在检查TeamViewer软件提供的各项安全设置之前,我们希望提供一些有关数据中心和基础架构骨干网的背景资料以及有关加密、身份验证和校验的一些信息。
我们希望您知道,TeamViewer专注于最高标准并为您提供一个强大而安全的平台,从而感到安全和放心。
数据中心和骨干网
所有 TeamViewer 服务器均置于符合 ISO 27001 的安全数据中心内,并利用多冗余载波连接和电源。这其中包括 RAID 阵列数据保护、数据镜像、数据备份、高度可用的服务器存储、具有灾难恢复机制的路由器系统,以及用于提供连续服务的程序。此外,存储敏感数据的所有服务器均位于德国或奥地利。
数据中心已经实施了一流的安全控制,这意味着个人访问控制、摄像机监视、动作探测器、24×7 小时全天候监控及现场安全人员将确保仅授权人员可进入数据中心,并保证以最高安全标准保护硬件和数据。数据中心的单个入口点还有详细的识别检查。
代码签名
作为一项额外的安全功能,我们的所有软件都通过 DigiCert 代码签名进行签名。
这样,软件的发行者总是易于识别。如果后来软件被更改,数字签名将自动变为无效。
TeamViewer 会话
创建会话
在建立会话时,TeamViewer 会确定最佳连接类型。通过主服务器握手后,在所有情况下,70% 会通过 UDP 或 TCP 建立直接连接(甚至在启用标准网关、NAT 和防火墙的情况下,也能如此)。其余的连接通过 TCP 或 https 隧道沿我们高度冗余的路由器网络路由。
您不必为使用 TeamViewer 而开放任何端口。
加密和验证
TeamViewer 通信使用 RSA 公钥/私钥交换和 AES(256 位)会话加密来保护。此项技术的应用形式类似于 https/SSL,按目前的标准认为完全安全。
由于私钥从不离开客户端计算机,因此该过程可确保包括 TeamViewer 路由服务器在内的互连计算机无法解密数据流。作为路由服务器的操作工具,TeamViewer 甚至也无法读取加密的数据流。
所有管理控制台数据传输都通过使用 TLS(传输安全层)加密(互联网安全连接标准)的安全通道。针对授权和密码加密,使用安全远程密码协议(SRP,增强的密码-验证密钥协议 (PAKE))。渗透者或中间人无法获得蛮力猜测密码所需的足够信息。这意味着即使客户使用强度较弱的密码也可以获得很强的安全性。然而,在创建密码时,TeamViewer 仍建议遵循行业最佳实践,以确保达到最高安全等级。
每个 TeamViewer 客户端均已采用主集群公钥,因此,可将消息加密到主集群,然后检查由其签名的消息。PKI(公钥基础设施)可有效防止中间人攻击 (MITM)。尽管使用加密,但永远不会直接发送密码,只能通过质询-响应过程发送,并且只保存在本地计算机上。在验证过程中,由于使用安全远程密码 (SRP) 协议,所以,永远不会直接传输密码。本地计算机上只存储密码验证器。
TeamViewer ID验证
TeamViewer ID 基于各种硬件和软件特性,由 TeamViewer 自动生成。在每次连接之前,TeamViewer 服务器会检查这些 ID 的有效性。
防蛮力破解
询问 TeamViewer 安全性的潜在客户经常询问有关加密的信息。我们可以理解,客户最担心第三方可以监视连接或 TeamViewer 访问数据被窃听。然而,实际上,越原始的攻击往往最危险。
有关防暴力破解的详细说明,请参阅下文:
TeamViewer端口
TeamViewer无需打开用于连接的特定端口即可工作,也无需关闭防火墙。
TeamViewer软件可以让您在建立或执行远程连接时保持设备安全。
有关TeamViewer端口的详细说明和更多信息,请参阅下文:
目标IP地址
TeamViewer 软件将通过最合适的路由器将您连接到您的合作伙伴。 路由器的位置取决于许多参数,主要是可用性和性能。 我们的主服务器基础设施位于德国。 这些服务器使用许多不同的 IP 地址范围,而且这些地址范围也经常变化。 因此,我们无法提供我们的服务器 IP 列表。 但是,我们所有的 IP 地址都有解析为 *.teamviewer.com 的 PTR 记录。 您可以使用它来限制允许通过防火墙或代理服务器的目标 IP 地址。
话虽如此,从安全角度来看,这实际上并不是必要的 – TeamViewer 仅通过防火墙发起传出数据连接,因此只需简单地阻止防火墙上的所有传入连接并仅允许通过防火墙传出连接就足够了。 端口 5938,无论目标 IP 地址如何。
