TeamViewer beveiligingsinformatie

Vergelijkbare documenten
Architectuur van join.me

Remote Toegang Policy VICnet/SPITS

Eenvoudig. mobielzakelijk printen. Als gebruikers weten hoe ze moeten mailen of internetten, kunnen ze printen met EveryonePrint

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Leza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen.

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Problemen met zakendoen op Internet

Aanmelden Na installatie wordt de service automatisch gestart en kunt u meteen aanmelden van op afstand:

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

Veilig en. Waarom en via een beveiligde verbinding? U vertrouwt de verbinding met de server van InterNLnet niet

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

Beveiligen van PDF documenten (deel 3)

e-token Authenticatie

Transport Layer Security. Presentatie Security Tom Rijnbeek

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

Oplossingen overzicht voor Traderouter > 02/11/2010

Installatie Remote Backup

Werken zonder zorgen met uw ICT bij u op locatie

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

ACCOUNT CONFIGURATIE WINDOWS LIVE MAIL. ACCOUNT CONFIGURATIE - WINDOWS LIVE MAIL - PAGINA 1 / 10

Remote Powercontrol for TCP/IP networks

Automatische online en lokale backup en recovery van bedrijfsdata

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

1 INTRODUCTIE SYSTEEMVEREISTEN Minimum Vereisten Aanbevolen Vereisten...7

Databeveiliging en Hosting Asperion

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Ontsluiten iprova via Internet Voorbeeld methoden

Aan de slag met het adres van uw nieuwe Website

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.

cbox UW BESTANDEN GAAN MOBIEL! VOOR LAPTOPS EN DESKTOPS MET WINDOWS PRO GEBRUIKERSHANDLEIDING

Access Professional Edition Het flexibele toegangscontrolesysteem dat meegroeit met uw bedrijf

MSSL Dienstbeschrijving

How To Do Gebruikersbeheer remote service portaal mbconnect24

Instructies Opera Pagina 1

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Wat houdt Symantec pcanywhere 12.0 in? Belangrijkste voordelen Gemakkelijke en veilige externe verbindingen Waarde Vertrouwen

Enterprise SSO Manager (E-SSOM) Security Model

Peelland ICT Online Back-up

Er zijn diverse andere software platformen en providers die werken met SIP, maar in dit voorbeeld gaan we uit van de volgende software:

INLEIDING... 1 SPECIFICATIES... 2 INGEBRUIKNAME EN GEBRUIK... 3 PROBLEEMOPLOSSING... 5 CONTACTGEGEVENS...

HANDLEIDING EXTERNE TOEGANG CURAMARE

VPN Remote Dial In User. DrayTek Smart VPN Client

Gebruikershandleiding E-Zorg Remote Access.

Instructies Windows Live Mail Pagina 1

De sympathieke complete oplossing voor support, teamwork & presentaties

MobileXpress. Beveiligde Virtuele Toegang via BT

How To Do Gebruikersbeheer mbconnect24 V2

MSHosted. Versie: 1.2

YOUPROVIDE. Security aspecten

Snelle installatiegids voor Symbian

Efficiëntie? Dat is werken

Getting Started. AOX-319 PBX Versie 2.0

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

Handleiding. Online backup PC

INHOUDSOPGAVE IMUIS INSTALLEREN 2 WINDOWS 2. WINDOWS SERVER 2008 r2 4 UITGAANDE VERBINDINGEN 5 INSTALLATIE IMUISONLINE.MSI 5 SSL CERTIFICAAT 5

INHOUDSOPGAVE IMUIS INSTALLEREN 2 WINDOWS 2. WINDOWS SERVER 2008 r2 3 UITGAANDE VERBINDINGEN 4 INSTALLATIE IMUISONLINE.MSI 4 SSL CERTIFICAAT 4

Cloud2 Online Backup - CrashplanPRO

Handleiding. Opslag Online. voor Windows. Versie februari 2014

Instructies Apple iphone & ipad Pagina 1

Remote werken 365-connect

Waarom Webfysio? - team@webfysio.nl

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

1. Inloggen op Everyware

Dienstbeschrijving MSSL Licenties

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

RACKBOOST Hosted Exchange. Mobiel, veilig en eenvoudig. hosting support consulting

cbox UW BESTANDEN GAAN MOBIEL! VOOR SMARTPHONES EN TABLETS MET HET ios BESTURINGSSYSTEEM GEBRUIKERSHANDLEIDING

vergaderen voor systeembeheerders en hosts Cisco WebEx Optimale werkwijzen voor veilig Overzicht van WebEx-privacy WebExsitebeheer Functie Voordelen

cbox UW BESTANDEN GAAN MOBIEL! VOOR ANDROID-SMARTPHONES EN -TABLETS GEBRUIKERSHANDLEIDING

Plugwise binnen de zakelijke omgeving

Gelieve dit Privacybeleid aandachtig door te lezen aangezien het belangrijke informatie voor u bevat.

Sleutelbeheer systemen

Handleiding Inloggen met SSL VPN

Norman Personal Firewall Versie 1.42 Snelle gebruikersgids

Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden

Tritel - Productbeschrijving I-AM

Instructies Apple iphone & ipad icloud accounts Pagina 1

Externe toegang met ESET Secure Authentication. Daxis Versie 2.0

DigiNotar certificaten

cbox UW BESTANDEN GAAN MOBIEL! WEBINTERFACE GEBRUIKERSHANDLEIDING

PRIVACY POLICY MENUEZ INTERNATIONAL B.V.

Security web services

TEKLYNX LABEL ARCHIVE. Beveiliging, Tracering en Controle van uw label printproces was nog nooit zo eenvoudig!

Handleiding Inloggen met SSL VPN

BuildingOn WebOTP.

De handboek van Desktop Sharing. Brad Hards Vertaler/Nalezer: Freek de Kruijf

Portal Handleiding voor de gebruiker 4.8

HANDLEIDING WERKEN OP AFSTAND

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: KB nummer:

ACCOUNT CONFIGURATIE APPLE MAIL ACCOUNT CONFIGURATIE - APPLE MAIL - PAGINA 1 / 13

Instructies Android Smartphone & Tablet Pagina 1

Instructies Eudora OSE Pagina 1

Transcriptie:

TeamViewer beveiligingsinformatie 2015 TeamViewer GmbH, laatste update: 11/2015

Doelgroep Dit document is bestemd voor professionele netwerkbeheerders. De informatie in dit document is van nogal technische aard en zeer gedetailleerd. Op basis van deze informatie kunnen IT-professionals een gedetailleerd beeld van de softwarebeveiliging krijgen, voordat TeamViewer wordt ingezet. Het staat u vrij om dit document onder uw klanten te verspreiden om mogelijke bezorgdheid wat betreft beveiliging weg te nemen. Als u van mening bent dat u niet tot de doelgroep behoort, dan zullen de eenvoudige feiten in het deel "Het bedrijf / de software" u toch helpen om een beeld te krijgen. Het bedrijf / de software Over ons TeamViewer GmbH werd opgericht in 2005 en is gevestigd in het zuiden van Duitsland, in Göppingen (in de buurt van Stuttgart), met dochtermaatschappijen in Australië en de VS. Wij ontwikkelen en verkopen uitsluitend veilige systemen voor een webgebaseerde samenwerking. Binnen zeer korte tijd hebben een snelle start en groei ertoe geleid dat de TeamViewer software meer dan 200 miljoen keer is geïnstalleerd door gebruikers in meer dan 200 landen wereldwijd. De software is verkrijgbaar in meer dan 30 talen. De software wordt uitsluitend in Duitsland ontwikkeld. Dit verstaan wij onder beveiliging TeamViewer wordt over de hele wereld miljoenen keren gebruikt voor het leveren van spontane support via internet, voor toegang tot onbeheerde computers (bijv. support op afstand voor servers) en voor het organiseren van online-meetings. Afhankelijk van de configuratie kan TeamViewer worden gebruikt om op afstand een andere computer te bedienen alsof u er zelf voor zit. Als de gebruiker die bij een externe computer is aangemeld een Windows, Mac of Linux administrator is, zal deze persoon ook administratorrechten op die computer krijgen. Het spreekt voor zich dat een dergelijk krachtige functionaliteit via het potentieel onveilige internet op verschillende manieren moet worden beveiligd tegen aanvallen. Het is zelfs zo dat beveiliging de belangrijkste plaats inneemt bij al onze ontwikkelingsdoelen, zowel om toegang tot uw computer veilig te maken, als om onze eigen belangen te beschermen: miljoenen gebruikers over de hele wereld vertrouwen alleen een veilige oplossing, en alleen een veilige oplossing garandeert ons zakelijke succes op lange termijn. 1

Kwaliteitsmanagement Naar onze mening is beveiligingsmanagement ondenkbaar zonder een erkend kwaliteitsmanagementsysteem. TeamViewer GmbH is één van de weinige aanbieders op de markt die volgens een gecertificeerd kwaliteitsmanagementsysteem in overeenstemming met ISO 9001 werkt. Ons kwaliteitsmanagement volgt internationaal erkende standaarden. Wij laten ons kwaliteitsmanagementsysteem jaarlijks beoordelen door externe audits. Externe beoordeling door experts Aan onze software, TeamViewer, is een vijf-sterren kwaliteitskeurmerk (hoogste score) toegekend door de bond van IT-experts en adviseurs in de Bondsrepubliek Duitsland (Bundesverband der IT-Sachverständigen und Gutachter e.v., BISG e.v.). De onafhankelijke experts/adviseurs van de BISG e.v. inspecteren producten van gekwalificeerde producenten op hun kwaliteits-, beveiligings- en serviceeigenschappen. Beveiligingsgerelateerde inspectie TeamViewer is onderworpen aan beveiligingsgerelateerde inspecties door FIDUCIA IT AG (een beheerder van gegevensverwerkingscentra voor ca. 800 Duitse banken) en is goedgekeurd voor gebruik op werkstations in banken. Referenties Momenteel wordt TeamViewer gebruikt op meer dan 200.000.000 computers. Internationale topbedrijven in alle bedrijfstakken (waaronder zeer gevoelige sectoren als het bank- en geldwezen, gezondheidszorg en overheid) maken met succes gebruik van TeamViewer. Wij nodigen u uit om eens naar onze referenties op internet te kijken, om een eerste indruk te krijgen van de acceptatie van onze oplossing. U zult het er zeker mee eens zijn dat de meeste van deze bedrijven soortgelijke eisen m.b.t. beveiliging en beschikbaarheid hadden, voordat zij - na een uitgebreid onderzoek - uiteindelijk kozen voor TeamViewer. Om toch uw eigen indruk te kunnen vormen, vindt u in de volgende hoofdstukken enkele technische details. 2

TeamViewer sessies Opzetten van een sessie en verbindingstypes Bij het tot stand brengen van een sessie bepaalt TeamViewer het optimale verbindingstype. Na de handshake via onze masterservers wordt in 70% van alle gevallen een directe verbinding via UDP of TCP tot stand gebracht (zelfs achter standaard gateways, NAT's en firewalls). De rest van de verbindingen wordt langs ons zeer redundant uitgevoerde routernetwerk doorgestuurd via TCP of http-tunnels. U hoeft geen poorten te openen om met TeamViewer te werken! Zoals hieronder beschreven in het hoofdstuk "Codering en authenticatie", kunnen zelfs wij als operators van de routingservers het gecodeerde dataverkeer niet lezen. Codering en authenticatie TeamViewer dataverkeer wordt beveiligd met behulp van RSA sleuteluitwisseling (publiek/privé) en AES (256 bit) sessiecodering. Deze technologie wordt in een vergelijkbare vorm gebruikt voor https/ssl en wordt volgens de huidige standaarden als volledig veilig beschouwd. Aangezien de privésleutel (geheime sleutel) nooit de client computer verlaat, garandeert deze procedure dat onderling verbonden computers - waaronder de routingservers van TeamViewer - de datastroom niet kunnen decoderen. In elke TeamViewer client is de publieke sleutel van het hoofdcluster al geïmplementeerd en de client kan zo berichten aan het hoofdcluster coderen en berichten die hiermee ondertekend zijn, controleren. De PKI (Public Key Infrastructure) voorkomt doeltreffend "man-in-the-middle-aanvallen". Ondanks de codering wordt het wachtwoord nooit rechtstreeks verzonden, maar alleen via een procedure met vraag en antwoord, en wordt het alleen op de lokale computer opgeslagen. Tijdens authenticatie wordt het wachtwoord nooit rechtstreeks overgebracht, omdat het Secure Remote Password (SRP) protocol wordt gebruikt. Er is alleen een wachtwoordcontrole op de lokale computer opgeslagen. 3

TeamViewer A TeamViewer Master TeamViewer B Genereert een set privé-/publieke sleutels Genereert een set privé-/publieke sleutels. Alle TeamViewer clients kennen de publieke sleutel van de Master Genereert een set privé-/publieke sleutels Overdracht van publieke sleutel A gecodeerd met de publieke sleutel van de Master Overdracht van publieke sleutel B gecodeerd met de publieke sleutel van de Master Computer A wil een verbinding tot stand brengen met computer B Publieke sleutel van B gecodeerd met de publieke sleutel van A ondertekend met de privésleutel van de Master Authentificatie en generering van symmetrische sleutels AES 256 bit Overdracht van de symmetrische sleutels gecodeerd met de publieke sleutel van B ondertekend met de privésleutel van A Vraag naar publieke sleutel van A gecodeerd met de publieke sleutel van de Master Publieke sleutel van A gecodeerd met de publieke sleutel van B ondertekend met de privésleutel van de Master Authentificatie van de zender en decodering van de symmetrische sleutel Communicatie met symmetrische codering AES 256 bit TeamViewer codering en authentificatie 4

Validatie van TeamViewer-ID's TeamViewer ID's zijn gebaseerd op diverse hardware- en softwarekenmerken en worden automatisch gegenereerd door TeamViewer. De TeamViewer servers controleren vóór elke verbinding de geldigheid van deze ID's. Beveiliging tegen 'brute-force' Toekomstige klanten die informeren naar de beveiliging van TeamViewer hebben regelmatig vragen over codering. Het is begrijpelijk dat men het meest bang is voor het risico dat een derde de verbinding zou kunnen monitoren of dat de toegangsgegevens van TeamViewer worden onderschept. In werkelijkheid zijn het echter de primitieve aanvallen die vaak het gevaarlijkst zijn. In verband met computerbeveiliging is een 'brute-force'-aanval een methode waarbij botweg alle mogelijke opties worden uitgeprobeerd om een wachtwoord te achterhalen dat een bron beveiligt. Door de steeds toenemende rekenkracht van standaard computers is de tijd die nodig is om lange wachtwoorden te achterhalen, aanzienlijk verminderd. Als een verdediging tegen 'brute-force'-aanvallen vergroot TeamViewer de wachttijd (latency) tussen verbindingspogingen exponentieel. Zo is er wel 17 uur nodig voor 24 pogingen. De wachttijd wordt alleen teruggezet, nadat met succes het juiste wachtwoord is ingevoerd. TeamViewer heeft niet alleen een mechanisme geïntegreerd om zijn klanten tegen aanvallen vanaf één bepaalde computer te beveiligen, maar ook vanaf meerdere computers, bekend als botnet-aanvallen, die toegang proberen te krijgen tot één bepaalde TeamViewer-ID. TeamViewer beveiliging tegen 'bruteforce' 10000 Vertraging in minuten 1000 100 10 1 1 4 6 8 10 12 14 16 18 20 22 24 Pogingen Grafiek: Tijd die is verstreken na n verbindingspogingen tijdens een 'brute-force'-aanval 5

Code-ondertekening Als een extra beveiligingsfunctie wordt al onze software ondertekend via VeriSign Code Signing. Op deze manier kan de uitgever van de software altijd gemakkelijk worden geïdentificeerd. Als de software later is gewijzigd, wordt de digitale handtekening automatisch ongeldig. Datacentrum en backbone Deze twee onderwerpen hebben betrekking op de beschikbaarheid en de beveiliging van TeamViewer. De centrale TeamViewer servers bevinden zich in de Europese Unie in ISO 27001-gecertificeerde datacentra met multi-redundante carrier-verbindingen en redundante stroomvoorzieningen. Er wordt uitsluitend gebruik gemaakt van hardware van bekende merken. Persoonlijke toegangscontrole, videocameratoezicht, bewegingsdetectors, 24/7 monitoring en beveiligingspersoneel op locatie zorgen ervoor dat toegang tot het datacentrum alleen wordt verleend aan geautoriseerde personen en garanderen de best mogelijke beveiliging voor hardware en data. Er is ook een uitgebreide identificatiecontrole bij de centrale toegang tot het datacentrum. TeamViewer-account Speciaal toegewezen TeamViewer servers dienen als host voor TeamViewer-accounts. Zie voor informatie over toegangscontrole het bovenstaande hoofdstuk "datacentrum en backbone". Voor autorisatie en wachtwoordcodering wordt het Secure Remote Password (SRP) protocol, een uitgebreid 'passwordauthenticated key agreement' (PAKE) protocol, gebruikt. Een infiltrant of 'man in the middle' kan niet voldoende informatie krijgen om via een 'brute-force'-aanval een wachtwoord te achterhalen. Dit betekent dat zelfs bij het gebruik van zwakke wachtwoorden een sterke beveiliging kan worden verkregen. Gevoelige gegevens binnen het TeamViewer-account, bijvoorbeeld aanmeldingsgegevens voor cloudopslag, worden met behulp van AES/codering opgeslagen. Management Console De TeamViewer Management Console is een webgebaseerd platform voor gebruikersbeheer, verbindingsrapporten en beheer van Computers & Contacten. Hiervoor dienen ISO 27001-gecertificeerde datacentra die voldoen aan HIPAA-eisen, als host. De gegevensoverdracht vindt plaats via een veilig kanaal met SSL (Secure Sockets Layer) codering, de standaard voor veilige internetverbindingen. Gevoelige gegevens worden bovendien met behulp van AES/codering opgeslagen. Voor autorisatie en wachtwoordcodering wordt het Secure Remote Password (SRP) protocol gebruikt. SRP is een bewezen, robuuste, veilige, op wachtwoorden gebaseerde authentificatie- en sleuteluitwisselingsmethode die gebruik maakt van 2048-bitmodulus. Op richtlijnen gebaseerde instellingen Vanuit de TeamViewer Management Console kunnen gebruikers specifiek bij apparaten horende instellingen definiëren, distribueren en afdwingen voor de TeamViewer software-installaties. Instellingen 6

worden digitaal ondertekend door het account dat deze heeft gegenereerd. Dit garandeert dat het enige account dat een richtlijn aan een apparaat mag toewijzen, het account is waartoe het apparaat behoort. Toepassingsbeveiliging in TeamViewer Zwarte en witte lijst Vooral als TeamViewer wordt gebruikt voor het onderhoud van onbeheerde computers (d.w.z. TeamViewer wordt als een Windows-service geïnstalleerd), kan de extra beveiligingsoptie de toegang tot deze computers beperken tot het aantal aangegeven clients. Met de functie 'witte lijst' kunt u expliciet aangeven welke TeamViewer-ID's en/of TeamViewer-accounts toegang mogen hebben tot een computer. Met de functie 'zwarte lijst' kunt u bepaalde TeamViewer-ID's en TeamViewer-accounts blokkeren. Een centrale witte lijst is beschikbaar als onderdeel van de 'op richtlijnen gebaseerde instellingen' die hierboven onder "Management Console" zijn beschreven. Chat- en videocodering Chatgeschiedenissen zijn verbonden met uw TeamViewer-account en worden daarom gecodeerd en opgeslagen met behulp van dezelfde AES/coderingsbeveiliging als beschreven onder "TeamViewer-acccount". Alle chatberichten en al het videoverkeer worden end-to-end gecodeerd met behulp van AES (256 bit) sessiecodering. Geen Stealth-modus Er is geen functie die u in staat stelt om TeamViewer helemaal op de achtergrond uit te voeren. Zelfs als de toepassing wordt uitgevoerd als een Windows-service op de achtergrond, is TeamViewer altijd zichtbaar door middel van een pictogram in het systeemvak. Na het tot stand brengen van een verbinding is er altijd een klein controlevenster zichtbaar boven het systeemvak. Zodoende is TeamViewer opzettelijk ongeschikt voor het heimelijk monitoren van computers of werknemers. Wachtwoordbeveiliging Voor spontane support aan klanten genereert TeamViewer (TeamViewer QuickSupport) een sessiewachtwoord (eenmalig wachtwoord). Als uw klant u zijn wachtwoord meedeelt, dan kunt u verbinding maken met zijn computer door zijn ID en wachtwoord in te voeren. Na een herstart van TeamViewer bij de klant wordt een nieuw sessiewachtwoord gegenereerd, zodat u alleen verbinding kunt maken met computers van uw klant als u wordt uitgenodigd om dit te doen. Bij het inzetten van TeamViewer voor onbeheerde support op afstand (bijv. van servers) stelt u een individueel, vast wachtwoord in dat de toegang tot de computer beveiligt. 7

Inkomende en uitgaande toegangscontrole U kunt de verbindingsmodi van TeamViewer individueel configureren. U kunt bijvoorbeeld uw computer voor support op afstand of meetings zodanig configureren dat geen inkomende verbindingen mogelijk zijn. Het beperken van de functionaliteit tot die functies die echt nodig zijn, betekent altijd het beperken van mogelijke zwakke punten voor potentiële aanvallen. Tweeledige authenticatiemethode TeamViewer helpt bedrijven te voldoen aan HIPAA- en PCI-eisen. De tweeledige authenticatiemethode voegt een extra beveiligingslaag toe om TeamViewer-accounts te beveiligen tegen toegang door onbevoegden. Naast zowel gebruikersnaam als wachtwoord moet de gebruiker een code invoeren om de authentificatie uit te voeren. Deze code wordt gegenereerd via het TOTP-algoritme (eenmalig wachtwoord op basis van tijd). Zodoende is de code slechts gedurende een korte tijd geldig. Door middel van de tweeledige authentificatiemethode en het beperken van de toegang door middel van witte lijsten helpt TeamViewer om te voldoen aan alle noodzakelijke criteria voor HIPAA- en PCI-certificering. Nog vragen? Neem bij verdere vragen of voor meer informatie contact op met (NL) +31 (0)858880136 en (BE) +32 (0)28088659, of stuur een e-mail naar support@teamviewer.com. Contact TeamViewer GmbH Jahnstr. 30 D-73037 Göppingen Duitsland service@teamviewer.com 8

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback