ฉันจะรู้ได้อย่างไรว่าพนักงานใช้ TeamViewer ในที่ทำงานหรือไม่


5

ฉันได้รับมอบหมายให้ช่วยฝ่ายรักษาความปลอดภัยอย่างใกล้ชิด พวกเขาอยู่ในขั้นตอนการว่าจ้างคนทำงานเครือข่ายโดยเฉพาะ แต่ในขณะนี้ฉันอยู่ใกล้ที่สุดแล้ว พวกเขาปิดการใช้งาน Skype และ IM ไปแล้วและพวกเขาเพิ่งได้ยินเกี่ยวกับ TeamViewer และมีความกังวลเกี่ยวกับผู้คนที่เข้ามาและเข้าถึงพีซีของเราผ่านเส้นทางนั้น

เห็นได้ชัดว่าเราปลอดภัยตราบเท่าที่ไม่มีใครในออฟฟิศใช้งาน แต่กฎนั้นไม่มีฟันหากตรวจไม่พบ เราควรมองหาที่ไหนและสิ่งที่เราควรรู้หากมีใครติดตั้งหรือไม่ (เนื่องจากคุณสามารถใช้งานได้โดยไม่ต้องติดตั้งเช่นกัน) กำลังใช้งานหรือเคยใช้มาแล้วในอดีต? สิ่งเหล่านี้ปรากฏในบันทึกคำขอของเว็บหรือไม่เนื่องจากทีวีใช้พอร์ต 80

คำตอบ:


5

เว็บไซต์ TeamViewer ระบุว่าพอร์ต TCP 5938 อาจจะใช้และพอร์ตที่ดูเหมือนว่าจะเปิดให้บริการบนเครื่องท้องถิ่นของฉันเมื่อมีการเรียกใช้ TeamViewer

ลองเรียกใช้การสแกนพอร์ตเพื่อค้นหาเครื่องที่เปิดอยู่บนพอร์ต 5938

ฉันยังสังเกตเห็นว่าเว็บเซิร์ฟเวอร์ในตัวใน TeamViewer ตอบกลับ "เว็บไซต์นี้กำลังใช้งาน TeamViewer" ดังนั้นจึงทำการสแกนพอร์ตที่พอร์ต 80 ด้วยและตรวจสอบผลลัพธ์ Nmap เป็นเครื่องมือที่ดีสำหรับการสแกนพอร์ต


นอกจากนี้หากคุณมีเว็บพรอกซี, บล็อกตัวแทนผู้ใช้ DynGate, URL teamviewer.com และ URL ใด ๆ ที่มีสตริง 'dyngate'
resmon6

ดังนั้นฉันจะต้องดูช่วงเวลาที่แน่นอนว่ามีคนใช้งานอยู่ มีวิธีการติดตามดูว่าเกิดอะไรขึ้นในขณะที่ฉันไม่อยู่ที่สำนักงานหรือในการประชุมหรืออะไร?
StormShadow

ใช่คุณอาจต้องตรวจสอบสคริปต์ที่ทำซ้ำทุกชั่วโมงหรือมากกว่านั้น อาจเป็นเรื่องง่ายในการตรวจสอบสคริปต์ที่ส่งอีเมลหากพบพอร์ตเปิดใด ๆ โดยเฉพาะอย่างยิ่งใน bash บนกล่อง Linux คุณต้องสร้างสคริปต์ที่ทำงานบนไฟร์วอลล์ / เราเตอร์เพื่อตรวจหาการเชื่อมต่อที่ใช้งานอยู่
Janek

2

ลองคำสั่ง:

avahi-browse -t -r _teamviewer._tcp

คุณจะได้รับรายการที่อยู่ IP:

eth0 IPv4 850808873        _teamviewer._tcp     local
hostname = [xxxxxx.local]
address = [172.16.0.81]
port = [2020]
txt = ["UUID=bd5064d1-5ec8-496c-93cd-c273ec37faa7" "Token=nHLKXaM19dWptBDw" "DyngateID=850808873"]
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.