Sécuriser Vnc (apache-ssl proxy?)
Forum Accès Internet & Réseaux : Sécuriser Vnc (apache-ssl proxy?)
Hello,
Voici mon problème.
Je souhaite me connecter (de l'extérieur) à mes serveurs Vnc situés sur mon workgroup de manière sécurisée.
Après avoir interrogé ce brave google, j'en suis venu à la conclusion qu'une solution semble exister:
Utiliser mon serveur Apache-SSL en reverse proxy pour les serveurs VNC.
Ainsi je me connecterais sur https://whatever/vnc1=>forwardé sur le serveur vnc1, avec un client Firebird modifié pour accéder via l'applet java.
Je n'ai qu'une compréhension partielle de ce que cela implique, et de ce que je fais... Au demeurant, je n'ai pas d'expérience pratique (ni théorique) des méthodes (légales ou non) d'intrusion.
Ma question est:
1- Pensez-vous que cette méthode soit applicable?
2- Peut-on considérer que cette méthode soit fiable, et constitue vraiment une communication sécurisée entre le client et le serveur? L'applet java pose-t-elle problème dans tout ça?
3- Y-a-t-il une autre solution?
Merci à tous.
Olivier
Salut,
je n'ai pas ta solution mais j'ai le même soucis.
Est ce un réseau professionnel ou particulier?
Sur un réseau particulier j'utilise TS ou meme VNC il suffit d'ouvrir les ports adequats....et de fermer les ports non utilisés...
Pour une entreprise je te conseille une solution surement la plus sécurisé le VPN, qui ne met pas en jeu des applets java pouvant foutre la merde au niveau des routeurs...
Cordialement.
@lesc
Réseau particulier.
J'ai oublié de préciser (mais ça tombe sous le sens) que le serveur Apache est sur le workgroup...
| Citation :
|
Soit. C'est l'usage normal de vnc right?
En fait j'aimerai bien tout fermer sauf l'entrée ssl apache :-P
| Citation :
|
Oui... il faut que je m'y intéresse. Une idée / ressource pour commencer?
Mais pour l'instant je me concentre sur ces histoires de vnc sécurisé.
Merci boobaka.
Re,
c'est un vrai probleme interessant..
De toutes les manieres un PC securisé a fond est un PC eteint (ca fait pas avancer mais bon...).
Donc le fait d'ouvrir le ports SSL..mais bon faut voir tout ce que ca implique ..si j'ai bien compris tu veux utiliser ton apache en reverse proxy donc install d'un proxy (squid??) a parametrer etc...
Pour le VPN ici
Mais tu trouveras des choses interessantes sur Google...
Mais ca m'interesse si tu pouvais me tenir informer de ton avancement..
Cordialement.
@lesc
| Citation :
|
:-)
| Citation :
|
J'ai du rater une marche...
Non, pas install d'un serveur proxy...
Voilà où j'en suis.
Soit un serveur apache2-ssl correctement configuré accessible sur une ip du genre https://mon-ip:443
Ensuite, on modifie httpdconf pour le reverse proxy
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_http_module modules/mod_proxy_http.so
...
# Autoriser le mappage vers les ports http, https, vnc
AllowCONNECT 80 443 5801
# On mappe les machines du réseau interne
ProxyPass /vnc1 http://ma_machine_intra_n1:5801
ProxyPassReverse /vnc1 http://ma_machine_intra_n1:5801
ProxyPass /vnc2 http://ma_machine_intra_n2:5801
ProxyPassReverse /vnc2 http://ma_machine_intra_n2:5801
Bon.............
Maintenant, si on demande depuis l'extérieur:
https://mon_ip/vnc1
Le serveur apache nous renvoie (théoriquement) la connexion vnc sur la machine 1 (via ssl).
QUESTION IMPORTANTE (si quelqu'un peut me répondre):
Ai-je effectivement de cette façon ssl-tunnelé ma connexion vnc????????
CA MARCHE PAS (encore):
L'applet java s'affiche durant une demi-seconde. Ensuite j'ai:
<HTML>
<HEAD><TITLE>TightVNC desktop [rhumvideo]</TITLE></HEAD>
<BODY>
<APPLET CODE=VncViewer.class ARCHIVE=VncViewer.jar WIDTH=1024 HEIGHT=800>
<PARAM NAME="PORT" VALUE="5901">
</APPLET>
<A HREF="http://www.tightvnc.com/">www.TightVNC.com</A>
</BODY>
</HTML>
PROBLEME:
Je ne sais pratiquement rien de Java...
Et ca:
<PARAM NAME="PORT" VALUE="5901">
ne me dit rien de bon...
CONCLUSION:
J'imagine que j'y suis presque.
Ou bien alors, j'ai rien compris, et mon brol est pas du tout un tunnel ssl :-P :-P :-P :-P :-P :-P
Fatigué...
A bientôt.
Olivier.
PS: Au secours quelqu'un aidez-moi!!!!! me sens tout seul!!!!! :-P
Ok, je vais essayer de me passer du serveur http des serveurs vnc sur les machines du groupe (recompiler l'applet et la servir par apache plutôt que par le serveur vnc)...
A+
Olivier :-(
Re,
ce n'est peut etre qu'un parametrage sur tes clients VNC.
Ils ecoutent sur quel port?
As tu rediriger le flux https vers le port d'ecoute des clients(5900)?
Cordialement.
@lesc
| Citation :
|
ProxyPass /vnc1 http://ma_machine_intra_n1:580x
Le client est supposé se connecter sur https://mon_ip:443/vnc (443, port pour l'accès ssl)
Le serveur vnc écoute le port 580x (http) et 590x (main).
Je ne pense pas que le problème soit là.
Je n'ai pas de problème si j'accède directement disons:
http://ma_machine_intra_n1:580x
Je sais que le mappage apache fonctionne
https://mon_ip/vnc1 me mappe correctement sur http://ma_machine_intra_n1:580x.
Mais quelque chose m'échappe quelque part, c'est évident...
Peut-être ça:
"due to the Java security restrictions, it's also required that the server should be installed on the same machine which is running the TightVNC server."
Est-ce que mon mappage pose un problème sur ce point?
no lo se.
A+
y a quand même un truc chelou là...
Il me sert la source html sans me la parser...
Si le mappage ne marchait pas, j'aurais un access denied....
Si l'applet avait un problème, j'aurais la page html avec l'applet et un message d'erreur java no?
Alors quoi?
Est-ce que ca serait un problème de mimetype??????
Une idée?
Olivier
Re,
là ca me depasse....je me renseigne quand meme et si des news je te tiens au courant...
Cordialement.
@lesc
Il y a 1701 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
