Connessioni sicure con Ultr@VNC

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Per tutti gli amministratori è molto comodo avere un accesso da remoto ai propri sistemi. Ultr@VNC, che ho introdotto qui, è un’ottima utility con molte caratteristiche, orientata agli utenti Windows. L’approccio è “a la PCAnywhere”, diversamente dalla connessione al desktop remoto di Windows. Ciè può essere utile in alcuni casi: ad esempio quando dall’altra parte ci sia qualcuno che deve vedere cosa facciamo, oppure quando si vuole interagire con la shell di Lotus Domino (e non si vuole usare la live console).
Dato che Ultr@VNC permette un accesso completo, le implicazioni di sicurezza devono essere ben comprese e gestite in maniera corretta.

Ultr@VNC comunica “in chiaro”, il che significa che le comunicazioni non sono crittografate per default. In teoria, un attaccante che avesse accesso alla comunicazione tra un server Ultr@VNC ed un client, potrebbe carpire i dati della sessione.
Ci sono due principali implicazioni che devono essere considerate, usando Ultr@VNC in un ambiente dove la sicurezza è importante:

  • Crittografia – Le comunicazioni crittografate rendono l’intercettazione dei dati molto più dificile
  • Autenticazione “forte” – Fornisce un meccanismo per verificare con maggiore sicurezza (più della sola password), che solo i clients autorizzati possano connettersi al server.

Verrà illustrato l’utilizzo di Ultr@VNC con il plugin MSRC4, Microsoft Windows Crypto Api plugin per Ultr@VNC

Ultr@VNC è distribuito tramite un pacchetto di installazione molto semplice da usare. MSRC4Plugin è un singolo file che va copiato nella cartella del programma.

Lato server:
Una volta copiato il file, dovreste vedere il plugin disponibile nell’area “DSM Plugin” delle proprietà del server Ultr@VNC. Selezionate “Use” e poi “Config”. Correggete le 4 caselle inserendo i path corretti, se il vostro sistema operativo non è in inglese. Scegliete il livello di complessità della vostra chiave (potete usare tranquillamente 128 bit), e premete il bottone “Gen Key”. Già che ci siete impostate la pasword di accesso.
Nella cartella del programma troverete la chiave appena generata, fatene una copia su un mezzo sicuro, es. una memoria USB.

Lato client:
Anche qui impostate l’uso del plugin, e configuratelo per i corretti percorsi. Copiate la chiave che avete precedentemente salvato nella cartella del programma.

A questo punto MSRC4Plugin crittografa la comunicazione tra il server ed il client utilizzando la chiave contenuta nel file che avete generato e trasportato. Dato che la stessa chiave è necessaria su entrambi gli estremi del collegamento, si è anche ottenuta un’autenticazione più “forte” della sola password. Solamente chi è in possesso della chiave corretta è in grado di collegarsi.
Verificate, specie durante i primi collegamenti che il plugin stia veramente funzionando: dalla toolbar del client, selezionate “Show Status Window”, e verificate di essere connessi tramite “MS RC4 Plugin”.

P.S. Ricordate di configurare il vostro firewall e/o router in modo da permettere le connessioni in ingresso verso la porta 5900/TCP (almeno).

(thanks to: Evident Data)

82 pensieri riguardo “Connessioni sicure con Ultr@VNC

  1. Grazie!
    Ottimo documento.
    Segue da un po’ Ultravnc e direi che sta facendo passi avanti da gigante.
    Questo era uno dei problemi che non avevo ancora affrontato, avendo problemi a leggere la documentazione in inglese.
    Metter in pratica Al pi presto

  2. Innanzi tutto complimenti per… tutto.
    Volevo chiederti se hai qualche idea del perch abbiano implementato unicamente un plugin che utilizza il cifrario RC4 e non altri cifrari simmetrici.
    Poi ti volevo chiedere qual la differenza al livello di sicurezza / prestazioni nell’usare la soluzione da te proposta invece che VNC su canale SSH come descritto egregiamente in questo articolo
    http://clbianco.altervista.org/vnc/vncfaq_2.html

    ciao

  3. @Marco: non sonoo esperto di crittografia, ma credo sia stato usato RC4 perch si appoggia alle cryptoAPI di Windows, che sono gi pronte nel sistema. Riguardo alla differenza tra VNC e UltraVNC: non so dirti se la sicurezza di SSH sia maggiore o minore di RC4. Preferisco UltraVNC perch ha molte pi funzioni di VNC, e non richiede la configurazione di un server SSH, n la creazione “a mano” di tunnel.

  4. Ciao Andrea,
    complimenti per il sito, volevo chiederti una cosa se hai tempo, io ho installato ultravnc in una lan, all’interno della mia lan entro normalmente con l’ip, ma se devo collegarmi ad una lan esterna o una semplice commesione remota mi da errore. Come devo mappare il pc esterno ultravnc per entrare? Se mi dici le operazioni precise te ne sarei grato.
    Grazie

  5. Ciao Andrea,
    faccio riferimento alla domanda di Omar riguardo il collegamento dall’esterno. Nella mia azienda abbiamo un contratto ADSL con 8 indirizzi pubblici. Anche io ho riscontrato il problema dell’errore. Il problema questo: la mia azinda si occupa di analisi chimiche sugli alimenti e il mio titolare (responsabile del laboratorio) ha la necessit di monitorare i Pc collegati alle macchine per evitare che eventuali guasti possanpo far bloccare tutto con coseguente perdita di tempo e denaro. Per prima cosa, come si f a mappare l’indirizzo pubblico? Devo entrare nel router? L’IP pubblico del Pc a cui mi voglio collegare in remoto da dove lo controllo e configuro? Una volta risolte queste cose posso utilizzare da remoto questo Pc per visualizzare le altre macchine o devo utilizzare altri indirizzi pubblici? Grazie e complimenti.
    Vito

  6. Ciao e complimenti per il sito.
    Sto provando ad utilizzare Ultr@VNC per gestire svariati server installati presso alcune sedi di clienti. Io vorrei utilizzare una chiave crittografica diversa per ogni server; devo ogni volta modificare la configurazione del viewer o possibile salvare configurazioni diverse per le varie connessioni?
    Grazie!

  7. Ciao, grazie per la risposta!
    In effetti avevo gi provato a salvare le propriet della connessione in un file .vnc, ma non ci sono riferimenti al file .key da utilizzare… c’ solo una voce “DSMPlugin=MSRC4Plugin.dsm”. Salvando le propriet di due connessioni che usano file .key differenti, il gioco non funziona, il viewer va sempre a cercare il .key specificato nella configurazione “Viewer key location”…
    Hai qualche info in pi?
    Grazie mille!

  8. Ciao, uso vnc da molto tempo, da poco sono passato a ULTR@vnc…
    ho un problemino:
    via LAN se il pc (XP PRO) a cui mi connetto (DSM4) lockatto…( un server e quindi si blocca da solo ogni 5 minuti) il viewer sul mio pc(XP PRO) si chiude subito dopo aver messo la PW.
    Se invece il PC a cui mi connetto sbloccato funziona tutto!
    Qualcuno sa dirmi come mai????
    Avete una soluzione?

  9. Salve, io ho un problema su entrambi i PC…. ho provato vari programmi simili a VNC tipo: Remote PC Administrator 2.2 ; I’m in Touch ; Access Remote PC ed altro ma incappo sempre nel solito problema. Al momento che inserisco l’indirizzo IP della macchina cui installato il server mi sputa un messaggio di errore cui mi dice che non trova il server. Ho tentato anche a disabilitare il firewall di windows e anche ad aprire le porte richieste dai programmi vari (tipo 5800 , 5900 , etc.) ma niente ho sempre lo stesso problema.
    Io ho installato in enntrambi i PC il sistema operativo Windows XP Home Edition con connessione ADSL.
    Uno ha una connessiona TELECOM ADSL SMART GATE e l’altro un model della compagnia EUTELIA.
    L’unico modo che sono riuscito a farlo funzionare e’ sullo stesso pc mettendo server e host pero’ come indirizzo ip mi vede 10.0.0.60 invece che dell’ ip pubblico 82.104.43.158 o meglio se inserisco l’indirizzo 10.0.0.60 entro altrimenti con l’indirizzo 82.104.43.158 non entro (questa prova la ho fatta sullo stesso pc) perche con quello remoto questo “giochino” non funziona.
    Come posso risolvere il problema? Mi aiutate per favore.. ho tentato pure con il DESKTOP REMOTO di windows ma con xp service pack 2 non va…

  10. Ciao, non riesco a configurare MS Logon, n MS Logon Groups….non riesco a settare niente…posso accedere da remoto solo con la password…..aggiungo che son un neofita di UltraVNC……:-)))ho scaricato MSRC4….nonostante non sia in ececuzione ultra, non me lo fa installare…boh, non so proprio come fare…
    Grazie comunque

  11. Salve
    non so se ha una soluzione, ma io ho un IP
    IP: 85.94.127.69
    Subnet: 255.255.255.224
    default Gateway: 85.94.127.69

    DNS: 213.149.114.2

    Con aiuto di un Hub/swich posso dividere l’internet con un altro computer?

    Grazie

  12. dunque mi serve anche un router. ma mio router usa un cable con due fili e qullo che vienildalla linea ha 8 fili?
    Aiutami?

  13. ciao andrea ho un problema, sono un tecnico di computer, uso vnc server e client, non so se lo stesso di ultr@vnc,
    ho due reti di computer una a napoli e una a sarno, devo collegare due computer di queste due rete lan,mi puoi aiutare per favore.

  14. Ho un problema .ho istallato sia sul pc in ufficio sia in casa vnc ma se mi connetto da casa ho il problema: dopo avermi chiesto la pass del server vedo la videata ma scomparee immediatamente .come mai ??? ce una soluzione a questo problema ? forse perche il pc dellufficio va in stand by .grazie di tutto
    carlo
    la mia email e’ stastengo@email.it
    grazie a chi mi dara’ una mano …

  15. domanda: si pu utilizzare in tal senso (pcany lo fa):
    – quando mi collego ad un’altro pc gli esce una scritta che avvisa che l’utente xy si sta collegando, accettare o meno?

    che mi dite? thk

    ciauz

  16. Ho un contratto telecom Alice Business Gate con router pirelli (solito rotondo). Dovrei preparare il tutto per la conessione ultravnc (il technico dovrebbe accedere a un pc per installare e/o configurare il software.)
    non trovo dove posso mettere il PAT
    Ho i seguenti dati:
    Gateway predefinito 87.30.87.54 maschera sottorete 255.255.255.248 Lan pubblica da 87.30.87.49 fino a 87.30.87.53 dns primario e secondario .
    Ma l’inserimento del PAT non lo trovo???…
    mi riesci a dare una mano ???
    Grazie
    Mimmo

  17. NON lo trovo: a parte la descrizione sopra contiuno: Collegamento LAN – Ethernet Indirizzo IP 192.168.1.21 Indirizzo MAC 00:11:D8:EE:66:04 Stato attivo
    Collegamento ADSL – Stato Servizio ADSL Attivo Stato Servizio Accessori Attivo – Velocit di trasferimento 320 Velocit di ricezione 4832 Modalit ADSL G.dmt – VPI/VCI 8/35 .
    Inoltre utilizza una scheda.
    Grazie della velocit
    Mimmo

  18. Dimenticavo – Identificativi apparato
    Nome : Alice Business Gate – Base WS: AB_1.2.1 Fw: 3.46 WiFi FW: Non Collegato DECT Fw: Non collegato
    Ciao Mimmo

  19. Mimmo, se il tipo vecchio sei fottuto. Io ne ho uno simile in ufficio (ha una banda rossa, quelli nuovi sono blu) ed una schifezza. Telecom ti d gli IP fissi ma il router non ha la possibilit di fare PAT, quindi sono inutilizzabili. Non ho ancora avuto voglia di litigare, ma dovrei farlo cambiare.

  20. OK Ho verificato un router blu….
    Per tanto come ho capito devo proprio farmi cambiare il router – o e contratto….
    Grazie per il sostegno
    buon lavoro e saluti
    Mimmo

  21. Ciao,sto cominciando ad usare ultravnc,ma ho qualche intoppo,riesco a farlo funzionare tramite connessione telefonica con pc direttamente collegato ad un modem,non riesco ad accedere quando mi connetto a pc di una rete lan provvista di router, con ip statico(che ovviamente indico su viewer) e nat abilitato, mi d errore di fallita connessione al server,no firewall ambo i lati,potresti illuminarmi?,grazie

  22. Non ho alcun firewall,sia lato viewer che server,il router un alcatel speed touch pro e non ha modo di configurare il nat( mi s che il problema quello….?),volevo chiederti,accedendo con telnet al router e lanciando il comando “nat defserver=ip della postazione lan”, per rendenderlo visibile all’esterno,potrebbe funzionare o sto dicendo fesserie…..?

  23. di nuovo complimenti vivissimi a te per il blog.
    piccolo problema con ultravnc. sto facendo dei test caslinghi fra un host/server con winxp home, registrato come servizio, e un client/viewer con win2k. alcuni giorni fà dopo un regolarissimo funzionamento anche con l’uso dei plugins rc4,per un mio errore (avevo dimenticato di ripristinare il protocollo tcp/ip sull’host, attribuendo i problemi al server) ho disinstallato e reinstallato il server, stesse modalità. da quel momento, ad ogni logout o riavvio della macchina server, il servizio, sebbene registrato come tale ed apparentemente attivo, non mi consente più di acedere da remoto. sul server non compare neanche più la tray icon. devo andare sul server, killare il servizio, riavviarlo e poi tutto ok. cosa c’è che non va?
    grazie cmque(ancora) per la tua cortese competenza. 😉

  24. Scusate l’ignoranza, ma io sono alle prime armi….
    Ho intenzione di usare UltraVNC in una LAN.
    Al termine dell’installazione sul pc, con i privilegi di amministratore, avvio WinVNC Server e imposto la password. Disconnetto l’account, lo riconnetto, avvio WinVNC Server e tutto funziona.
    Se sullo stesso pc accedo come utente limitato, quando avvio WinVNC Server mi appare il seguente messaggio di errore:
    “No password has been set & this machine has been preconfigured to prevent users from setting their own.
    You must contact a System Administrator to configure WinVNC properly.”
    Ovviamente, tramite WinVNC Wiever accedo ai pc della LAN solo se su questi è attivo l’account di amministratore.
    Ho lasciato tutte le impostazioni predefinite: dove sbaglio?
    Vorrei fare a meno di utilizzare UltraVNC come System service. Faro’ meglio a usare UltraVNC SC?
    Grazie.
    Gilberto

  25. Ciao Andrea, effettuavo delle ricerche inerenti ad ultraVNC ed e´ saltato fuori il tuo blog 🙂
    Io attualmente risiedo in Germania, Mi capita spesso di installare e configurare software per la gestione di Internet Point. A volte ho bisogno di assistenza della ditta che mi vende il software e loro entrano nel mio PC ovunque mi trovo, dietro router , firewall ecc…Non mi chiedono ne di aprire porte e ne di disattivare Firewall.
    Mi fanno solo scaricare ultraVNC dal loro sito e mi appare un icona sul mio desktop di attivazione.
    Ho preso informazioni sul software e mi hanno detto che lo vendono pagando una tariffa annuale, allora gli ho chiesto il perche annuale visto che io lo vorrei utilizzare sempre e loro mi hanno detto che utilizza il server e quindi faccio traffico, ma io questa non l´ho capita.

    Vorrei capire il fatto del server, posso farlo anch´io?

  26. Grazie per la risposta.
    Durante l’installazione spuntavo la casella “registry as a system service” ma il risultato non cambiava…..
    Comunque ho risolto i miei problemi utilizzando UltraVNC SC: è più semplice a farlo che a dirlo, funziona sempre e non dà noie…..
    Solo non vedo i movimenti del puntatore del mouse del PC controllato, vedo solo il “mio” puntatore: è normale?
    Grazie di nuovo della consulenza… e della pazienza.
    Ciao.
    Gilberto

  27. anche io ho fatto una prova con sc, ho inserito l´host che ho creato con dyndns.it e ha funzionato, e´ una bella cosa, pero´ non sono riuscito a capire come mai dopo un paio di ore ho riprovato con la stessa persona e non ha piu´ funzionato. Problema suo..non capisco e poi che settaggi si devono fare nel wiewer in particolare?

    E se voglio amministrare 2 0 3 PC contemporaneamente?

  28. Uso ultravnc all’ interno di una lan e va tutto bene mentre
    con connessione esterna (isdn 64K) mi connetto ma lo schermo mi rimane nero . Se hai un suggerimento ti Ringrazio.

  29. Avete provato ad utilizzare InQuiero?
    E’ una piattaforma per il controllo remoto di più macchine contemporaneamente…e poi ha altri strumenti…

  30. Ciao Andrea, io ho un pc collegato alla scheda di rete di un altro pc, il quale è collegato in internet (tramite un modem adsl). Come posso fare ad utilizzare la connesione internet sul pc che ha solo la scheda di rete(collegato a quello in internet)? Grazie

  31. Ciao Andrea,
    complimenti per gli ottimi consigli che fornisci su questo sito, non è una sviolinata, ma è dovuto.
    Ti scrivo perchè non riesco a risolvere un problema di connessione con VNC o ULTRAVNC con un pc collegato tramite il Modem/Router di Alice Business.
    Addirittura qualcuno più esperto di me mi indicava di acquistare un Modem a parte USB.
    Ma non ritengo giusto dover investire altri soldi, con quello che già spendo con Alice.
    Mi potresti aiutare, se possibile passo passo, a risolvere il mio problema.
    Ti sono grato fin d’ora, io voglio solo collegarmi col pc di mia figlia, non mi importa altro.

    Grazie ancora e buon lavoro.

  32. ciao a tutti, ho bisogno di aiuto spero possiate darmelo…ho installato sul 2 pc (XP PRO) UltraVnc, sono 2 pc che stanno in 2 città diverse e ntrambi con linea Alice ADSL…gli indirizzi IP ho visto ke sono dello stesso tipo…come faccio a fare il modo di trovare da uno di questi 2 pc l’altro? devo configurare o installare qualcosa? Grazie per l’attenzione…

  33. pure io ho lo stesso identico problema di gilberto, ho fatto di tutto cambiato i permessi alle cartelle ai file creato un’operazione pianificata ma nulla, l’unico modo per farlo funzionare correttamente è lanciarlo come utente admìn o per lo meno con le credenziali di admìn..

  34. Salve gente. Io ho due pc connessi da cavo Lan e vorrei usare UltraVNC per poter ever il controllo su entrambi con lo stesso schermo. Solo che non riesco a settare VNC per fare ciò. Ho installato la versione Server sul pc secondario e la parte Viewer sul pc con il quale devo vedere l’altro Desktop, giusto? Ma come faccio a sapere l’IP da usare visto che nel protocollo della Lan gli IP sono tutti automatici e non me li fa visualizzare?

    Qualcuno può illuminarmi? GRazie! Marco.

  35. premesso….le reti stanno a dx…io a sx

    il pc a casa sta in una lan….ultravnc server mi dà ip 192.168.1.12 (locale)

    come faccio a collegarmi? conosco l’ip pubblico…82 ecc.
    …posso inserirli entrambi separati da qualche cosa ?

    grazie

  36. Spesso il mio ind. IP è 127.0.0.1, come posso fare per far apparire il mio ind. IP?
    Often my ind. IP is 127.0.0.1, as I can do for making to appear my ind. IP?

  37. io ho optato per hamachi+ remote desktop o ultraVNC (punto su una macchina virtuale winxp che fa solo da gateway aziendale)

    rimane il terribile problema di non riuscire a trasferire file da remoto a locale (che è lo scopo dell’operazione): remote desktop si collega ed in risorse del computer vedo i miei dischi locali e quelli remoti anche di rete ma non riesco a fare copia da questi ultimi al disco locale, mentre usando la funzione di file sharing di ultravnc non vedo i dischi remoti mappati…

I commenti sono chiusi