Informace o zabezpečení TeamViewer

Podobné dokumenty
Bezpečnost internetového bankovnictví, bankomaty

Nejbezpečnější prostředí pro vaše data

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Tomáš Kantůrek. IT Evangelist, Microsoft

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

SOFTWARE 5P. Instalace. SOFTWARE 5P pro advokátní praxi Oldřich Florian

SSL Secure Sockets Layer

MXI řešení nabízí tyto výhody

Vzdálená správa v cloudu až pro 250 počítačů

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Bezpečnostní politika společnosti synlab czech s.r.o.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Firewall. DMZ Server

Řešení služby tisku na vyžádání od HP

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Bezpečnost vzdáleného přístupu. Jan Kubr

KRONOS GUARD NET Obslužný software pro obchůzkový systém v reálném čase Active Guard. Instalace na pobočky

Desktop systémy Microsoft Windows

Informatika / bezpečnost

Úvod - Podniková informační bezpečnost PS1-2

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

- PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní)

[Zadejte název společnosti.] Instalace. SOFTWARE 5P pro správu bytového fondu Oldřich Florian

ERP-001, verze 2_10, platnost od

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Příručka pro nasazení a správu výukového systému edu-learning

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

SMĚRNICE Bezpečnost počítačové sítě a ochrana osobních údajů

Směrnice Bezpečnost počítačové sítě a ochrana osobních údajů.

Obsah. KELOC CS, s.r.o... v ý v o j a p r o d e j e k o n o m i c k é h o s o f t w a re

2. Nízké systémové nároky

BEZPEČNOST INFORMACÍ

Představení Kerio Control

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Connection Manager - Uživatelská příručka

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Autentizace uživatelů

OBSAH: Změny v dokumentu: Verze 2.0

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Extrémně silné zabezpečení mobilního přístupu do sítě.

CMS. Centrální monitorovací systém. Manuál

plussystem Příručka k instalaci systému

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Kerio VPN Client. Kerio Technologies

MANDÍK Cloud. Plná kontrola Klimatizačních jednotek MANDÍK kdykoliv a odkudkoliv budete chtít. URČENO PRO

ESET NOD32 Antivirus. pro Kerio. Instalace

Návod k instalaci, provozu a údržbě brány MODBUS. Návod k instalaci, provozu a údržbě. Brána Modbus

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Zálohování v MS Windows 10

OBSAH: Změny v dokumentu: Verze 1.0

5 nastavení, bez kterých se neobejde žádný uživatel TeamVieweru!

Téma bakalářských a diplomových prací 2014/2015 řešených při

Příručka nastavení funkcí snímání

Skutečně privátní a bezpečná komunikace? Budoucnost nemusí být pouze v

Hesla a bezpečnost na internetu MjUNI 2019 Dětská univerzita,

Pˇ ríruˇ cka uživatele Kerio Technologies

1 Princip fungování Aplikace Šimon. 2 Instalace programu do telefonu

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Zahájit skenování ze skla tiskárny nebo z automatického podavače dokumentů (ADF). Přistupovat k souborům se skeny uloženým v poštovní schránce.

DISCORD. Návod k použití pro IVAO-CZ. Zpracoval: Jan Podlipský

Pohledem managementu firmy.

Bezpečnostní politika společnosti synlab czech s.r.o.

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby

Identifikátor materiálu: ICT-2-04

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Podzim Boot možnosti

Řešení počítačové sítě na škole

Aktivace RSA ověření

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Systémové požadavky Xesar

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Certifikáty a jejich použití

Bezpečnost webových stránek

Toshiba EasyGuard v akci:

effacts BEZPEČNOST Kompletní průvodce zabezpečením vašich dat Když si musíte být jistí

VDDMAIL by ESCAD, Corp. (Součást IWSE.NET Services by ESCAD, Corp.)

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

log in AHD_DVR Průvodce rychlým startem První část: základní operace

Novinky. Autodesk Vault helpdesk.graitec.cz,

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Nasazování, poskytování a aktualizace systému Windows Server pomocí systému System Center

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Portfolio úložišť WD pro datová centra Kapacitní úložiště prošlo vývojem

ABRA Software a.s. ABRA on- line

Příručka pro správu systému

Na vod k nastavenı u

Informatika základní pojmy

Audit bezpečnosti počítačové sítě

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Bezpečnostní politika informací SMK

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

Šifrování flash a jiných datových úložišť

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Magic Power vzdálené sledování finančních dat. Popis a funkce systému. Strana: 1 / 6

Transkript:

Informace o zabezpečení TeamViewer 2017 TeamViewer GmbH, poslední aktualizace: 05/2017

Cílová skupina Tento dokument je určen pro profesionální správce sítí. Informace v tomto dokumentu mají spíše technický charakter a jsou velice podrobné. Na základě těchto informací si budou moci profesionálové z oboru IT udělat podrobný obrázek o bezpečnostních standardech užívaných v TeamViewer a získají odpovědi na jejich otázky ještě před nasazením softwaru. Neváhejte tento dokument distribuovat vašim zákazníkům a pomůžete jim tak zmírnit jejich potenciální obavy v oblasti bezpečnosti. Pokud se domníváte, že nepatříte do cílové skupiny, pak vám obecné informace v oddílu Společnost / software pomohou udělat si základní obrázek o tom, jak vážně se bezpečností zabýváme. Společnost / software O nás TeamViewer GmbH byla založena v roce 2005, sídlí v jižním Německu ve městě Göppingen (blízko Stuttgartu) a své pobočky má v Austrálii a ve Spojených státech. Vyvíjíme a prodáváme výhradně zabezpečené systémy pro spolupráci na bázi internetových technologií. Za krátkou dobu nám Freemium licence pomohla k rychlému růstu počtu uživatelů a dnes software TeamViewer používá více než 200 miliónů uživatelů na více než 1,4 miliardě zařízení ve více než 200 zemích světa. Software je k dispozici ve více než 30 jazycích. Jak chápeme bezpečnost V každý konkrétní okamžik dne používá TeamViewer více než 30 miliónu uživatelů. Tito uživatelé poskytují spontánní podporu přes internet, přistupují k neobsluhovaným počítačům (tj. poskytují vzdálenou podporu pro servery) a jsou hostiteli online schůzek. V závislosti na konfiguraci lze TeamViewer využívat ke vzdálenému ovládání jiného počítače jako kdybyste seděli přímo před ním. Pokud má uživatel, který je přihlášený ke vzdálenému počítači, práva správce Windows, Mac nebo Linux, budou této osobě na tomto počítači udělena také práva správce. Je zřejmé, že taková silná funkce spouštěná přes potenciálně nebezpečný internet musí být s maximální možnou mírou kontroly chráněna před útoky. Ve skutečnosti téma bezpečnosti dominuje všem našim vývojovým cílům a představuje to, pro co žijeme a dýcháme při všem, co děláme. Chceme zajistit, aby přístup k vašemu počítači byl bezpečný a chceme chránit i naše zájmy: bezpečnému řešení důvěřují milióny uživatelů na světě a pouze bezpečné řešení zaručuje dlouhodobý úspěch naší společnosti. 1

Hodnocení externími odborníky Náš software TeamViewer získal pětihvězdičkovou pečeť kvality (maximální počet hvězdiček) od Spolkové asociace odborníků a hodnotitelů v IT (Bundesverband der IT-Sachverständigen und Gutachter e.v., BISG e.v.). Nezávislí hodnotitelé z BISG e.v. provádějí kontroly produktů kvalifikovaných producentů z hlediska jejich kvality, bezpečnosti a charakteristiky služeb. Reference V současné době používá TeamViewer více než 200 miliónů uživatelů. TeamViewer používají úspěšně největší mezinárodní společnosti ze všech různých odvětví (včetně takových vysoce citlivých sektorů, jakými jsou bankovnictví, finančnictví, zdravotnictví a státní správa). Zveme vás na prohlídku našich referencí, které naleznete všude na Internetu, abyste získali představu o tom, jak široce akceptované naše řešení je. Zjistíte, že nejspíše i většina ostatních společností měla podobné požadavky na bezpečnost a dostupnost ještě předtím, než se po intenzivním zkoumání rozhodly pro TeamViewer. Abyste si udělali vlastní představu, v dalších částech tohoto dokumentu naleznete několik technických detailů. 2

Relace TeamViewer Vytvoření relace a druhy spojení Při vytváření relace určí TeamViewer optimální druh spojení. Po prvotním vzájemném kontaktu prostřednictvím našich hlavních serverů je v 70 % všech případů vytvořeno přímé spojení prostřednictvím UDP nebo TCP (a to i přes standardní brány, NAT a firewally). Zbytek spojení probíhá přes naši silně redundantní síť směrovačů prostřednictvím TCP nebo https-tunnellingu. Pro práci s TeamViewer nemusíte otevírat žádný port. Jak je uvedeno dále v odstavci Šifrování a ověřování, ani my jakožto provozovatelé směrovacích serverů nejsme schopni číst šifrovaný datový provoz. Šifrování a ověřování Provoz TeamViewer je zabezpečen pomocí výměny veřejného / soukromého klíče RSA a šifrování relací AES (256bitovou). Tato technologie je ve srovnatelné podobě užívána pro http/ssl a podle současných norem je považována za zcela bezpečnou. Protože soukromý klíč nikdy neopouští klientský počítač, tento postup zaručuje, že vzájemně propojené počítače včetně směrovacích serverů TeamViewer nedokáží datový tok dešifrovat. Každý klient TeamViewer má již v sobě zabudovaný veřejný klíč hlavního klastru a dokáže tak šifrovat zprávy směřující k hlavnímu klastru a kontrolovat jím podepisované zprávy. Infrastruktura veřejného klíče PKI (Public Key Infrastructure) efektivně zabraňuje útokům typu man-in-the-middle. Navzdory šifrování není heslo nikdy zasíláno přímo, ale pouze prostřednictvím procedury výzvy a odezvy a ukládáno je pouze na místní počítač. V průběhu ověřování není heslo nikdy zasíláno přímo, protože se využívá protokol Secure Remote Password (SRP). Na místním počítači je uložen pouze ověřovač hesla. 3

TeamViewer A TeamViewer Master TeamViewer B Vytváří sadu soukromých/ veřejných klíčů Vytváří sadu soukromých/veřejných klíčů. Všichni klienti aplikace TeamViewer znají veřejný klíč jednotky Master Vytváří sadu soukromých/veřejných klíčů Přenos veřejného klíče A zašifrovaného pomocí veřejného klíče jednotky Master Přenos veřejného klíče B zašifrovaného pomocí veřejného klíče jednotky Master Počítač A chce navázat spojení s počítačem B Veřejný klíč B zašifrovaný pomocí veřejného klíče A podepsaný soukromým klíčem jednotky Master Ověření a vytvoření symetrických klíčů AES 256 Bit Přenos symetrických klíčů zašifrovaných veřejným klíčem B podepsaných soukromým klíčem A Žádost o veřejný klíč B zašifrovaný pomocí veřejného klíče jednotky Master Veřejný klíč A zašifrovaný pomocí veřejného klíče B podepsaný soukromým klíčem jednotky Master Ověření odesílatele a dešifrování symetrického klíče Komunikace se symetrickým šifrováním AES 256 Bit Šifrování a ověřování TeamViewer 4

Ověření TeamViewer ID TeamViewer ID vycházejí z různých vlastností hardwaru a softwaru a automaticky je generuje TeamViewer. Servery TeamViewer kontrolují platnost těchto ID před každým připojením. Ochrana proti útoku brutální silou Potenciální zákazníci, kteří se dotazují na zabezpečení TeamViewer, se pravidelně ptají na šifrování. To je pochopitelné, protože riziko, že by mohla třetí strana monitorovat spojení nebo odposlouchávat přístupová data TeamViewer, představuje největší obavu. Skutečnost je nicméně taková, že nejnebezpečnější jsou obvykle spíše primitivní útoky. V kontextu počítačové bezpečnosti je útok brutální silou metodou pokus-omyl s cílem odhadnout heslo, kterým je prostředek chráněn. S rostoucím výpočetním výkonem standardních počítačů se čas potřebný k odhalení dlouhých hesel výrazně zkracuje. V rámci obrany proti útokům brutální silou TeamViewer exponenciálně prodlužuje prodlevu mezi pokusy o připojení. V případě 24 pokusů se může na připojení čekat až 17 hodin. Toto prodlužování je resetováno po úspěšném zadání správného hesla. TeamViewer využívá mechanismus na ochranu svých zákazníků před útoky nejen ze specifického počítače, ale i z vícero počítačů, které jsou známé jako botnetové útoky, jejichž cílem je získat přístup k jednomu konkrétnímu TeamViewer ID. 10000 Ochrana TeamViewer proti útokům brutální silou 1000 Prodleva v 100 10 1 1 4 6 8 10 12 14 16 18 20 22 24 Pokusy Graf: Čas, který uplynul po n pokusech o spojení během útoku brutální silou 5

Podepisování kódu Jako dodatečný bezpečnostní znak je veškerý náš software podepsaný VeriSign Code Signing. Tímto způsobem je vydavatel softwaru vždy okamžitě identifikovatelný. Pokud následně dojde ke změně softwaru, dojde k automatickému zneplatnění digitálního podpisu. Datová centra & páteřní síť Abychom mohli poskytovat nejlepší možné zabezpečení a dostupnost služeb TeamViewer, jsou všechny servery TeamViewer umístěny v datových centrech, která odpovídají požadavkům ISO 27001, a využívají násobně redundantní nosná spojení a redundantní zdroje napájení. Kromě toho používáme pouze nejmodernější značkový hardware. Dále jsou všechny servery, na kterých jsou ukládána důvěrná data, umístěny v Německu nebo v Rakousku. Certifikace ISO 27001 znamená, že řízení přístupu osob, kamerový dohled, detektory pohybu, monitorování 24 hodin 7 dní v týdnu a pracovníci ostrahy umožňují přístup do datového centra pouze oprávněným osobám a zaručují tak nejlepší možnou bezpečnost hardwaru a dat. Na jediném přístupovém místě do datového centra probíhá také podrobná identifikační kontrola. Účet TeamViewer Účty TeamViewer jsou vedeny na vyhrazených serverech TeamViewer. Informace o řízení přístupu jsou uvedeny v kapitole Datová centra & páteřní síť výše. K ověřování a šifrování hesel používáme protokol Secure Remote Password (SRP), rozšířený protokol Password-Authenticated Key Agreement (PAKE). Narušitel nebo člověk uprostřed si není schopen obstarat dostatek informací, aby měl možnost útokem brutální silou odhadnout heslo. To znamená, že silného zabezpečení lze dokonce dosáhnout i pomocí slabých hesel. Citlivá data na účtu TeamViewer, kupříkladu přihlašovací údaje k cloudovému úložišti, jsou uložena s 2048bitovým šifrováním AES/RSA. Management Console TeamViewer Management Console je platforma na bázi internetové technologie pro správu uživatelů, hlášení spojení a správu počítačů a kontaktů. Běží v datových centrech certifikovaných podle ISO 27001 a ve shodě s HIPAA. Veškerý datový přenos probíhá přes zabezpečený kanál s využitím šifrování TSL (Transport Security Layer), které je standardem pro zabezpečená spojení v internetové síti. Citlivá data jsou navíc ukládána s 2048bitovým šifrováním AES/RSA. K ověřování a šifrování hesel používáme protokol Secure Remote Password (SRP). SRP je dobře zavedené, robustní a zabezpečené ověřování na bázi hesla a způsob využívající výměnu klíčů a 2048bitový modulus. Nastavení podle zásad Z prostředí TeamViewer Management Console mohou uživatelé definovat, distribuovat a vynucovat uplatňování zásad nastavení instalací softwaru TeamViewer na zařízeních, která patří speciálně jim. Zásady nastavení jsou digitálně podepsané účtem, který je vygeneroval. Tím je zaručeno, že pouze účet oprávněný přiřadit zásadu k zařízení je tím účtem, ke kterému zařízení patří. 6

Aplikační zabezpečení v TeamViewer Černá a bílá listina Zvláště v případě, kdy má být TeamViewer používán k údržbě neobsluhovaných počítačů (tj. TeamViewer je nainstalovaný jako služba Windows), může být zajímavá dodatečná možnost omezit přístup k těmto počítačům na určitý počet konkrétních klientů. Pomocí funkce bílé listiny můžete výslovně určit, které TeamViewer ID a/nebo které účty TeamViewer mohou k počítači přistupovat. Pomocí funkce černé listiny můžete blokovat konkrétní TeamViewer ID a účty TeamViewer. Centrální bílá listina je k dispozici jako součást nastavení podle zásad popsaného výše v Management Console. Šifrování chatu a videa Historie chatu jsou spojené s vaším účtem TeamViewer, a proto jsou šifrovány a uloženy s využitím stejného 2048bitového šifrování tak, jak je popsáno v kapitole Účet TeamViewer. Všechny zprávy chatu a videa jsou šifrována relačním šifrováním AES (256bitovým). Bez neviditelného režimu V TeamViewer neexistuje funkce, která by umožňovala chod aplikace zcela na pozadí. I když běží aplikace jako služba Windows na pozadí, je TeamViewer vidět pomocí ikony v systémové liště. Po vytvoření spojení se bude vždy nad systémovou lištou nacházet malý ovládací panel. TeamViewer je tak záměrně nevhodný ke skrytému monitorování počítačů nebo zaměstnanců. Ochrana heslem Pro jednorázovou podporu zákazníka generuje TeamViewer (TeamViewer QuickSupport) heslo relace (jednorázové heslo). Pokud vám zákazník sdělí svoje heslo, můžete se připojit k jeho počítači zadáním jeho ID a hesla. Po restartu aplikace TeamViewer na straně zákazníka se vygeneruje nové heslo relace, takže na počítač vašeho zákazníka se budete moci připojit pouze pokud budete pozvaní. Při nasazení aplikace TeamViewer pro vzdálenou podporu neobsluhovaných počítačů (např. serverů) si nastavíte individuální fixní heslo, které zabezpečuje přístup k počítači. Řízení příchozího a odchozího přístupu Režimy spojení TeamViewer je možné nakonfigurovat individuálně. Kupříkladu můžete nakonfigurovat vzdálenou podporu nebo práci s počítačem tak, aby nebyla možná žádná příchozí spojení. Omezení funkce těchto vlastností ve skutečnosti vždy znamená omezení potenciálních slabých míst pro případné útoky. 7

Dvouúrovňové ověřování TeamViewer pomáhá společnostem plnit jejich požadavky na shodu s HIPAA a PCI. Dvouúrovňové ověřování přidává další bezpečnostní vrstvu, která chrání účty TeamViewer před neoprávněným přístupem. Kromě uživatelského jména a hesla musí uživatel k ověření zadat kód. Tento kód generuje algoritmus Time-Based One-Time Password (TOTP). Z tohoto důvodu je heslo platné pouze krátkou dobu. Prostřednictvím dvouúrovňového ověřování a omezení přístupu pomocí bílé listiny pomáhá aplikace TeamViewer splnit všechna nezbytná kritéria certifikace HIPAA a PCI. Testování zabezpečení Jak infrastruktura TeamViewer, tak i aplikace TeamViewer jsou v pravidelných intervalech předmětem průnikových testů. Testy provádějí nezávislé společnosti, které se zaměřují na testování bezpečnosti. Máte další dotazy? Máte-li další dotazy nebo chcete-li znát další informace, neváhejte nás kontaktovat na +420 2 2888 0045 nebo nám pošlete mail na support@teamviewer.com. Kontakt TeamViewer GmbH Jahnstr. 30 D-73037 Göppingen Německo service@teamviewer.com 8

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář