Увидел тут у наших программистов установленный TeamViewer. Мало того, что они подключались к другим компьютерам сети, так они умудрялись и из дома подключаться к рабочей сети, на свои рабочие станции, а это грубейшее нарушение правил информационной безопасности, за которые я в крайней степени обеспокоен и озабочен. Так как у нас оно запрещено к использованию и начальник управления все равно будет покрывать программистов (типа им надо для работы и т.д.), пришлось придумывать "костыли", сделать "ход конем".
Что же делать? Заблокировать отдельный порт - не вариант, она использует общедоступные HTTP/HTTPS соединения, в т.ч. и через прокси. Но нашлась одна особенность. Если проанализировать сетевую активность программы сниффером или любой другой аналогичной программой, то можно заметить, что она обязательно устанавливает соединения с
хостами типа servernnnn.teamviewer.com
Тут же сразу вспомнилась технология Split-DNS, проще говоря - отдавать локальным клиентам несуществующий адрес для зоны teamviewer.com,
например 127.0.0.1.
Реализация:
Для реализации задуманного я открыл оснастку ДНС и создал в ней новую зону teamviewer.com.
В этой зоне создал А-запись с пустым именем указывающую на адрес 127.0.0.1
Это приводит к тому, что все имена входящие в указанную зону будут
разрешаться как 127.0.0.1 и соединение с серверами TeamViewer окажется
невозможным. Хотел переназначить на наш внутренний корпоративный портал, но пока не стал этого делать.
Теперь жду жалоб, почему сия чудо-программа не работает.
Теперь жду жалоб, почему сия чудо-программа не работает.
Комментариев нет :
Отправить комментарий