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
KaNelam
Сообщения: 619
Зарегистрирован: 11 июл 2017, 13:03

Тимвивер ипользует порт 5938, блокируйте.


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Мои эксперименты привели к следующему:
1) teamviewer блочится достаточно легко. Все адреса к которым он конектится начинаются на routerX.teamviewer.com где X-цифра от 1 до...... Поэтому тут нам в помощь статический DNS
2) ammyy блочится также по доменному имени
3) anydesk Эта зараза использует диапазон адресов, мне так и не удалось все их в сети найти и заблокировать
Я использую PiHole, где на основе регулярных выражений блокирую teamviewer и ammyy

По поводу избирательно блокировать. Микротик это маршрутизатор а не сетевой экран. Да многие вещи можно сделать в нём через жопу слона на лыжных палках, но для Ваших задач есть вполне конкретные устройства: называются они сетевые экраны ну или на крайняк прокси сервера. Реализовать все хотелки в микротике....Ну можно наверное...маркировка пакетов, скрипты..... пробуйте, учитесь))


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

mrrc писал(а): 17 апр 2021, 10:14 UPD.
Вот сейчас на время опять вернувшись к вопросу, Эни полностью глушится добавлением в адрес-лист с последующей блокировкой доменного имени
relays.net.anydesk.com, которое резолвится в свою очередь в порядка 400 айпишников. Глубоко не тестил, но Эни ушел в вечное соединение с сетью.
А вот сейчас не понял что-то. Я же давал ссылку, там русским языком написано:
Чтобы заблокировать полностью, нужно на DNS сервере блокировать адреса по регулярному выражению:

.+\.teamviewer\.com

.....AnyDesk блокируется аналогичным образом через regexp или фаервол:

.+\.anydesk\.com
Что, вот такой финт не работал?

Код: Выделить всё

/ip dns static add address=127.0.0.1 regexp=".+\\.anydesk\\.com"
Просто, чтобы не резолвить 400+ адресов...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну не знаю, возможно. Хотя по логике вещей в статике все запросы из диапазона, описанного в регулярном выражении, направляются на прописанный IP-адрес ( в приведённом примере это 127.0.0.1). Тот же резолв выходит, только обрабатывается он на своём DNS, и наружу не выпускается.
Тут уж или регулярка неточная, или кэш остался, или соединения не погашены были. Вообще, такие настройки мною не очень любимы. Потому что как правило не учтешь какую-нибудь мелочь и тянется эта канитель несколько дней. А потом бац! да работает же всё, что ты копаешься! Впрочем ладно, на данный момент будем считать ваш результат самым удачным, отправлю тему в закладки, при случае можно ссылаться.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Заморачивался этим вопросом давненько. примерно год назад. Решил так:
1. Для запрета AnyDesk - дропаем всё на relays.net.anydesk.com
2. Для запрета Ammyy - дропаем всё на rl.ammyy.com
3. Для запрета AeroAdmin - дропаем всё на authNN.aeroadmin.com, где вместо NN числа от 1 до 20 (возможно их больше, но мне этого хватило)
4. Для запрета LightManager - дропаем всё на 89.108.101.61 и 91.240.86.200 (возможно в будущем они добавят ещё своих адресов, но покачто только эти + не стоит забывать, что разрабы дали возможность создавать свои персональные сервера)
5. Для запрета Google Remote Desktop - дропаем всё на remotedesktop-pa.googleapis.com и remotedesktop.google.com (но важно учитывать, что такие сервисы как гугл календарь перестают работать, а гмаил работает со значительными сбоями)
6. Вишенка на торте. TeamViewer. Средствами микротика НЕРЕШАЕМО (!!!). Зато решаемо с помощью внутреннего DNS сервера. У меня он на базе Windows Server и мне хватило создать корневую зону teamviewer.com с заворотом на 127.0.0.1. Это дало абсолютный отвал всех его сервисов и лучше я так и не придумал. Возможно через сторонние сетевые экраны это решается ещё ловчее, но меня это полностью устраивает и сегодня.


Ответить