www.MegaLab.it

Se configurato con attenzione così come indicato fino ad ora, VNC è un protocollo che possiamo considerare "affidabile". È però afflitto da un problema di sicurezza in grado di mettere in pericolo la riservatezza della comunicazione: tutti i dati viaggiano "in chiaro".

Un utente che riuscisse a sniffare ("intercettare") i pacchetti in transito, potrebbe facilmente leggere sia i documenti, sia le credenziali utilizzate per autenticarsi al server, con conseguenze "disastrose" facilmente immaginabili.

Questo scenario apocalittico può essere considerato alquanto remoto fino a quando il client utilizza una rete cablata all'interno di una abitazione o di un piccolo ufficio, ma costituisce un pericolo concreto in caso il computer fosse a contatto con calcolatori potenzialmente ostili o, peggio ancora, il client accedesse al server sfruttando una connessione wireless.

Per proteggere la comunicazione, è necessario abilitare una funzionalità in grado di crittografare in tempo reale i dati scambiati: in questo modo, anche in caso l'aggressore riuscisse ad intercettare i pacchetti, si ritroverebbe con lunghe serie di byte privi di significato.

Abilitare la crittografia sul server

Spostatevi innanzitutto sul server e fate click con il pulsante destro del mouse sull'icona di UltraVNC nell'Area di notifica. Cliccate sulla voce Admin Properties e rivolgete quindi l'attenzione all'angolo in basso a sinistra della schermata con le opzioni, dove trovate il riquadro DSM Plugin.

Spuntate la casella Use e selezionate SecureVNCPlugin.dsm dal menu a tendina

Premete ora Config. per accedere al ricco pannello di controllo del plug-in crittografico. Le opzioni di default sono già più che sufficienti a proteggere i segreti di un piccolo Stato, per cui limitatevi a cliccare immediatamente il pulsante Generate Client Authentication Key

Premete Ok alla schermata informativa e preparatevi a svolgere un'operazione tanto delicata quanto semplice.

Vi sarà proposto di generare il primo di due file: spostatevi sul desktop e salvatelo con il nome miocomputer_Viewer_ClientAuth.pkey. Digitate espressamente anche l'estensione e mantenete inalterata la stringa successiva al primo trattino basso (_Viewer_ClientAuth.pkey)!

Subito dopo, comparirà una seconda schermata di salvataggio: di nuovo, posizionatevi sul desktop ma, questa volta, utilizzate il nome miocomputer_Server_ClientAuth.pubkey. Di nuovo, digitate espressamente anche l'estensione e mantenete inalterata la stringa successiva al primo trattino basso (_Server_ClientAuth.pkey)!

Chiudete la schermata di configurazione di SecureVNCPlugin e confermate con Ok le nuove impostazioni di UltraVNC.

Prendete ora il file miocomputer_Server_ClientAuth.pubkey (è il secondo fra i due generati) e spostatelo nella cartella in cui avete installato inizialmente UltraVNC: per impostazione predefinita, stiamo parlando di C:\Programmi\UltraVNC per quanto riguarda Windows XP oppure C:\Program Files\UltraVNC per Windows Vista e Windows 7

Abilitare la crittografia dal client

Rivolgete ora l'attenzione all'altro file creato, ovvero miocomputer_Viewer_ClientAuth.pkey: dovete spostarlo nella cartella in cui si trova il programma da usare sul client, ovvero vncviewer.exe.

Nella stessa directory di questi due, posizionate anche una copia del file SecureVNCPlugin.dsm: lo trovate nella cartella di installazione di UltraVNC sul server, oppure lo potete scaricare direttamente da qui

A questo punto, possiamo lanciare nuovamente vncviewer.exe per instaurare un collegamento: l'unica accortezza, rispetto a quanto visto in precedenza, è l'abilitazione della voce Use DSMPlugin in relazione all'elemento SecureVNCPlugin.dsm (dovrebbe essere l'unico) da selezionarsi utilizzando il menu a tendina

Il collegamento avverrà come di consueto, con l'unica differenza che la connessione sarà interamente crittografata: a confermarlo troveremo un'apposita indicazione nella barra del titolo, visibile subito dopo che il collegamento è stato stabilito

Per come abbiamo impostato il tutto, ogni altro client che tentasse la connessione senza presentare la giusta chiave verrà bloccato subito prima dell'accesso, anche in caso immettesse la password corretta.

Per i paranoici: VNC via SSH

L'utilizzo del plugin crittografico SecureVNCPlugin consente di ottenere un livello di sicurezza già molto soddisfacente. Coloro che desiderassero "ancora di più", possono incanalare il traffico generato da UltraVNC all'interno di un tunnel SSH crittografato

La procedura è la stessa descritta nell'articolo "Superare i blocchi imposti dal firewall con un tunnel SSH": poiché, fortuitamente, l'esempio era proprio basato sull'utilizzo di una connessione VNC, rimando alla lettura dello stesso articolo per la guida dettagliata.

Personalmente, non lo raccomando: il livello di complessità sale, la compatibilità e la velocità scendono (avrete sempre bisogno anche di un client SSH a disposizione) ed i benefici rispetto al solo SecureVNCPlugin non sono poi così evidenti.