VNC prise de controle d'un PC sous XP (Sécurité)

swissmade · Le 21/05/2009, à 09:11

Bonjour,

Je dois encore (malheureusement) m'occuper de quelque PC sous XP que l'on ne peux pas passer sous Ubuntu pour des raisons de compatibilité de certain programme.
J'utilise depuis longtemps VNC (avec SSH) pour contrôler nos PC sous Ubuntu.

Je pensai installer un serveur SSH et UltraVNC sur nos ordinateurs XP. Mais qu'en est il de la sécurité? Si je dois ouvrir le port 22 cela ne pose t'il pas de problème? C'est des ordinateurs de ma société et je voudrai pas que des pirates puissent entrer dans ceux-ci...

Avez vous un conseil concernant quel serveur SSH je devrai installer? Comment augmenter la sécurité?

Merci

Qid · Le 21/05/2009, à 09:59

Windows en serveur SSH ... @_@ !?
en VNC oui c'est sur mais en SSH je savais pas que c'etais fesable
quand à la sécurité suffi de pas laisse vnc sans mot de passe et
de pas laisser ssh sur le 22 c'est deja un bon début

swissmade · Le 21/05/2009, à 15:48

Oui oui il y a une multitude d'installeur OpenSSH pour windows.
Changer le port je suis pas sur que ça serve vraiment à quelque chose. Avec un petit programme comme nmap y a pas plus simple pour trouver les ports ouverts d'un ordinateur!

Mais concrètement si je laisse ce port 22 ouvert (avec un serveur SSH installé) je risque quoi? On peux vraiment entrer dans l'ordinateur?

droopy191 · Le 21/05/2009, à 16:18

Salut,

Installer un serveur ssh sur windows serait une solution mais vous allez vous compliquer la vie.

Je vois 2 solutions mais nécessite une machine sous linux ( meme virtuelle )
pc exterieur -> machine linux dans le reseau local ( accessible depuis l'exterieur) -> autres machines du reseau local
- vous faites un vpn à partir de la machine linux avec openvpn ( vpn routé ou bridge )
- vous faites des tunnels ssh : un port par machine

la 2eme solution est plus simple à mettre en oeuvre s'il n'y a pas trop de machines à controler.
Si c'est de la maintenance, rdesktop est une meilleure alternative que vnc ( mais pas fait pour du support à utilisateur).

exemple:
depuis le pc externe, ssh sur la machine linux interne
avec tunnel du port local 5910 vers l'ip du pc à controler port 5900
Vous vous connectez à localhost port 5910 avec VNC.

Vous faites un tunnel multiport
local 5910 -> 192.168.1.15:5900
local 5911 -> 192.168.1.16:5900
....

C'est un peu laborieux la première fois. Mais une fois, les batchs ou raccourcis crées, ca va tout seul.
Aucune modification des machines windows existantes et une seule machine linux à l'écoute sur le port ssh.
Une authentification ssh par clés et un fail2ban pour la touche finale.

swissmade · Le 21/05/2009, à 17:10

Merci de ta réponse droopy,

Ta deuxième solution n'utilise pas d'autre ordi (comme serveur)? Parce que je voudrai éviter de devoir avoir un autre ordinateur sous linux car ça coute tout de suite plus cher!
Et pour cette meme solution quel client dois je installer sur ma machine XP?

"-" · Le 21/05/2009, à 17:32

Si c'est du XP Pro tu peux utiliser le service de bureau à distance de XP... GNOME Terminal server permet d'y accéder, ainsi que Krdc (pour le dernier, pas sûr)

"-".

Dernière modification par "-" (Le 21/05/2009, à 17:33)

droopy191 · Le 21/05/2009, à 18:01

swissmade a écrit :

Merci de ta réponse droopy,
Ta deuxième solution n'utilise pas d'autre ordi (comme serveur)? Parce que je voudrai éviter de devoir avoir un autre ordinateur sous linux car ça coute tout de suite plus cher!

Oui, il faut un PC serveur mais cela ne nécessite pas obligatoirement une machine dédiée ( ce serait du luxe ;-) ).
Vous parliez d'un réseau d'entreprise déja bien migré sous linux et de controle par ssh + VNC pour les stations ubuntu, je pensais qu'un serveur ssh accessible depuis internet était dejà présent.
Si ce n'est pas le cas, vous pouvez utiliser une des ubuntu présentes dans le reseau local pour jouer le role de serveur ssh.

L'idée est de n'avoir qu'une seule machine avec un accès ssh depuis internet pour limiter les risques.
Sinon, la solution openvpn qui tourne aussi bien sous windows que sous linux est une option ( c'est plus ouvert: samba , accès aux serveurs internes de la boite ...).

Pouvez vous donner plus de détails ? nombre de machine windows à controler, nombre de clients qui devront accéder depuis l'exterieur. Bcp de chose sont possibles mais difficile de donner un conseil adapté sans connaitre un peu le contexte.

swissmade a écrit :

Et pour cette meme solution quel client dois je installer sur ma machine XP?

Sur les machines à controler, rien de plus ( c'est bien l'interet ), juste le serveur VNC ou le bureau à distance ( présent par défaut sur windows ). Elles ne sont pas accessibles depuis internet.
Sur le relai, pc serveur, un serveur ssh accessible depuis internet.
Sur la machine qui controle, putty pour le client ssh, un client VNC ou client rdp de windows ( ca marche aussi si c'est du Linux, ssh, VNC et rdesktop).

swissmade · Le 22/05/2009, à 08:23

En fait, il s'agit d'une PME. Je n'ai donc aucun problème pour intervenir en local, car je peux même intervenir physiquement s'il le faut. Par contre il y a des employés qui voyage (au Canada) et nous avons là-bas un unique PC qui tourne sous WinXP Pro. C'est celui-ci que je voudrai pouvoir contrôler. Il n'y a donc pas d'autre PC sous Ubuntu dans le réseau.

Merci

droopy191 · Le 22/05/2009, à 14:56

swissmade a écrit :

En fait, il s'agit d'une PME. Je n'ai donc aucun problème pour intervenir en local, car je peux même intervenir physiquement s'il le faut. Par contre il y a des employés qui voyage (au Canada) et nous avons là-bas un unique PC qui tourne sous WinXP Pro. C'est celui-ci que je voudrai pouvoir contrôler. Il n'y a donc pas d'autre PC sous Ubuntu dans le réseau.
Merci

Ok, je change le fusil d'épaule.
Il faut considérer que le poste xp est inaccessible depuis internet ( nat, ip qui change, impossibilité d'accéder aux paramètres ). La connexion doit donc etre initiée par le poste client et votre serveur accessible depuis internet.
Une solution VNC avec authentification + mode listen sur votre serveur ( faudra chercher, mais souvent solutions payantes pour la partie chiffrement ).
Une autre option un peu plus lourde à mettre en place mais qui est plus riche, mise en place d'un vpn ( la complexité est juste dans la préparation pour vous mais rien de rédibitoire si vous utilisez deja ssh avec des clés, pour votre utilisateur: un soft à installer + qq fichiers à copier ).
Un serveur openvpn sur le site, windows ou linux ( ouverture et écoute sur un seul port à la facon de ssh ).

Sur la machine xp, le client openvpn. Une icone dans la barre d'état avec un menu "connecter" , ou un raccourci sur le bureau qui lance en meme temps openvpn et vncserver. J'utilise cette solution pour des anciens qui ont tjs un peu de mal ;-) La connexion vpn est activée au démarrage car c'est un poste fixe.

Vous avez différentes options:
- intégration du poste distant dans le réseau local: mode bridge ( le client obtiendra une ip locale)
pas forcement adapté pour un poste nomade dont on n'est jamais sur de la sécurité.
- un sous reseau pour le vpn = mode routé , seul le client et le serveur se voient ( souvent réseau 10.8.0.0 ).
Une fois le vpn etabli, les 2 machines peuvent dialoguer comme en local: vnc, partage de fichier.

( Pour info, l'option ssh resterait a priori possible dans ce cas avec le paramètre -remote mais ca me parait tarabiscoté depuis windows )

Si vous avez des questions plus pratiques sur comment ca marcherait, dites le.
Précisez vos choix serveur, on pourra trouver qq tutos adaptés.

Zakhar · Le 22/05/2009, à 15:18

J'approuve la solution OpenVpn avec PC à dépanner en "client" !

C'est exactement comme ça que je fais personnellement.

Le plus dur c'est de préparer le jeu de clés de chiffrement et de les distribuer proprement. Ensuite c'est tout facile !

pdany4 · Le 27/10/2009, à 22:17

Salut a tous,
moi j'ai un serveur sous Ubuntu 9.04 Server, des PC local sous XP et Ubuntu.
J'ai mis en place fail2ban sur le serveur ainsi qu'openssh-server et j'arrive a prendre le controle en local de mon serveur via SSH, ainsi qu'par internet apres avoir ouvert le port qui va bien, a savoir le 443 a la place du 22 pour "eviter un peu les attaques"

Sous Ubuntu :
ssh -X me donne acces a l'interface graphique des logiciels que je lance
sftp me donne un ftp securise.

J'ai chroote aussi les utilisateurs dans leur /home

Sous XP, j'ai installe :
- Putty (client SSH)
- WinSCP (Client SFTP)
- Xming (deport X11)

j'aimerai progresse et trouve pour mettre en place en LOCAL et via INTERNET la fonction VNC pour avoir aussi les menus....

J'ai essayer 2 3 trucs et ouverts le port 5900 en TCP et UDP, et meme en local j'n'arrive a rien (je debute dans la lecture de tuto)
Mais vous en auriez peut etre des bien complet a me comuniquer, en bien detaille ?

Merci d'avance.
Cordialement.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/05/2009, à 09:11

VNC prise de controle d'un PC sous XP (Sécurité)

#2 Le 21/05/2009, à 09:59

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#3 Le 21/05/2009, à 15:48

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#4 Le 21/05/2009, à 16:18

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#5 Le 21/05/2009, à 17:10

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#6 Le 21/05/2009, à 17:32

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#7 Le 21/05/2009, à 18:01

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#8 Le 22/05/2009, à 08:23

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#9 Le 22/05/2009, à 14:56

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#10 Le 22/05/2009, à 15:18

Re : VNC prise de controle d'un PC sous XP (Sécurité)

#11 Le 27/10/2009, à 22:17

Re : VNC prise de controle d'un PC sous XP (Sécurité)

Pied de page des forums