TeamViewer Trust Center

De plek waar u de meest recente informatie op het gebied van veiligheid, naleving en systeemprestaties kunt vinden.

HUIDIGE SYSTEEMSTATUS

Datacenters en Backbone

Alle TeamViewer-servers staan in moderne datacenters die voldoen aan de ISO 27001-norm en gebruik maken van multi-redundante carrierconnecties en redundante stroomvoorzieningen. Denk hierbij aan RAID-array gegevensbescherming, mirroring en back-up van gegevens, altijd toegankelijke serveropslag, routersystemen met noodherstelmechanismen en procedures voor voortdurende beschikbaarheid. Daarnaast bevinden alle servers die gevoelige gegevens opslaan, zich in Duitsland of Oostenrijk

De datacenters hebben hypermoderne beveiligingsmiddelen geïmplementeerd in de vorm van persoonlijke toegangscontrole, bewaking met videocamera’s, bewegingssensoren, 24/7 monitoring en beveiligingspersoneel ter plaatse. Dit zorgt voor de best mogelijke beveiliging van hardware en gegevens en zorgt er ook voor dat alleen geautoriseerde personen toegang krijgen tot het datacenter. Tevens wordt een uitgebreide identiteitscontrole verricht bij het enige toegangspunt van het datacentrum.

Code Signing

Als extra beveiligingsmaatregel is al onze software ondertekend via VeriSign Code Signing. Op deze manier is de uitgever van de software altijd snel identificeerbaar. Als de software achteraf is gewijzigd, dan wordt de digitale handtekening automatisch ongeldig.

TeamViewer-sessies

EEN SESSIE AANMAKEN EN VERBINDINGSTYPEN

Als een sessie tot stand wordt gebracht, bepaalt TeamViewer het optimale verbindingstype. Na de handshake via onze master servers wordt in 70 % van alle gevallen een rechtstreekse verbinding opgezet via UDP of TCP (ook achter standaard gateways, NATs en firewalls). De overige verbindingen lopen via ons zeer redundante routernetwerk door middel van TCP of https-tunneling.

U hoeft geen poorten open te zetten om met TeamViewer te werken.

VERSLEUTELING EN AUTHENTICATIE

TeamViewer maakt gebruik van RSA Public/Private-sleuteluitwisseling en AES (256 bit)-sessiecodering. Deze technologie wordt in een vergelijkbare vorm voor https/SSL gebruikt en wordt als volledig veilig beschouwd.

Als de private sleutel de computer van de klant nooit verlaat, zorgt deze procedure ervoor dat verbonden computers, inclusief de TeamViewer-routingservers, de gegevensstroom niet kunnen ontcijferen. Zelfs TeamViewer, als beheerder van de routingservers, kan het versleutelde gegevensverkeer niet lezen.

Alle gegevensoverdracht van de Management Console vindt plaats via een veilig kanaal met TSL (Transport Security Layer)-versleuteling, de standaard voor beveiligde internetverbindingen. Voor authenticatie en wachtwoordversleuteling wordt het Secure Remote Password protocol (SRP), een uitgebreid password-authenticated key agreement (PAKE) protocol, gebruikt. Een infiltrator of man-in-the-middle kan nooit voldoende informatie verkrijgen om met brute kracht een wachtwoord te raden. Dat betekent dat een stevige beveiliging tevens kan worden verkregen met zwakke wachtwoorden. TeamViewer raadt echter nog steeds aan dat u zich houdt aan de best practices voor het aanmaken van wachtwoorden, om de best mogelijke beveiliging te garanderen.

Iedere TeamViewer-client heeft al de publieke sleutel van de master cluster en kan zodoende berichten naar de master cluster versleutelen en berichten lezen die erdoor zijn ondertekend. De PKI (Public Key Infrastructure) voorkomt op effectieve wijze man-in-the-middle-aanvallen (MITM). Ondanks de versleuteling wordt het wachtwoord nooit rechtstreeks verzonden, maar alleen via een uitdaging-antwoord-procedure, en wordt dit alleen op de lokale computer opgeslagen. Tijdens authenticatie wordt het wachtwoord nooit rechtstreeks overgedragen omdat gebruik wordt gemaakt van het Secure Remote Password (SRP)-protocol. Op de lokale computer wordt alleen een wachtwoordcontroleur opgeslagen.

Validatie van TeamViewer-ID’s

TeamViewer-ID’s zijn gebaseerd op verschillende kenmerken van hardware en software, en worden automatisch gegenereerd door TeamViewer. De TeamViewer-servers controleren voor elke verbinding de geldigheid van deze ID’s.

Bescherming tegen brute kracht

Potentiële klanten die informeren naar de beveiliging van TeamViewer hebben regelmatig vragen over versleuteling. Het is begrijpelijk dat men vooral bang is dat derden de verbinding kunnen volgen of dat de toegangsgegevens voor TeamViewer worden afgetapt. Het is echter zo dat ‘primitieve’ aanvallen zelden gevaarlijk zijn of worden.

Binnen de computerbeveiliging is een aanval met brute kracht een trial-and-errormethode om wachtwoorden te raden die een bron beschermen. Doordat standaardcomputers steeds meer rekenkracht krijgen, is er ook steeds minder tijd nodig om lange wachtwoorden te raden.

Ter bescherming tegen aanvallen met brute kracht, laat TeamViewer de wachttijd tussen verbindingspogingen exponentieel toenemen. Daardoor duurt het 17 uur om 24 pogingen te ondernemen. De wachttijd wordt alleen gereset als het juiste wachtwoord is ingevoerd.

TeamViewer beschikt niet alleen over een mechanisme om klanten te beschermen tegen aanvallen op een specifieke computer, maar ook vanaf meerdere computers, ofwel botnet-aanvallen, die proberen om een specifiek TeamViewer ID te benaderen.

TeamViewer-poorten

TCP/UDP-POORT 5938

TeamViewer zet bij voorkeur uitgaande TCP- en UDP-verbindingen op via poort 5938. Dit is de primaire poort en TeamViewer presteert het beste via deze poort. Uw firewall moet dit op zijn minst toestaan.

TCP-POORT 443

Als TeamViewer geen verbinding kan maken via poort 5938, zal TeamViewer het proberen via TCP-poort 443.
Onze mobiele apps op Android, iOS, Windows Mobile en BlackBerry maken echter geen gebruikt van poort 443.

Opmerking: poort 443 wordt ook gebruikt door aangepaste modules die in de Management Console worden aangemaakt. Als u gebruikmaakt van een aangepaste module, bijvoorbeeld via een groepsrichtlijn, zorg er dan voor dat poort 443 is geopend op de computers waarop u dit wilt implementeren. Poort 443 wordt ook gebruikt voor een aantal andere dingen, waaronder TeamViewer-updatecontroles.

TCP POORT 80

Als TeamViewer geen verbinding kan maken via poort 5938 of 443, dan wordt het via TCP-poort 80 geprobeerd. De verbindingssnelheid via deze poort is lager en minder betrouwbaar dan via poorten 5938 of 443, door de aanvullende overhead. Er wordt ook niet automatisch opnieuw verbinding gemaakt als deze tijdelijk wordt verbroken. Poort 80 wordt daarom alleen gebruikt als allerlaatste optie.
Onze mobiele apps op Android, Windows Mobile en BlackBerry gebruiken poort 80 niet. Onze iOS-apps kunnen indien nodig wel gebruikmaken van poort 80.

Android, Windows Mobile en BlackBerry

Onze mobiele apps op Android, Windows Mobile en BlackBerry kunnen alleen uitgaande verbindingen realiseren via poort 5938. Als de TeamViewer-app op uw mobiele apparaat geen verbinding maakt en meldt ‘controleer uw internetverbinding’, dan komt dit waarschijnlijk omdat deze poort wordt geblokkeerd door uw mobiele gegevensprovider of uw wifi-router/firewall.

Doel IP-adressen

De TeamViewer-software maakt verbindingen met onze masterservers over de hele wereld. Deze servers gebruiken een aantal verschillende IP-adresbereiken die vaak veranderen. Daarom kunnen we ook geen lijst met onze server-IP’s overleggen. Al onze IP-adressen hebben echter PTR-records die eindigen op *.teamviewer.com. U kunt dit gebruiken om de doel IP-adressen te beperken die door de firewall of proxy server mogen worden aangeroepen.

Vanuit beveiligingsoogpunt zou dit echter niet nodig hoeven zijn: TeamViewer zet alleen uitgaande gegevensverbindingen op via de firewall, dus het volstaat om alle inkomende verbindingen te blokkeren en alleen uitgaande verbindingen via poort 5938 toe te staan, ongeacht het doel IP-adres.

Tabel met poorten die per besturingssysteem worden gebruikt

Website TeamViewer.com

De volgende veiligheidsmaatregelen zijn genomen voor de website teamviewer.com.

MCAFEE SECURE

Het McAfee Secure-vertrouwenslogo wordt toegekend aan websites die door McAfee zijn gecertificeerd en vrij zijn van malware, virussen, phishingaanvallen en kwaadaardige links.

Krijg exclusieve aanbiedingen en het laatste nieuws Abonnement op nieuwsbrief