Re: VNC et sécurité

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: ML Guilde
Subject: Re: VNC et sécurité
    Bonsoir,

Frédéric a écrit :
> On Vendredi 11 Mars 2005 18:13, Xavier Belanger wrote:
>
>
>>La solution envisagee pour limiter les risques est de faire passer Vnc
>>dans un tunnel Ssh.
>
>
> Oui, c'est ce que vient de me proposer Jean-Noël. C'est effectivement la
> solution la plus fiable.


    Je rajoute quelques petites choses. En terme de sécurité réseau, il 
fait d'abord se demander de quoi on veut se protéger :
- est-ce que l'on craint que quelqu'un récupère un mot de passe, ou un
texte tapé dans le client VNC ? Si c'est le cas, le problème est donc de
sécuriser le contenu, et effectivement, un tunnel SSH est l'idéal.


- par contre, le coté que l'on veut sécuriser est peut-être celui du
"buffer overflow" sur le client (VPN ou SSH): En effet, que ce soit l'un
ou l'autre des services que l'on met en oeuvre, on peut toujours
craindre qu'un code malicieux soit envoyer par un intrus, afin de faire
exécuter un programme "dangereux" sur le serveur. Auquel cas, seul la
mise à jour régulière des programmes serveurs (VNC et tunnel SSH tant du
coté du PC serveur que du coté client) permettent de limiter la casse.

    Dernière remarque : Le tunnel SSH permet de re-router le contenu du VNC 
dans un "tuyau" sûr. Mais il n'empêche que même dans ces conditions les 
clients/serveurs VNC continuent d'avoir un port ouvert. Et sans 
configuration particulière, c'est d'un port ouvert sur TOUTES les 
interfaces réseaux dont il s'agit. Donc même avec un tunnel SSH, un 
intrus peut attaquer le serveur VNC, afin de lui faire faire un buffer 
overflow, et ainsi prendre la main sur la machine.


    Aussi, il est important de sécuriser les machines cliente et serveur 
avec un bon FW (netfilter sous Linux), afin surtout de "boucher" le port 
VNC sur l'interface réseau Internet. En effet, que ce soit aussi bien du 
cote client ou serveur, le soft VNC (client ou serveur) et le SSH 
dialoguent sur l'interface réseau loopback (localhost / 127.0.0.1).


    A plus,


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!