- ベストアンサー
TeamViewerを利用不可能にしたい。
社内のパソコンにTeamViewerを仕込み自宅からアクセスしている社員がいるようです。 この様なことは禁止事項ですので通信を遮断したいと思います。 どのような方法があるのでしょうか? 尚、 ファイヤーウォールはジュニパーネットワークスのSSGシリーズ。 ウインドウズのユーザー権限を落とすことは考えていません。
- legacy_bp5_20r
- お礼率93% (108/116)
- ネットワーク
- 回答数4
- ありがとう数17
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
No.2です。 実は私は質問者さんとは逆の立場でTeamViewerの導入を検討しています。 TeamViewerの試用版で評価を行っていましたが、私の環境では通信が非常に遅いことがわかりましたので、その対策のため通信をキャプチャしたりしています。(問題点はほぼ解決しています) その時に得た情報を書きます。 初めにお断りしておきますが、私は通信を通すことを主眼に置いて調査したのと、 実際の通信についての情報はベンダーしかわからないので、対処するにはベンダーに聞く必要があるということです。 (日本語での連絡先およびメールでのサポートがあります。ただこのような情報を公開してくれるかは疑問ですが) 私が見た中では以下のサーバに接続していることを確認しています。 ping?.dyngate.com master*.teamviewer.com 前者の?は一桁の数字でした。 後者の*は一桁又は二桁の数字でした。 前者が通信方法を決定するためのもので、後者が実際の通信のような感じでした。 (質問者さんもキャプチャしてみるとよくわかるかも) この両者への通信を一切出来ないようにすれば遮断できるかもしれません。 (ポート443だけで通信するとは限らないので全てですね) ただ、ホスト名がワイルドカードになるようなので実際に設定するのは面倒かな。 SSGはフィルタの設定(ポリシーだったかな)をFQDNで設定出来ると思ったので、 例えば、 ping0.dyngate.com ping1.dyngate.com ping2.dyngate.com ping3.dyngate.com ・ ・ ping9.dyngate.com のように考えうる全てのFQDNを指定したフィルタを設定すれば遮断できるかも。 IPアドレスでの指定はは変化する可能性が高いので有効でない可能性が高いと思います。 もちろんFQDNもバージョンアップ等で変わる可能性がありますけとね。
その他の回答 (3)
- deltaforce_1
- ベストアンサー率34% (88/255)
調べた所中継サーバで通信をコントロールしてるのは判りました >細かい仕組みは分かりませんが、外から進入ではなく、中から外への応答という感じです。 FWでは中から外へ向かう部分もシャットアウト可能ですよね?そこだけは譲れないのですが。 TeamviewerはHTTPSですよね? 宛先が判るのだから、向こう側のサーバへの通信(認証だろうが中継だろうが)どこかしらをカットすればいいわけですが そのFWにはその機能はないのですか?
お礼
再びのご回答ありがとうございます。お返事が遅くなり申し訳ありません。 もちろんグローバルIPなど分かれば中から外への通信も遮断可能です。 私には調べきれなかったのでお手数ですがチームビューアーの 中継サーバーのグローバルIPを教えていただけないでしょうか。
- maesen
- ベストアンサー率81% (646/790)
>社内のパソコンにTeamViewerを仕込み自宅からアクセスしている社員がいるようです。 TeamViewerはファイアウォール内側からリモート操作などを行うことが出来るのが売りの一つですので、ファイアウォールをすり抜ける方法をいくつか持っていて接続出来るルートを自身が探すようになっています。 例えばTCP443ポート(HTTPS)を使用してTeamViewerのメーカー側にあるサーバが中継して通信するような方法も使います。 これを止めるためにはTCP443ポートを遮断しなければなりませんが、そうすると他のHTTPSの通信も全部遮断してしまいます。 実際にはこれだけではありませんしプロトコルの中もチェックしないといけないので、ファイアウォールが通信パターンを解析してTeamViewerの通信パターンだったら遮断する機能が必要です。 たしかskypeなどの通信を遮断するような機能を持ったファイアウォールはあったと思いますが、TeamViewerはちょっとわからないですね。 >この様なことは禁止事項ですので通信を遮断したいと思います。 >どのような方法があるのでしょうか? 通信で規制するのはちょっと難しいのではないかと思います。 ソフトウェアのインストールおよび実行を制限および監視出来るようなIT資産管理ソフトを使用するなどもあるかもしれませんが、大事になりますね。 人が特定出来ているのなら、このような禁止事項を破ったら懲戒処分にするということを経営陣に検討してもらい、警告されたあとも使用したら実際に懲戒処分にするのが現実的かなと思います。
お礼
ご回答ありがとうございます。 ポート443・・・、悔しいですが止められないですね。。。。 IT資産管理ソフトもシッカリしたのは100万以上するから厳しいです。 運用ルールの徹底しか無いのですね。残念。 大変参考になりました。
- deltaforce_1
- ベストアンサー率34% (88/255)
通信を遮断する前にその端末を特定して元を断った方が早いかと思いますが… そもそもどうやって社内の特定端末に向けてアクセスしているんでしょうか…? IPv6ですかね…?まさか社内の設定まで弄られてるとかじゃないですよね…? 使用されているポート、時間帯等によりFW側で該当PCとのアクセスを拒否出来るかと思います ですが、一度「バレてる」と認識させ、禁止事項にも触れている事を告げた方がいいかと思いますよ?
お礼
ご回答ありがとうございます。 チームビューアの仕組みをご存じないようですね。 細かい仕組みは分かりませんが、外から進入ではなく、中から外への応答という感じです。 運用ルールの徹底は分っていますが、システム上の歯止め方法の質問ですので。。。
お礼
たびたびのご回答ありがとうございます。 ここまで情報を出して頂ければ後は実行に移すのみですね。 大変参考になりました。