Trust Center (certifikační středisko) TeamViewer

Váš jednotný zdroj nejaktuálnějších informací o zabezpečení, shodě s předpisy a výkonu systému.

AKTUÁLNÍ STAV SYSTÉMU

Datová centra a páteřní síť

Všechny servery TeamViewer jsou umístěny v nejmodernějších datových centrech, které jsou v souladu s normou ISO 27001 a využívají multi redundantní nosná připojení a napájecí zdroje. Jde například o ochranu dat v diskových polích RAID, zrcadlení dat, zálohování dat, serverová úložiště s vysokou dostupností, routerové systémy s mechanismy obnovy po havárii a zavedené postupy, jejichž smyslem je zajišťovat nepřetržitý chod služby. Všechny servery ukládající citlivá data se navíc nacházejí v Německu nebo v Rakousku.

Datová centra využívají nejmodernější bezpečnostní kontroly, což znamená kontrolu osobního přístupu, dohled pomocí videokamer, detektory pohybu, monitorování v režimu 24×7 a přítomnost bezpečnostních pracovníků v objektu. Všechna tato opatření jsou zárukou, že do centra mohou získat přístup pouze oprávněné osoby a že pro hardware i data je k dispozici maximální možná ochrana. Na jediném přístupovém místě do datového centra probíhá také podrobná identifikační kontrola.

Podepsání kódu

Jako dodatečný bezpečnostní znak je veškerý náš software podepsaný VeriSign Code Signing. Tímto způsobem je vydavatel softwaru vždy okamžitě identifikovatelný. Pokud následně dojde ke změně softwaru, dojde k automatickému zneplatnění digitálního podpisu.

Relace TeamViewer

VYTVOŘENÍ RELACE A DRUHY SPOJENÍ

Při vytváření relace určí TeamViewer optimální druh spojení. Po prvotním vzájemném kontaktu prostřednictvím našich hlavních serverů je v 70 % všech případů vytvořeno přímé spojení prostřednictvím UDP nebo TCP (a to i přes standardní brány, NAT a firewally). Zbytek spojení probíhá přes naši silně redundantní síť směrovačů prostřednictvím TCP nebo https-tunnellingu.

Pro práci s programem TeamViewer nemusíte otevírat žádný port.

ŠIFROVÁNÍ A AUTENTIKACE

Provoz programu TeamViewer je zabezpečen pomocí výměny veřejného/soukromého klíče RSA a šifrování relací AES (256bitovou). Tato technologie je ve srovnatelné podobě užívána pro http/SSL a podle současných norem je považována za zcela bezpečnou.

Protože soukromý klíč nikdy neopouští klientský počítač, tento postup zaručuje, že vzájemně propojené počítače – včetně směrovacích serverů TeamViewer – nedokáží datový tok dešifrovat. Zašifrovaná přenášená data nedokáže přečíst společnost TeamViewer ani provozovatelé serverů zajišťujících routing dat.

Veškerý datový přenos z konzoly pro správu probíhá přes zabezpečený kanál s využitím šifrování TSL (Transport Security Layer), které je standardem pro zabezpečená spojení v internetové síti. K ověřování a šifrování hesel používáme protokol Secure Remote Password (SRP), rozšířený protokol Password-Authenticated Key Agreement (PAKE). Narušitel nebo člověk uprostřed si není schopen obstarat dostatek informací, aby měl možnost útokem brutální silou odhadnout heslo. To znamená, že silného zabezpečení lze dokonce dosáhnout i pomocí slabých hesel. TeamViewer však i nadále doporučuje v zájmu zajištění nejvyšší míry bezpečnosti dodržovat odvětvová doporučení ohledně vytváření hesle.

Každý klient TeamViewer má již v sobě zabudovaný veřejný klíč hlavního klastru a dokáže tak šifrovat zprávy směřující k hlavnímu klastru a kontrolovat jím podepisované zprávy. Infrastruktura veřejného klíče PKI (Public Key Infrastructure) efektivně zabraňuje útokům typu „man-in-the-middle“ (MITM). Navzdory šifrování není heslo nikdy zasíláno přímo, ale pouze prostřednictvím procedury výzvy a odezvy a ukládáno je pouze na místní počítač. V průběhu ověřování není heslo nikdy zasíláno přímo, protože se využívá protokol Secure Remote Password (SRP). Na místním počítači je uložen pouze ověřovač hesla.

Ověřování identifikátorů TeamViewer

TeamViewer ID vycházejí z různých vlastností hardwaru a softwaru a automaticky je generuje TeamViewer. Servery TeamViewer kontrolují platnost těchto ID před každým připojením.

Ochrana proti brutální síle

Potenciální zákazníci, kteří se dotazují na zabezpečení TeamViewer, se pravidelně ptají na šifrování. To je pochopitelné, protože riziko, že by mohla třetí strana monitorovat spojení nebo odposlouchávat přístupová data TeamViewer, představuje největší obavu. Skutečnost je nicméně taková, že nejnebezpečnější jsou obvykle spíše primitivní útoky.

V kontextu počítačové bezpečnosti je útok brutální silou metodou pokus-omyl s cílem odhadnout heslo, kterým je prostředek chráněn. S rostoucím výpočetním výkonem standardních počítačů se čas potřebný k odhalení dlouhých hesel výrazně zkracuje.

V rámci obrany proti útokům brutální silou TeamViewer exponenciálně prodlužuje prodlevu mezi pokusy o připojení. V případě 24 pokusů se může na připojení čekat až 17 hodin. Toto prodlužování je resetováno po úspěšném zadání správného hesla.

TeamViewer využívá mechanismus na ochranu svých zákazníků před útoky nejen ze specifického počítače, ale i z vícero počítačů, které jsou známé jako botnetové útoky, jejichž cílem je získat přístup k jednomu konkrétnímu TeamViewer ID.

Porty využívané programem TeamViewer

TCP/UDP PORT 5938

TeamViewer upřednostňuje odchozí připojení TCP a UDP přes port 5938 – jde o primární port, který systém používá, a TeamViewer dosahuje optimálních výkonů právě tehdy, když může tento port využívat. Minimálně toto by měl povolit váš firewall.

TCP PORT 443

Pokud nemůže TeamViewer provádět připojení přes port 5938, bude se snažit připojit přes port TCP 443.
Naše mobilní aplikace pro Android, iOS, Windows Mobile a BlackBerry port 443 používat nemohou.

Poznámka: port 443 využívají také vlastní moduly, které lze vytvářet v konzoli pro správu. Pokud nasadíte vlastní modul, například prostřednictvím skupinových zásad, je třeba také zajistit, aby byl port 443 otevřený na počítačích, na kterých modul chcete nasadit. Port 443 se používá ještě pro několik dalších věcí, včetně kontrol aktualizací programu TeamViewer.

TCP PORT 80

Pokud se TeamViewer nemůže připojit port 5938 ani 443, pokusí se o to přes port TCP 80. Rychlost připojení přes tento port je nižší a připojení je méně spolehlivé než v případě portů 5938 nebo 443, což je dáno dalšími funkcemi, které port využívají, a navíc není k dispozici možnost automatické obnovy připojení v případě jeho dočasné ztráty. Z tohoto důvodu představuje použití portu 80 jakési poslední útočiště.
Naše mobilní aplikace pro Android, Windows Mobile a BlackBerry port 80 nepoužívají. Aplikace pro iOS ale v případě nutnosti port 80 použít dokáže.

Android, Windows Mobile a BlackBerry

Naše mobilní aplikace pro Android, Windows Mobile a BlackBerry se mohou připojovat pouze přes port 5938. Pokud se aplikace TeamViewer na vašem mobilním zařízení nemůže připojit a hlásí „zkontrolujte připojení k internetu“, je to pravděpodobně tím, že tento port blokuje váš poskytovatel mobilních datových služeb nebo router/firewall na síti WiFi.

Cílové IP adresy

TeamViewer se připojuje k našim hlavním serverům, které se nacházejí po celém světě. Tyto servery využívají celou řadu různých IP adres, které se navíc často mění. Proto nejsme schopni sestavit seznam IP adres našich serverů. Všechny naše IP adresy však mají záznamy PTR, které uvádějí *.teamviewer.com. Takto můžete omezit cílové IP adresy, k nimž se můžete připojovat ve svém firewallu nebo na proxy serveru.

Z bezpečnostního hlediska by to nemuselo být nutné – TeamViewer iniciujte odchozí datová připojení pouze přes firewall, takže stačí blokovat veškerá příchozí připojení pomocí firewallu a povolit pouze odchozí spojení přes port 5938, bez ohledu na cílovou IP adresu.

Tabulka používaných portů podle operačního systému

Webové stránky TeamViewer.com

Webové stránky teamviewer.com využívají následující bezpečnostní opatření.

MCAFEE SECURE

Pečeť důvěry McAfee Secure je udělována webovým stránkám, které jsou certifikovány společností McAfee jako weby prosté malwaru, virů, phishingových útoků a škodlivých odkazů.

Získat exkluzivní nabídky a poslední novinky Objednat newsletter