BEZPIECZEŃSTWO • HARDENING • PRAKTYKI

Jak zabezpieczyć UltraVNC

Jeśli używasz UltraVNC do wsparcia zdalnego, zadbaj o bezpieczeństwo UltraVNC, ponieważ otwarty VNC bywa skanowany i atakowany automatycznie. Największe ryzyko tworzą słabe hasła, wystawiony port do internetu i brak kontroli źródła połączeń, natomiast dobre zasady ograniczają powierzchnię ataku. W tym poradniku dostajesz konkret: hasła, VPN, whitelist IP, firewall, zmiana portu i szyfrowanie, w efekcie możesz wdrożyć twarde ustawienia bez chaosu.

Port 5900: test i reguły UltraVNC przez internet Pobierz UltraVNC

TL;DR Zagrożenia Metody ochrony Checklist FAQ

TL;DR

Minimalny zestaw działań, który realnie poprawia bezpieczeństwo.

Najczęściej działa: VPN + whitelist IP + mocne hasło

Na początku ogranicz dostęp do UltraVNC przez VPN, ponieważ to usuwa ekspozycję VNC z internetu.
W kolejnym kroku ustaw whitelist IP i reguły zapory, natomiast zablokuj wszystko, co nie jest zaufane.
Na końcu włącz szyfrowanie i ustaw silne hasła, w efekcie minimalizujesz ryzyko przejęcia sesji.

Zagrożenia

Co realnie grozi, gdy wystawisz VNC bez ochrony.

Brute force i credential stuffing, dlatego słabe hasła padają szybko.
Skanowanie portów i automatyczne próby logowania, natomiast część botów atakuje 24/7.
Podsłuch lub modyfikacja ruchu bez szyfrowania, w efekcie rośnie ryzyko przejęcia sesji.
Nieautoryzowany dostęp z dowolnego IP, ponadto brak logów utrudnia analizę incydentu.

Metody ochrony

Ustawienia, które wdrażasz w konkretnej kolejności.

1) Hasła i konta
Na początku ustaw mocne, unikalne hasło VNC, ponieważ to pierwszy filtr przeciw brute force. Następnie ogranicz dostęp do kont uprzywilejowanych i włącz zasadę najmniejszych uprawnień, natomiast nie używaj konta admina bez potrzeby. Ponadto rotuj hasła i kontroluj, kto je zna, w efekcie minimalizujesz ryzyko wycieku.
2) VPN zamiast wystawiania VNC
W kolejnym kroku użyj VPN (site-to-site lub klientowy), ponieważ to zamyka VNC w prywatnej sieci. Jeśli musisz działać z internetu, zestaw tunel i dopiero potem łącz UltraVNC, natomiast unikaj publicznego portu 5900. W efekcie większość ataków znika, bo skanery nie widzą usługi.
3) Whitelist IP i segmentacja
Następnie ustaw whitelist IP w firewallu, dlatego tylko zaufane adresy dostaną dostęp do portu. Jeśli masz stałe biuro lub VPN z jedną pulą, ogranicz reguły do tej puli, natomiast resztę odetnij całkowicie. Ponadto rozważ osobny VLAN dla hostów z VNC, w efekcie izolujesz je od reszty sieci.
4) Firewall i reguły portów
Na końcu dopracuj reguły: inbound tylko na potrzebny port i tylko na potrzebne IP, ponieważ szerokie reguły są częstą dziurą. W Windows Firewall ustaw profil i zakres adresów, natomiast na routerze dodaj ACL, jeśli przekierowujesz port. W efekcie kontrolujesz, kto może inicjować sesję.
5) Zmiana portu (jako warstwa dodatkowa)
Dodatkowo możesz zmienić port zewnętrzny z 5900 na inny, ponieważ to ogranicza proste skany. Traktuj to jako „noise reduction”, natomiast nie jako zabezpieczenie właściwe. W efekcie zmniejszasz liczbę automatycznych prób, ale nadal potrzebujesz VPN i whitelist.
6) Szyfrowanie i wtyczki
Na koniec włącz szyfrowanie lub użyj wtyczki szyfrującej, ponieważ bez tego ruch może być czytelny w niepewnej sieci. Zadbaj o spójność ustawień po stronie Server i Viewer, natomiast testuj po zmianach, aby nie wprowadzić błędów auth. W efekcie podnosisz poziom ochrony transmisji i zmniejszasz ryzyko podsłuchu.

→ UltraVNC przez internet: NAT i router → Port 5900: test i reguły firewall

Checklist

Odhacz, gdy wdrożysz twarde ustawienia bezpieczeństwa.

Silne hasło VNC jest ustawione, dlatego brute force ma trudniej.
VPN jest preferowaną ścieżką dostępu, natomiast port VNC nie jest publiczny.
Whitelist IP działa na firewallu, w efekcie tylko zaufane źródła łączą się z usługą.
Reguły zapory są zawężone do portu i zakresu IP, ponadto logowanie blokad jest włączone.
Port zewnętrzny jest zmieniony jako warstwa dodatkowa, dlatego skany trafiają rzadziej.
Szyfrowanie jest włączone i przetestowane po obu stronach, w efekcie ruch nie idzie „plaintext”.

FAQ

Najczęstsze pytania o bezpieczeństwo UltraVNC.

Czy zmiana portu 5900 wystarczy?

Nie. Zmiana portu ogranicza proste skany, natomiast nie chroni przed ukierunkowanym atakiem. Dlatego stosuj VPN i whitelist IP, w efekcie realnie ograniczysz powierzchnię ataku.

VPN czy whitelist IP – co wybrać?

VPN jest lepszy, ponieważ ukrywa usługę w prywatnej sieci i daje kontrolę dostępu na poziomie tunelu. Whitelist IP działa dobrze jako dodatkowa warstwa, natomiast przy zmiennych adresach bywa uciążliwy. W efekcie najlepszy układ to VPN plus whitelist puli VPN.

Jak sprawdzić, czy szyfrowanie działa?

Sprawdź ustawienia szyfrowania po stronie Server i Viewer, a następnie wykonaj test połączenia. Ponadto monitoruj logi, natomiast po zmianach zrób krótką walidację w LAN i przez VPN. W efekcie upewnisz się, że transmisja nie spada do słabszego trybu.

Szybka diagnostyka

Najpierw: ekspozycja → firewall → whitelist → VPN → szyfrowanie.

Server (host)

W pierwszej kolejności potwierdź, czy port VNC nie jest publicznie dostępny, ponieważ to największe ryzyko.
W następnym etapie sprawdź reguły Windows Firewall, natomiast zawęź je do zaufanych IP.
Na dalszym kroku zweryfikuj hasła i uprawnienia, dlatego ograniczysz skutki wycieku.
Na zakończenie sprawdź ustawienia szyfrowania i logi, w efekcie potwierdzisz ochronę transmisji.

Sieć (VPN / router)

Na początku zweryfikuj, czy ruch idzie przez VPN, ponieważ to eliminuje ekspozycję.
W kolejnym kroku sprawdź whitelist i ACL na routerze, natomiast blokuj wszystkie inne źródła.
Następnie porównaj dostęp z LAN i przez VPN, w efekcie zobaczysz różnicę w powierzchni ataku.
Na końcu sprawdź logi routera i tunelu, dlatego wykryjesz próby nieautoryzowanego dostępu.

→ Więcej porad bezpieczeństwa → Port 5900: test i reguły → Pobierz UltraVNC