TeamViewer安全信任中心的介绍
TeamViewer是一款安全、合规的远程支持厂家
数据中心和骨干网
所有 TeamViewer 服务器均置于符合 ISO 27001 的安全数据中心内,并利用多冗余载波连接和电源。这其中包括 RAID 阵列数据保护、数据镜像、数据备份、高度可用的服务器存储、具有灾难恢复机制的路由器系统,以及用于提供连续服务的程序。此外,存储敏感数据的所有服务器均位于德国或奥地利。中国区是在阿里。
数据中心已经实施了一流的安全控制,这意味着个人访问控制、摄像机监视、动作探测器、24×7 小时全天候监控及现场安全人员将确保仅授权人员可进入数据中心,并保证以最高安全标准保护硬件和数据。数据中心的单个入口点还有详细的识别检查。
代码签名
作为一项额外的安全功能,我们的所有软件都通过 DigiCert 代码签名进行签名。这样,软件的发行者总是易于识别。如果后来软件被更改,数字签名将自动变为无效。
TeamViewer 会话
创建一个会话和连接类型
在建立会话时,TeamViewer 会确定最佳连接类型。通过主服务器握手后,在所有情况下,70% 会通过 UDP 或 TCP 建立直接连接(甚至在启用标准网关、NAT 和防火墙的情况下,也能如此)。其余的连接通过 TCP 或 https 隧道沿我们高度冗余的路由器网络路由。
您不必为使用 TeamViewer 而开放任何端口。
加密和验证
TeamViewer 通信使用 RSA 公钥/私钥交换和 AES(256 位)会话加密来保护。此项技术的应用形式类似于 https/SSL,按目前的标准认为完全安全。
由于私钥从不离开客户端计算机,因此该过程可确保包括 TeamViewer 路由服务器在内的互连计算机无法解密数据流。作为路由服务器的操作工具,TeamViewer 甚至也无法读取加密的数据流。
所有 Management Console 数据传输都通过使用 TLS(传输安全层)加密(互联网安全连接标准)的安全通道。针对授权和密码加密,使用安全远程密码协议(SRP,增强的密码-验证密钥协议 (PAKE))。渗透者或中间人无法获得蛮力猜测密码所需的足够信息。这意味着即使客户使用强度较弱的密码也可以获得很强的安全性。然而,在创建密码时,TeamViewer 仍建议遵循行业最佳实践,以确保达到最高安全等级。
每个 TeamViewer 客户端均已采用主集群公钥,因此,可将消息加密到主集群,然后检查由其签名的消息。PKI(公钥基础设施)可有效防止中间人攻击 (MITM)。尽管使用加密,但永远不会直接发送密码,只能通过质询-响应过程发送,并且只保存在本地计算机上。在验证过程中,由于使用安全远程密码 (SRP) 协议,所以,永远不会直接传输密码。本地计算机上只存储密码验证器。
TeamViewer ID 验证
TeamViewer ID 基于各种硬件和软件特性,由 TeamViewer 自动生成。在每次连接之前,TeamViewer 服务器会检查这些 ID 的有效性。
防暴力破解
询问 TeamViewer 安全性的潜在客户经常询问有关加密的信息。我们可以理解,客户最担心第三方可以监视连接或 TeamViewer 访问数据被窃听。然而,实际上,越原始的攻击往往最危险。
在计算机安全的环境中,蛮力攻击是一种试错法,用来猜测保护资源的密码。随着标准计算机计算功能的不断增强,猜测长密码所需的时间也越来越少。
作为针对蛮力攻击的防御措施,TeamViewer 成倍延长了每次连接尝试之间的等待时间。因此,24 次尝试需要多达 17 个小时。只有成功输入正确密码后,才可重置等待时间。
TeamViewer 不仅采用有效的机制来保护客户免受一台特定计算机的攻击,还可以防御尝试访问一个特定 TeamViewer ID 的多台计算机(称为僵尸网络攻击)。
TeamViewer 端口
TCP/UDP 端口 5938
TeamViewer 首选通过端口 5938 进行出站 TCP 和 UDP 连接 — 这是它使用的主要端口,且 TeamViewer 在使用此端口时具有最佳性能。您的防火墙应至少允许使用此端口。
TCP 端口 443
若 TeamViewer 无法通过端口 5938 进行连接,则接下来可尝试通过 TCP 端口 443 进行连接。
然而,我们在 Android、iOS、Windows Mobile 及 BlackBerry 设备上运行的移动应用程序不使用端口 443。
注意:在 Management Console 中创建的自定义模块也使用端口 443。如果您要部署自定义模块,例如通过群组策略,则需要确保打开您要部署的计算机上的端口 443。端口 443 还有许多其他用途,包括 TeamViewer 更新检查。
TCP 端口 80
如果 TeamViewer 无法通过端口 5938 或 443 进行连接,则会尝试通过 TCP 端口 80 进行连接。由于其产生了额外成本,且如果暂时失去连接,也不会自动重新连接,因此,通过此端口的连接速度比端口 5938 或 443 慢,可靠性也较低。鉴于此,端口 80 仅作为最终补救办法。
我们在 Android、Windows Mobile 及 BlackBerry 设备上运行的移动应用程序不使用端口 80。但是,如果需要,我们的 iOS 应用程序可使用端口 80。
Android、Windows Mobile 和 BlackBerry
我们在 Android、Windows Mobile 和 BlackBerry 上运行的移动应用程序只能通过端口 5938 与外部连接。如果您的移动设备上的 TeamViewer 应用程序无法连接并提示您“检查网络连接”,可能是因为您的移动数据供应商或 WiFi 路由器/防火墙屏蔽了此端口。
目标 IP 地址
TeamViewer 软件可连接到我们遍布世界各地的主服务器。这些服务器使用多个不同的 IP 地址范围,这些地址范围也会经常发生变化。因此,我们无法提供我们的服务器 IP 列表。但是,我们的所有 IP 地址均有解析为 *.teamviewer.com 的 PTR 记录。您可使用此法限制允许通过防火墙或代理服务器的目标 IP 地址。
话虽如此,但从安全的角度来看,这一点完全没有必要 — TeamViewer 只能通过防火墙发起出站数据连接,因此只需防火墙屏蔽所有入站连接并仅允许通过端口 5938 进行出站连接即可,无论目标 IP 地址如何。
每个操作系统使用的端口列表
