Protegiendo accesos via VNC a nuestros equipos

Virtual Network Computing (VNC) es un servicio muy conocido que permite acceder de forma gráfica a diversos Sistemas Operativos.

Sin embargo VNC tiene ciertos problemas asociados con las claves, aunque no viajan en texto claro pueden ser adivinadas si la clave de encriptación y la clave codificada son obtenidas por parte de un atacante.

Además, muchos servicios de VNC solamente permiten 8 caracteres para las claves, cualquier caracter por encima de 8 es truncado. Oh: y no se solicita usuario y clave, sino solamente clave, lo que debilita el proceso además.

Es por ello que el servicio de VNC no debe ser expuesto a la internet pues es exponernos a los riesgos antes mencionados e incluso a un ataque de fuerza bruta para descubrir la clave.

Nuestra sugerencia es que los servicios de VNC sean totalmente deshabilitados hacia internet (y, de ser posible, en toda nuestra red también).

Sin embargo existen ocasiones en las que tenemos usuarios que administran un determinado servidor o servicio y, requieren que se tenga el servicio de VNC para manejar ellos sus sistemas. En este caso la sugerencia es que se siga deshabilitando el servicio de VNC hacia internet y que solamente se pueda acceder desde la red LAN.

Si fuera necesario acceder desde internet a este equipo con VNC instalado, la opción es utiliza un servicio que trate de garantizar la confidencialidad de la información y oculte el servicio de VNC hacia el exterior. Por ejemplo:

 

1- USO DE UNA VPN

Utilizar algún servicio de VPN (ej: OpenVPN) para que el usuario abra una sesión encriptada entre su equipo localizado en internet y nuestra red local. Una vez habilitada la VPN, el usuario podrá acceder, a través de la VPN al equipo que tiene VNC en la red local. El VNC no queda expuesto, solamente desde la red local se podrá ver.

2- USO DE TIGHTVNC

Existe un cliente de tightvnc en Java que tiene una opción de conectarse por SSH a un equipo Linux y, aprovechando el canal establecido con este equipo Linux, envía paquetes gráficos hacia el equipo que tiene VNC (en el sitio www.tightvnc.com ir a la sección de Downloads y buscar el enlace Download TightVNC Java Viewer).