TeamViewerを利用不可能にしたい。

社内のパソコンにTeamViewerを仕込み自宅からアクセスしている社員がいるようです。
この様なことは禁止事項ですので通信を遮断したいと思います。
どのような方法があるのでしょうか？

尚、
ファイヤーウォールはジュニパーネットワークスのＳＳＧシリーズ。
ウインドウズのユーザー権限を落とすことは考えていません。

No.4 ベストアンサー 回答者： maesen 回答日時： 2011/05/30 09:56

No.2です。

実は私は質問者さんとは逆の立場でTeamViewerの導入を検討しています。
TeamViewerの試用版で評価を行っていましたが、私の環境では通信が非常に遅いことがわかりましたので、その対策のため通信をキャプチャしたりしています。（問題点はほぼ解決しています）
その時に得た情報を書きます。

初めにお断りしておきますが、私は通信を通すことを主眼に置いて調査したのと、
実際の通信についての情報はベンダーしかわからないので、対処するにはベンダーに聞く必要があるということです。
（日本語での連絡先およびメールでのサポートがあります。ただこのような情報を公開してくれるかは疑問ですが）

私が見た中では以下のサーバに接続していることを確認しています。

ping？.dyngate.com
master＊.teamviewer.com

前者の？は一桁の数字でした。
後者の＊は一桁又は二桁の数字でした。
前者が通信方法を決定するためのもので、後者が実際の通信のような感じでした。
（質問者さんもキャプチャしてみるとよくわかるかも）

この両者への通信を一切出来ないようにすれば遮断できるかもしれません。
（ポート443だけで通信するとは限らないので全てですね）
ただ、ホスト名がワイルドカードになるようなので実際に設定するのは面倒かな。
SSGはフィルタの設定（ポリシーだったかな）をFQDNで設定出来ると思ったので、
例えば、
ping0.dyngate.com
ping1.dyngate.com
ping2.dyngate.com
ping3.dyngate.com
・
・
ping9.dyngate.com

のように考えうる全てのFQDNを指定したフィルタを設定すれば遮断できるかも。
IPアドレスでの指定はは変化する可能性が高いので有効でない可能性が高いと思います。
もちろんFQDNもバージョンアップ等で変わる可能性がありますけとね。

この回答へのお礼

たびたびのご回答ありがとうございます。
ここまで情報を出して頂ければ後は実行に移すのみですね。
大変参考になりました。

お礼日時：2011/05/30 12:50

No.3 回答者： deltaforce_1 回答日時： 2011/05/26 17:11

調べた所中継サーバで通信をコントロールしてるのは判りました

>細かい仕組みは分かりませんが、外から進入ではなく、中から外への応答という感じです。
FWでは中から外へ向かう部分もシャットアウト可能ですよね？そこだけは譲れないのですが。
TeamviewerはHTTPSですよね？
宛先が判るのだから、向こう側のサーバへの通信（認証だろうが中継だろうが）どこかしらをカットすればいいわけですが
そのFWにはその機能はないのですか？

この回答へのお礼

再びのご回答ありがとうございます。お返事が遅くなり申し訳ありません。
もちろんグローバルＩＰなど分かれば中から外への通信も遮断可能です。
私には調べきれなかったのでお手数ですがチームビューアーの
中継サーバーのグローバルＩＰを教えていただけないでしょうか。

お礼日時：2011/05/29 16:56

No.2 回答者： maesen 回答日時： 2011/05/25 18:04

＞社内のパソコンにTeamViewerを仕込み自宅からアクセスしている社員がいるようです。

TeamViewerはファイアウォール内側からリモート操作などを行うことが出来るのが売りの一つですので、ファイアウォールをすり抜ける方法をいくつか持っていて接続出来るルートを自身が探すようになっています。
例えばTCP443ポート（HTTPS）を使用してTeamViewerのメーカー側にあるサーバが中継して通信するような方法も使います。
これを止めるためにはTCP443ポートを遮断しなければなりませんが、そうすると他のHTTPSの通信も全部遮断してしまいます。

実際にはこれだけではありませんしプロトコルの中もチェックしないといけないので、ファイアウォールが通信パターンを解析してTeamViewerの通信パターンだったら遮断する機能が必要です。
たしかskypeなどの通信を遮断するような機能を持ったファイアウォールはあったと思いますが、TeamViewerはちょっとわからないですね。

＞この様なことは禁止事項ですので通信を遮断したいと思います。
＞どのような方法があるのでしょうか？

通信で規制するのはちょっと難しいのではないかと思います。
ソフトウェアのインストールおよび実行を制限および監視出来るようなIT資産管理ソフトを使用するなどもあるかもしれませんが、大事になりますね。

人が特定出来ているのなら、このような禁止事項を破ったら懲戒処分にするということを経営陣に検討してもらい、警告されたあとも使用したら実際に懲戒処分にするのが現実的かなと思います。

この回答へのお礼

ご回答ありがとうございます。
ポート４４３・・・、悔しいですが止められないですね。。。。
ＩＴ資産管理ソフトもシッカリしたのは１００万以上するから厳しいです。
運用ルールの徹底しか無いのですね。残念。
大変参考になりました。

お礼日時：2011/05/26 15:19

No.1 回答者： deltaforce_1 回答日時： 2011/05/25 16:46

通信を遮断する前にその端末を特定して元を断った方が早いかと思いますが…

そもそもどうやって社内の特定端末に向けてアクセスしているんでしょうか…？
IPv6ですかね…？まさか社内の設定まで弄られてるとかじゃないですよね…？

使用されているポート、時間帯等によりFW側で該当PCとのアクセスを拒否出来るかと思います
ですが、一度「バレてる」と認識させ、禁止事項にも触れている事を告げた方がいいかと思いますよ？

この回答へのお礼

ご回答ありがとうございます。
チームビューアの仕組みをご存じないようですね。
細かい仕組みは分かりませんが、外から進入ではなく、中から外への応答という感じです。
運用ルールの徹底は分っていますが、システム上の歯止め方法の質問ですので。。。

お礼日時：2011/05/26 15:07