TeamViewer

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
oscartazzz
Mensajes: 27
Registrado: 25 Abr 2008, 20:59

TeamViewer

Mensaje por oscartazzz »

Hola que tal amigos, tengo una enorme duda,
Tengo instalado un forigate 60B, y hasta apenas el dia de hoy, me enseñaron una aplicacion llamada "TeamViewer", que permite hacer conexiones remotas hacia otros lados, inlcuyendo hacia dentro de mi red, la pregunta es, como puedo bloquear dicho programa, ya que por lo que he leido, trabaja bajo el puerto 80, y como se imaginaran, pues no puedo bloquear ese puerto a todos dentro de mi red,
Espero alguien pueda ayudarme, Saludos a todos.
Gracias pro su ayuda.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: TeamViewer

Mensaje por gabyrossi »

Hola, como estas? tenes 2 formas.

fijate si pos ips podes bloquearlo, te dejo el link donde lo explica:
[Debes identificarte para poder ver enlaces.]

sino haces una politica saliente a estas ip publicas denegando:

[Debes identificarte para poder ver enlaces.] 209.239.112.0/255.255.255.0
[Debes identificarte para poder ver enlaces.] 80.237.157.0/255.255.255.0

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
oscartazzz
Mensajes: 27
Registrado: 25 Abr 2008, 20:59

Re: TeamViewer

Mensaje por oscartazzz »

Muchisimas Gracias por responder,
ya lo he intentado por ips, tal y como dice ahi, pero aun asi sigue sin funcionar,
Podrias explicarme un poco mas sobre como crear una politica saliente hacia esas IPs, y tambien, eso me protegera de afuera hacia adentro???
Gracias nuevamente
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: TeamViewer

Mensaje por gabyrossi »

Hola, la politica es saliente. de internal a wan.

o declaras en firewall address como fqdn y pones el nombre que te pase, o tambien cargas direcatmente por ip.

luego hacer una politica de la a wan y el destino sera esas ips o nombre que agregaste en firewall addres y la accion sera deny.

entrantes si no tenes politicas abriendo servicios no necesitas.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
oscartazzz
Mensajes: 27
Registrado: 25 Abr 2008, 20:59

Re: TeamViewer

Mensaje por oscartazzz »

Ok, ya tengo creadas las direcciones FQDN, ahora procedo a crear la politica como me indicas, pero tengo una duda mas en lo que mencionas
"luego hacer una politica de la a wan y el destino sera esas ips o nombre que agregaste en firewall addres y la accion sera deny."
En esa parte no entendi bien la politica, quiero suponer que es de "internal a Wan1", si es asi, supongo tambien que tiene que estar como primer regla de las politicas "interna a wan1" para que me domine a todas las demas reglas, mi pregunta es,, es correcto de esta forma??
Nuevamente muchisimas gracias,
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: TeamViewer

Mensaje por gabyrossi »

hola, claro, siempre arriba sino nunca se usaria esa politica.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
oscartazzz
Mensajes: 27
Registrado: 25 Abr 2008, 20:59

Re: TeamViewer

Mensaje por oscartazzz »

Una pregunta mas, como puedo configurarlo a travez de IPS, entre a la pagina que me indicas pero no entiendo muy bien, espero nuevamente puedas ayudarme, gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: TeamViewer

Mensaje por gabyrossi »

hola, armas un ips custom con ese pattern que esta en el linky luegoi lo agregas a un sensor.
que firmware tenes?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
oscartazzz
Mensajes: 27
Registrado: 25 Abr 2008, 20:59

Re: TeamViewer

Mensaje por oscartazzz »

Ok, hice lo siguiente, cree dos firmas de la siguiente forma
Nombre:
team1
Firmas:
F-SBID( --attack_id 7554; --name "TeamViewer.RegServer.Login"; --protocol tcp; --dst_port 5938; --flow from_client; --seq =,1,relative; --pattern "|17 24 10 04|"; --within 4,packet; --data_size =9; )

Nombre:
team2
Firmas:
F-SBID( --attack_id 5100; --name "TeamViewer.RegServer.HTTP"; --protocol tcp; --service HTTP; --flow from_client; --pattern "/din.aspx?"; --context uri; --pattern "&id="; --context uri; --within 50; --pattern "&client="; --context uri; --no_case; --within 50; --pcre "/&id=\d{8}&/i"; --context uri; --distance -70; --within 70; )


Ok, ya estan listas (es correcto asi? o los dos codigos van en una sola firma?), ahora como las agrego a un sensor?

Versión de firmware Fortigate-60B 3.00-b0726(MR7)
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: TeamViewer

Mensaje por gabyrossi »

Hola, una vez que tenes las 2 firmas en ips- > custom.
Luego vas a IPS sensor, creas uno, cin un nombre y luego cliqueas en add custom overrides elijes cada uno en signature( de los que creaste antes) y con la accion block.

Luego en el profile que usa politica le agregas el ips sensor creado.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
oscartazzz
Mensajes: 27
Registrado: 25 Abr 2008, 20:59

Re: TeamViewer

Mensaje por oscartazzz »

Ok, muchisimas gracias, ya ha quedado listo, te agradesco muchisimo la ayuda,
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: TeamViewer

Mensaje por gabyrossi »

hola, de nada

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Mele
Mensajes: 11
Registrado: 16 Feb 2009, 23:59

Re: TeamViewer

Mensaje por Mele »

Hola a todos,

Oigan como puedo ponerlas en el sensor, no logro hacer eso, no encuentro la opcion
tengo un 100A con firmeware 3.0

Gracias
eL mELE...
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: TeamViewer

Mensaje por gabyrossi »

Hola, los sensores en ips se agregaron a partir de 3.0 mr6 en adelante.
nose que firmware tenes.

saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
fgualdron
Mensajes: 7
Registrado: 26 Oct 2009, 15:00

Re: TeamViewer

Mensaje por fgualdron »

Buenos dias
Realice el procedimiento en IPS agregando las políticas y funciono... excelente aporte
muchas gracias...
Responder