Stunnel pour chiffrer la connexion à VNC

Dans le cadre d’une formation à la sécurité des réseaux que j’ai donnée mercredi et jeudi, j’ai présenté les 3 technologies utilisées pour chiffrer les flux sur les réseaux publics, à savoir SSH, IPSec et SSL. Pour le SSL, j’ai décidé de présenter à mon stagiaire Hervé le logiciel stunnel. Œuvrant dans un réseau d’intérêt vital, il a, par la loi, injonction de chiffrer les accès à ses automates de production qui exécutent, pour la plupart, VNC Server sous Windows.

Installation de stunnel

Lors de l’installation sur les deux machines (le client et le serveur VNC), vous devez générer la clé stunnel.pem :

Création de la clé stunnel.pem avec OpenSSL lors de l'installation de stunnel !

Une fois installé, vous devez mettre en place le service stunnel. Il y a un raccourci mis à votre disposition.

Installation du service stunnel

Configuration de stunnel

Sur le client, vous devez ajouter ces quelques lignes au fichier C:\Program Files (x86)\stunnel\config\stunnel.conf :

[vncclient]
 client = yes
 accept  = 127.0.0.1:5900
 connect = 192.168.1.10:5901
 cert = stunnel.pem

Sur le serveur :

[vncserver]
accept  = 192.168.1.10:5901
 connect = 127.0.0.1:5900
 cert = stunnel.pem

Prenez soin de commenter les autres services pré-configurés dans stunnel qui ne vous apporteront rien dans le cas présent.

Règle de pare-feu

Proposé dans TightVNC Server, le contrôle d’accès semble y être inopérant. J’ai donc dû créer une nouvelle règle de pare-feu entrante pour ouvrir le port Tcp/5901 utilisé par stunnel :

Ouverture du port 5901 utilisé par stunnel sous Windows

 

Sécurité / , , ,