Stunnel pour chiffrer la connexion à VNC
11 février 2017
Dans le cadre d’une formation à la sécurité des réseaux que j’ai donnée mercredi et jeudi, j’ai présenté les 3 technologies utilisées pour chiffrer les flux sur les réseaux publics, à savoir SSH, IPSec et SSL. Pour le SSL, j’ai décidé de présenter à mon stagiaire Hervé le logiciel stunnel. Œuvrant dans un réseau d’intérêt vital, il a, par la loi, injonction de chiffrer les accès à ses automates de production qui exécutent, pour la plupart, VNC Server sous Windows.
Installation de stunnel
Lors de l’installation sur les deux machines (le client et le serveur VNC), vous devez générer la clé stunnel.pem :
Une fois installé, vous devez mettre en place le service stunnel. Il y a un raccourci mis à votre disposition.
Configuration de stunnel
Sur le client, vous devez ajouter ces quelques lignes au fichier C:\Program Files (x86)\stunnel\config\stunnel.conf :
[vncclient] client = yes accept = 127.0.0.1:5900 connect = 192.168.1.10:5901 cert = stunnel.pem
Sur le serveur :
[vncserver] accept = 192.168.1.10:5901 connect = 127.0.0.1:5900 cert = stunnel.pem
Prenez soin de commenter les autres services pré-configurés dans stunnel qui ne vous apporteront rien dans le cas présent.
Règle de pare-feu
Proposé dans TightVNC Server, le contrôle d’accès semble y être inopérant. J’ai donc dû créer une nouvelle règle de pare-feu entrante pour ouvrir le port Tcp/5901 utilisé par stunnel :
Sécurité / Chiffrement, Ipsec, SSH, SSL