Как заблокировать teamviewer mikrotik

Обновлено: 04.07.2024

Посоветуйте как лучше запретить указанное ПО, но не всем.

Попробуйте разрешать на fw ТОЛЬКО стандартные порты (TCP\80, TCP\443) и\или те порты, к-ые вам реально необходимы (можно создать алиас(ы) с ними). Все остальное будет закрыто по умолч.

Заворачиваете все dns (и ntp) запросы на адрес пф, создаете алиасы с ip\именами машин в вашей сети, пользуете правила fw с этими алиасами.

Не так просто.
Например по TeamViewer.

@lucas1
Здр
Вариантов решения я вижу 2

Мы работаем со следующими поставщиками центров обработки данных:

Amazon Web Services
Alibaba Cloud
Anexia Internetdienstleistungs- GmbH
IBM Cloud Deutschland
Microsoft Deutschland GmbH
Plusserver GmbH
Cloudflare, Inc.

Фильтрация DNS запросов на этапе установления соединения.
Немного подробнее - какими средствами?

@lucas1
Нарисуйте , плиз , схему , как ходят ДНС запросы
и каким клиентам планируется дать/ограничить доступ ?

Есть понимание , как это реализовать , но для этого нужно знать, как все организовано

Фильтрация DNS запросов на этапе установления соединения.
Немного подробнее - какими средствами?

Схема обычная local DNS Server - PFBlocker DNSBL - DNS Resolver - root zone.
Запретить всем, разрешить администраторам.

Заворачиваете все dns запросы на адрес пф с помощью port forwrd на ЛАН.

И перезапустить службу.

Зы. Спасибо за поднятую тему. Наконец-то интересная задача.

Прописал так для проверки на одном IP для AnyDesk (разрешить) :

server:
access-control-view: 192.168.X.Y/32 bypass
access-control-view: 192.168.0.0/24 dnsbl
view:
name: "bypass"
view-first: yes
view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*conf

Блокирует всех.
перезапускал DNS Resolver.

bypass - без PfBlocker, а Dnsbl - с PfBlocker?

@lucas1
А не - вроде все нормально.

Нет, ненормально.
Сначала AnyDesk разрешил для одного IP. Остальные не подключались.
Прошло некоторое время и этот один IP тоже перестал подключаться.
Добавил второй IP в bypass - он сразу не подключался.

@lucas1
Днс-кеш на клиенте сбрасывали? Делайте так всегда перед проверкой.

Этот способ подходит для небольших офисов, не имеющих домен Windows.
Т.е. действительно если DNS сервером на каждом компьютере является PfSense - то фильтрация по bypass и dnsbl проходит.

Но если есть Windows Domain со своим локальным DNS сервером, то все dns запросы идут от локального DNS сервера то никакой фильтрации не будет.

Но если есть Windows Domain со своим локальным DNS сервером.. никакой фильтрации не будет

Это не так, если на пф принудительно завернуты все ДНС-запросы, идущие вовне.
По такой схеме даже не требуется указывать явно ip пф-а как ДНС в сетевых настройках.
Делается это простым port forwrd на ЛАН пф-а.

Зы. По такой же схеме работает пфблокер, если кто не в курсе.

@werter
Что конкретно нужно сделать на PfSense,
чтобы "на пф принудительно завернуты все ДНС-запросы, идущие вовне".

Что конкретно нужно сделать на PfSense,
чтобы "на пф принудительно завернуты все ДНС-запросы, идущие вовне".

@blackWolf
Прочитал. Внимательно.
Только как это поможет разделить Sourse IP для запросов к DNS Fesolver от DNS сервера в локальной сети?
server:
access-control-view: 192.168.10.0/24 bypass
access-control-view: 192.168.20.0/24 dnsbl

В этом примере показано разделение по Source IP по сетям.
В нашей локальной сети и так все завернуто на PfSense по DNS и без этого правила NAT.

"Теперь любой DNS-запрос к любому внешнему IP-адресу приведет к тому, что брандмауэр ответит на запрос" - зачем это?


add address=46.165.192.0/24 list=TeamViewer
add address=77.223.130.0/24 list=TeamViewer
add address=80.237.157.0/24 list=TeamViewer
add address=80.237.220.0/24 list=TeamViewer
add address=81.169.168.0/24 list=TeamViewer
add address=85.25.143.0/24 list=TeamViewer
add address=85.214.154.0/24 list=TeamViewer
add address=85.214.222.0/24 list=TeamViewer
add address=87.230.58.0/24 list=TeamViewer
add address=87.230.70.0/24 list=TeamViewer
add address=87.230.73.0/24 list=TeamViewer
add address=87.230.74.0/24 list=TeamViewer
add address=87.230.83.0/24 list=TeamViewer
add address=88.198.141.0/24 list=TeamViewer
add address=95.143.195.0/24 list=TeamViewer
add address=95.221.37.0/24 list=TeamViewer
add address=141.255.191.0/24 list=TeamViewer
add address=178.33.227.0/24 list=TeamViewer
add address=178.77.120.0/24 list=TeamViewer
add address=216.108.224.0/24 list=TeamViewer
add address=93.95.99.232 list=TeamViewer
add address=93.95.99.233 list=TeamViewer
add address=88.198.6.55 list=TeamViewer
add address=88.198.6.54 list=TeamViewer
add address=185.41.186.225 list=TeamViewer
add address=159.122.189.0/24 list=TeamViewer
add address=159.122.90.0/24 list=TeamViewer
add address=159.8.191.0/24 list=TeamViewer
add address=159.8.209.0/24 list=TeamViewer
add address=159.8.67.0/24 list=TeamViewer
add address=169.50.71.0/24 list=TeamViewer
add address=169.54.83.0/24 list=TeamViewer
add address=169.55.164.0/24 list=TeamViewer
add address=178.162.204.0/24 list=TeamViewer
add address=178.255.152.0/24 list=TeamViewer
add address=178.255.153.0/24 list=TeamViewer
add address=178.255.154.0/24 list=TeamViewer
add address=178.255.155.0/24 list=TeamViewer
add address=178.255.156.0/24 list=TeamViewer
add address=188.172.192.0/24 list=TeamViewer
add address=188.172.204.0/24 list=TeamViewer
add address=188.172.219.0/24 list=TeamViewer
add address=188.214.134.0/24 list=TeamViewer
add address=217.146.13.0/24 list=TeamViewer
add address=217.146.14.0/24 list=TeamViewer
add address=217.146.21.0/24 list=TeamViewer
add address=217.146.26.0/24 list=TeamViewer
add address=217.146.31.0/24 list=TeamViewer
add address=217.146.4.0/24 list=TeamViewer
add address=37.187.133.0/24 list=TeamViewer
add address=37.187.172.0/24 list=TeamViewer
add address=37.187.250.0/24 list=TeamViewer
add address=37.252.224.0/24 list=TeamViewer
add address=37.252.225.0/24 list=TeamViewer
add address=37.252.227.0/24 list=TeamViewer
add address=37.252.230.0/24 list=TeamViewer
add address=37.252.231.0/24 list=TeamViewer
add address=37.252.232.0/24 list=TeamViewer
add address=37.252.246.0/24 list=TeamViewer
add address=37.252.247.0/24 list=TeamViewer
add address=37.252.248.0/24 list=TeamViewer
add address=37.252.253.0/24 list=TeamViewer
add address=37.48.93.0/24 list=TeamViewer
add address=80.79.119.0/24 list=TeamViewer
add address=88.198.136.0/24 list=TeamViewer
add address=91.121.39.0/24 list=TeamViewer
add address=91.121.45.0/24 list=TeamViewer
add address=91.121.48.0/24 list=TeamViewer
add address=92.51.156.0/24 list=TeamViewer
add address=162.220.223.0/24 list=TeamViewer
add address=37.187.147.0/24 list=TeamViewer
add address=37.187.251.0/24 list=TeamViewer
add address=46.105.114.0/24 list=TeamViewer
add address=80.79.115.0/24 list=TeamViewer
add address=188.172.223.0/24 list=TeamViewer
add address=217.146.1.0/24 list=TeamViewer
add address=217.146.8.0/24 list=TeamViewer
add address=80.79.124.0/24 list=TeamViewer
add address=37.252.254.0/24 list=TeamViewer
add address=185.41.186.217 list=TeamViewer
add address=88.198.6.56 list=TeamViewer
add address=65.52.140.0/24 list=TeamViewer
add address=40.113.89.0/24 list=TeamViewer
add address=169.55.150.0/24 list=TeamViewer

Мы нашли самый элегантный и простой способ блокирования удаленного помощника Teamviewer на маршрутизаторах Mikrotik, который не всегда используется для благих целей. Помимо блокировки мы также сохраняем список всех IP-адресов компьютеров, которые пытались запустить его и получить ID и пароль.

Клиент тимвьювера использует 4 подсети, которые с легкостью блокируются на маршрутизаторе. Для удобства все подсети мы вынесли в отдельный Address Lists. Все адреса, которые попадают в этот лист мы блокируем, а IP-адрес источника помещаем в отдельный список. Список нарушителей носит информационный характер, но можно применить к нему и более жестокие санкции. Тут на усмотрение руководства компании.

Актуальный список подсетей Teamviewer (upd. 01.11.2017)

  • 212.81.64.0/18
  • 185.188.32.0/24
  • 178.77.120.0/25
  • 81.31.5.48/28

По мере нахождения новых, мы будем расширять этот список.

Настройка Микротик

Блокируем определенный Address List на Mikrotik. Вкладка General

Блокируем определенный Address List на Mikrotik. Вкладка Advanced

Блокируем определенный Address List на Mikrotik. Вкладка Action

Добавляем IP-адрес в Access Lists на Mikrotik. Вкладка General

Добавляем IP-адрес в Access Lists на Mikrotik. Вкладка Advanced

Добавляем IP-адрес в Access Lists на Mikrotik. Вкладка Action

В результате IP-адрес любого компьютера, который попытается получить ID-номер у сервера Mikrotik, будет добавлен в список blocked, а ID-номер он так и не получит.

IP-адрес добавленный в Access List автоматически на Mikrotik

Выглядеть это будет так:

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Запретить программы удаленного управления TeamViewer&AnyDesk&etc

Есть ли у кого положительная практика блокировки использования популярного софта для удаленного доступа на рабочих станциях в сети средствами RouterOS?
На SQUID-е вполне эффективно решается указанием основного домена с точкой:

Все попытки соединения с серверами дропаются и проги не могут выйти в статус готовности к подключению (не зеленеют), на микроте адрес-листы такой синтаксис не поддерживают, а опробованные конструкции на Layer7 что-то не заработали у меня.

Частично трафик дропается по правилам, в т.ч. сами сайты тима и эни недоступны, но приложения по-прежнему подключаются((

Чтобы заблокировать полностью, нужно на DNS сервере блокировать адреса по регулярному выражению:

Попробуйте адреса в этом виде развернуть на 127.0.0.1 на DNS static
Ну и конечно помним об establised и related соединениях. То есть уже установленные соединения не пропадут по мановению волшебной палочки. Только со временем или после принудительного отключения всех соединений и паузы.

Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.

Возможно вопрос нужно решать другим способом - на рабочих станциях запретить использование и даже запуск посторонних програм с помощю Software Restriction Policies ?

Полезный материал.
Через статический dns пропадает возможность избирательно управлять использованием удаленного доступа в случае согласованной необходимости.
Более предпочтительным видится вариант блокировки через fw с возможностью использования белых списков.

Тим рубится наглухо, а вот приложение энидеска, повисев какое-то время на соединении, в конечном итоге подключается и работает, сволочь. Видимо, после неуспешных обращений по доменному имени лезет после по IP и авторизируется, хотя со сквидом выше такое у него не катит, при этом алгоритм блокировки тот же, только в случае со сквидом пользователю кроме порта сквида более ничего не доступно наружу. Отсюда вывод, Эни пользуется дополнительными IP-подсетями для подключения к своим серверам.
С регулярными выражениями в статическом днс поведение аналогичное - тим мертв, эни пролазит с задержкой.
Заворачивать запросы от "пользователя" на сторонние днс минуя микротика пробовалось, на решение задачи не повлияло.

Возможно вопрос нужно решать другим способом - на рабочих станциях запретить использование и даже запуск посторонних програм с помощю Software Restriction Policies ?

Возможно в определенных случаях со стороны клиента да, но задача блокировать и управлять согласованным доступом на уровне маршрутизатора.

На просторах еще находил реализацию с маркировками соединений и пакетов на основе layer7 для минимизации нагрузки на оборудование. Но Эни замедляеет также максимум ненадолго.
Кэш днс на роутере и клиенте зачищается, все соединения на вкладшке коннекшинс сбрасываются перед проверкой, но Эни пофиг.

Вообще, конечно, правы те админы, которые в подобных случаях начинают жестко регламентировать работу не только самой сети, но и устройств в ней. Не смотря на сопротивление хитропопых сотрудников. Грамотно составленная докладная с реальными данными на столе у руководства в большинстве случаев приводит к нужным результатам. Они у всех разные.
* По одной схеме рабочие станции сотрудников получают возможность подключаться лишь к ограниченному числу хостов.
* По другой схеме сотрудник получает ограниченное число трафика в месяц и при перерасходе не имеет выхода в сеть до конца месяца без объяснительной на имя руководства.
* Станции строго админятся, обычные юзеры имеют минимум прав. Запрет на запуск левых программ ( в том числе и portable).
* Все вводятся в домен, администрирование не в пример гибче.
* Пускаем все через программу для контроля за трафиком, результаты ежемесячно на стол к руководству с комментариями по злостным нарушения.
Вон попросите, народ поделится рабочими схемами, на их основе построите свою.
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить.

Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.

Ещё раз:
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить.

Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.

Вас услышали с первого раза, а будут обходить, будем решать по мере поступления проблем, в т.ч. организационно-административными мерами. Повторюсь, вопрос интересен именно технической реализацией инструментарием маршрутизатора.

Читайте также: