Votre question

Sécuriser Vnc (apache-ssl proxy?)

Tags :
  • Proxy
  • Internet
Dernière réponse : dans Internet
5 Janvier 2004 10:10:00

Hello,

Voici mon problème.
Je souhaite me connecter (de l'extérieur) à mes serveurs Vnc situés sur mon workgroup de manière sécurisée.
Après avoir interrogé ce brave google, j'en suis venu à la conclusion qu'une solution semble exister:
Utiliser mon serveur Apache-SSL en reverse proxy pour les serveurs VNC.
Ainsi je me connecterais sur https://whatever/vnc1=>forwardé sur le serveur vnc1, avec un client Firebird modifié pour accéder via l'applet java.

Je n'ai qu'une compréhension partielle de ce que cela implique, et de ce que je fais... Au demeurant, je n'ai pas d'expérience pratique (ni théorique) des méthodes (légales ou non) d'intrusion.

Ma question est:
1- Pensez-vous que cette méthode soit applicable?
2- Peut-on considérer que cette méthode soit fiable, et constitue vraiment une communication sécurisée entre le client et le serveur? L'applet java pose-t-elle problème dans tout ça?
3- Y-a-t-il une autre solution?


Merci à tous.

Olivier

Autres pages sur : securiser vnc apache ssl proxy

5 Janvier 2004 10:51:47

Salut,
je n'ai pas ta solution mais j'ai le même soucis.
Est ce un réseau professionnel ou particulier?
Sur un réseau particulier j'utilise TS ou meme VNC il suffit d'ouvrir les ports adequats....et de fermer les ports non utilisés...
Pour une entreprise je te conseille une solution surement la plus sécurisé le VPN, qui ne met pas en jeu des applets java pouvant foutre la merde au niveau des routeurs...
Cordialement.
@lesc
5 Janvier 2004 10:59:53

Réseau particulier.
J'ai oublié de préciser (mais ça tombe sous le sens) que le serveur Apache est sur le workgroup...

Citation :

VNC, ouvrir / fermer les ports adéquats.


Soit. C'est l'usage normal de vnc right?
En fait j'aimerai bien tout fermer sauf l'entrée ssl apache :-P

Citation :

VPN


Oui... il faut que je m'y intéresse. Une idée / ressource pour commencer?
Mais pour l'instant je me concentre sur ces histoires de vnc sécurisé.

Merci boobaka.
Contenus similaires
Pas de réponse à votre question ? Demandez !
5 Janvier 2004 12:00:00

Re,
c'est un vrai probleme interessant..
De toutes les manieres un PC securisé a fond est un PC eteint (ca fait pas avancer mais bon...).
Donc le fait d'ouvrir le ports SSL..mais bon faut voir tout ce que ca implique ..si j'ai bien compris tu veux utiliser ton apache en reverse proxy donc install d'un proxy (squid??) a parametrer etc...
Pour le VPN ici
Mais tu trouveras des choses interessantes sur Google...
Mais ca m'interesse si tu pouvais me tenir informer de ton avancement..
Cordialement.
@lesc
6 Janvier 2004 10:25:07

Citation :

De toutes les manieres un PC securisé a fond est un PC eteint (ca fait pas avancer mais bon...).

:-)

Citation :

si j'ai bien compris tu veux utiliser ton apache en reverse proxy donc install d'un proxy (squid??) a parametrer


J'ai du rater une marche...
Non, pas install d'un serveur proxy...

Voilà où j'en suis.
Soit un serveur apache2-ssl correctement configuré accessible sur une ip du genre https://mon-ip:443

Ensuite, on modifie httpdconf pour le reverse proxy

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_http_module modules/mod_proxy_http.so

...

# Autoriser le mappage vers les ports http, https, vnc
AllowCONNECT 80 443 5801
# On mappe les machines du réseau interne
ProxyPass /vnc1 http://ma_machine_intra_n1:5801
ProxyPassReverse /vnc1 http://ma_machine_intra_n1:5801
ProxyPass /vnc2 http://ma_machine_intra_n2:5801
ProxyPassReverse /vnc2 http://ma_machine_intra_n2:5801


Bon.............

Maintenant, si on demande depuis l'extérieur:
https://mon_ip/vnc1
Le serveur apache nous renvoie (théoriquement) la connexion vnc sur la machine 1 (via ssl).

QUESTION IMPORTANTE (si quelqu'un peut me répondre):
Ai-je effectivement de cette façon ssl-tunnelé ma connexion vnc????????

CA MARCHE PAS (encore):
L'applet java s'affiche durant une demi-seconde. Ensuite j'ai:
<HTML>
<HEAD><TITLE>TightVNC desktop [rhumvideo]</TITLE></HEAD>
<BODY>
<APPLET CODE=VncViewer.class ARCHIVE=VncViewer.jar WIDTH=1024 HEIGHT=800>
<PARAM NAME="PORT" VALUE="5901">
</APPLET>

<A HREF="http://www.tightvnc.com/">www.TightVNC.com&lt;/A>
</BODY>
</HTML>


PROBLEME:
Je ne sais pratiquement rien de Java...
Et ca:
<PARAM NAME="PORT" VALUE="5901">
ne me dit rien de bon...


CONCLUSION:
J'imagine que j'y suis presque.
Ou bien alors, j'ai rien compris, et mon brol est pas du tout un tunnel ssl :-P :-P :-P :-P :-P :-P

Fatigué...

A bientôt.

Olivier.

PS: Au secours quelqu'un aidez-moi!!!!! me sens tout seul!!!!! :-P
6 Janvier 2004 10:36:57

Ok, je vais essayer de me passer du serveur http des serveurs vnc sur les machines du groupe (recompiler l'applet et la servir par apache plutôt que par le serveur vnc)...


A+

Olivier :-(
6 Janvier 2004 11:00:20

Re,
ce n'est peut etre qu'un parametrage sur tes clients VNC.
Ils ecoutent sur quel port?
As tu rediriger le flux https vers le port d'ecoute des clients(5900)?
Cordialement.
@lesc
6 Janvier 2004 12:11:11

Citation :

As tu rediriger le flux https vers le port d'ecoute des clients(5900)?


ProxyPass /vnc1 http://ma_machine_intra_n1:580x

Le client est supposé se connecter sur https://mon_ip:443/vnc (443, port pour l'accès ssl)
Le serveur vnc écoute le port 580x (http) et 590x (main).
Je ne pense pas que le problème soit là.
Je n'ai pas de problème si j'accède directement disons:
http://ma_machine_intra_n1:580x
Je sais que le mappage apache fonctionne
https://mon_ip/vnc1 me mappe correctement sur http://ma_machine_intra_n1:580x.

Mais quelque chose m'échappe quelque part, c'est évident...
Peut-être ça:
"due to the Java security restrictions, it's also required that the server should be installed on the same machine which is running the TightVNC server."

Est-ce que mon mappage pose un problème sur ce point?

no lo se.

A+
6 Janvier 2004 12:26:00

y a quand même un truc chelou là...
Il me sert la source html sans me la parser...
Si le mappage ne marchait pas, j'aurais un access denied....
Si l'applet avait un problème, j'aurais la page html avec l'applet et un message d'erreur java no?
Alors quoi?
Est-ce que ca serait un problème de mimetype??????

Une idée?

Olivier
6 Janvier 2004 14:23:29

Re,
là ca me depasse....je me renseigne quand meme et si des news je te tiens au courant...
Cordialement.
@lesc
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS