VNC : Présentation, Installation et Sécurité - Partie 4
III/Sécurité de VNC
La sécurité de VNC est essentielle, surtout lorsqu’il est utilisé sur des réseaux publics ou des environnements de production. Par défaut VNC ne chiffre pas les connexions, ce qui peut exposer vos données à des risques de sécurité. Voici plusieurs mesures que vous pouvez envisager de prendre pour sécuriser votre serveur VNC et protéger vos données.
1)Utiliser un tunnel SSH pour chiffrer la connexion VNC
La méthode la plus courante et la plus sécurisée pour utiliser VNC est de créer un tunnel SSH pour chiffrer les données envoyées entre le client et le serveur. Cela permet de s’assurer que même si des attaquants interceptent la connexion, ils ne seront pas en mesure d’en déchiffrer le contenu.
a)Sur le serveur
Vous devez vous assurer qu’un serveur SSH est installé et configuré. Si ce n’est pas le cas, faites-le.
b)Sur le client
Sur le client aussi, un serveur SSH doit être installé et configuré. Vous ouvrez ensuite un terminal et vous exécutez la commande selon la syntaxe suivante :
ssh -L port_local:localhost:port_distant nom_utilisateur@IP_distante
port_local désigne le port VNC local
port_distant désigne le port VNC distant
nom_utilisateur désigne l’utilisateur distant auquel vous vous connectez en SSH
IP_distante désigne l’adresse IP de la machine distante
Supposons que le serveur VNC auquel nous voulons nous connecter a pour adresse IP 192.168.145.150, le port VNC de notre machine cliente est 5901, celui du serveur est aussi 5901 et l’utilisateur par lequel nous voulons créer notre tunnel est orson. En pratique, nous ferons donc :
ssh -L 5901:localhost:5901 orson@192.168.145.150
Une fois que le tunnel est créé, ouvrez votre client VNC et connectez-vous à localhost:5901 au lieu de l’adresse IP distante.
Cela chiffre la communication VNC avec SSH, rendant la connexion beaucoup plus sécurisée.
2)Choisir un mot de passe fort pour VNC
Lorsque vous configurez VNC, assurez-vous d’utiliser un mot de passe fort et complexe pour accéder à la session VNC. Par défaut, VNC vous demande de définir un mot de passe lors de la configuration. Vous pouvez à tout moment modifier votre mot de passe VNC sous Linux avec la commande :
vncpasswd
3) Restreindre les connexions VNC par adresse IP
Limitez les connexions au serveur VNC en fonction de l’adresse IP. Cela permet de s’assurer que seules les machines autorisées peuvent accéder à votre serveur VNC. Pour ce faire, vous devez configurer votre pare-feu pour n’autoriser que les connexions à partir de certaines adresses IP.
Sur Debian par exemple vous pouvez vous servir du pare-feu UFW de la manière suivante :
ufw allow from IP_autorisée to any port 5901
Par exemple, je ne veux autoriser que l’adresse IP 192.168.145.146 à accéder au serveur VNC
ufw allow from 192.168.145.146 to any port 5901Cela ne permettra les connexions VNC qu’à partir de l’adresse IP spécifiée.
