y a t il des failles de sécurité connue avec ultra vnc ? (windows)
configuration:
2 machine win xp home, derrière routeur avec uniquement translation du
port 5900
sur la machine serveur, firewall qui n'autorise que les paquets en
provenance de mon adresse IP pour la connexion
y a t il des failles à ce genre de configuration et si oui lesquelles ?
merci d'avance
--
jf Pion
No Neurone Inside
des montages et liens modélistes :http://jean.francois.pion.free.fr/
l'électrique en avion rc : http://electrofly.free.fr/
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
jean declercq
JF Pion a écrit sur fr.comp.securite le 07/11/2005 dans :
bonjour,
y a t il des failles de sécurité connue avec ultra vnc ? (windows)
configuration:
2 machine win xp home, derrière routeur avec uniquement translation du port 5900 sur la machine serveur, firewall qui n'autorise que les paquets en provenance de mon adresse IP pour la connexion
y a t il des failles à ce genre de configuration et si oui lesquelles ?
-- Jean Declercq message rédigé sur un spam 100% recyclé
JF Pion a écrit sur fr.comp.securite le 07/11/2005 dans
<mn.3b267d5b6b7a5adc.38185@free.fr> :
bonjour,
y a t il des failles de sécurité connue avec ultra vnc ? (windows)
configuration:
2 machine win xp home, derrière routeur avec uniquement translation du port
5900
sur la machine serveur, firewall qui n'autorise que les paquets en provenance
de mon adresse IP pour la connexion
y a t il des failles à ce genre de configuration et si oui lesquelles ?
JF Pion a écrit sur fr.comp.securite le 07/11/2005 dans :
bonjour,
y a t il des failles de sécurité connue avec ultra vnc ? (windows)
configuration:
2 machine win xp home, derrière routeur avec uniquement translation du port 5900 sur la machine serveur, firewall qui n'autorise que les paquets en provenance de mon adresse IP pour la connexion
y a t il des failles à ce genre de configuration et si oui lesquelles ?
-- Jean Declercq message rédigé sur un spam 100% recyclé
Olivier Masson
JF Pion a écrit sur fr.comp.securite le 07/11/2005 dans :
bonjour,
y a t il des failles de sécurité connue avec ultra vnc ? (windows)
configuration:
2 machine win xp home, derrière routeur avec uniquement translation du port 5900 sur la machine serveur, firewall qui n'autorise que les paquets en provenance de mon adresse IP pour la connexion
y a t il des failles à ce genre de configuration et si oui lesquelles ?
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de MRC4 je crois). J'utilise MRC4 avec clef partagée pour les sessions lancées par le client et j'utilise AESPlugin pour les sessions que j'initie moi.
Après, la clef (ou le mot de passe dans le cas de AES) est forcément stockée qq part. Mais si on a accès à la clef, c'est qu'on a accès à la machine, donc plus besoin de la clef finalement :).
Par contre, il faut bien évidemment éviter de n'avoir qu'une seule clef ou mot de passe pour toutes ses connexions.
JF Pion a écrit sur fr.comp.securite le 07/11/2005 dans
<mn.3b267d5b6b7a5adc.38185@free.fr> :
bonjour,
y a t il des failles de sécurité connue avec ultra vnc ? (windows)
configuration:
2 machine win xp home, derrière routeur avec uniquement translation du
port 5900
sur la machine serveur, firewall qui n'autorise que les paquets en
provenance de mon adresse IP pour la connexion
y a t il des failles à ce genre de configuration et si oui lesquelles ?
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de MRC4
je crois). J'utilise MRC4 avec clef partagée pour les sessions lancées
par le client et j'utilise AESPlugin pour les sessions que j'initie moi.
Après, la clef (ou le mot de passe dans le cas de AES) est forcément
stockée qq part. Mais si on a accès à la clef, c'est qu'on a accès à la
machine, donc plus besoin de la clef finalement :).
Par contre, il faut bien évidemment éviter de n'avoir qu'une seule clef
ou mot de passe pour toutes ses connexions.
JF Pion a écrit sur fr.comp.securite le 07/11/2005 dans :
bonjour,
y a t il des failles de sécurité connue avec ultra vnc ? (windows)
configuration:
2 machine win xp home, derrière routeur avec uniquement translation du port 5900 sur la machine serveur, firewall qui n'autorise que les paquets en provenance de mon adresse IP pour la connexion
y a t il des failles à ce genre de configuration et si oui lesquelles ?
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de MRC4 je crois). J'utilise MRC4 avec clef partagée pour les sessions lancées par le client et j'utilise AESPlugin pour les sessions que j'initie moi.
Après, la clef (ou le mot de passe dans le cas de AES) est forcément stockée qq part. Mais si on a accès à la clef, c'est qu'on a accès à la machine, donc plus besoin de la clef finalement :).
Par contre, il faut bien évidemment éviter de n'avoir qu'une seule clef ou mot de passe pour toutes ses connexions.
Michel Arboi
On Thu Nov 17 2005 at 13:51, Olivier Masson wrote:
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de MRC4 je crois).
Je ne sais pas si ce plugin a été enfin corrigé, mais il utilisait RC4 de manière particulièrement affreuse : clé fixe d'une session sur l'autre, et utilisée à la fois par le client et le serveur, dans les deux sens. L'auteur m'avait dit que c'était une limitation de l'API qu'il appelait et qu'il avait un autre plugin sur le feu.
On Thu Nov 17 2005 at 13:51, Olivier Masson wrote:
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de
MRC4 je crois).
Je ne sais pas si ce plugin a été enfin corrigé, mais il utilisait RC4
de manière particulièrement affreuse : clé fixe d'une session sur
l'autre, et utilisée à la fois par le client et le serveur, dans les
deux sens. L'auteur m'avait dit que c'était une limitation de l'API
qu'il appelait et qu'il avait un autre plugin sur le feu.
On Thu Nov 17 2005 at 13:51, Olivier Masson wrote:
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de MRC4 je crois).
Je ne sais pas si ce plugin a été enfin corrigé, mais il utilisait RC4 de manière particulièrement affreuse : clé fixe d'une session sur l'autre, et utilisée à la fois par le client et le serveur, dans les deux sens. L'auteur m'avait dit que c'était une limitation de l'API qu'il appelait et qu'il avait un autre plugin sur le feu.
On Thu Nov 17 2005 at 13:51, Olivier Masson wrote:
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de MRC4 je crois).
Je ne sais pas si ce plugin a été enfin corrigé, mais il utilisait RC4 de manière particulièrement affreuse : clé fixe d'une session sur l'autre, et utilisée à la fois par le client et le serveur, dans les deux sens. L'auteur m'avait dit que c'était une limitation de l'API qu'il appelait et qu'il avait un autre plugin sur le feu.
C'est vrai et c'est pourquoi je ne l'utilise que pour un cas prècis (qd j'envoie un executable au client qui n'a pas ainsi à installer vnc - et n'a pas besoin de toucher son firewall également -).
C'est pourquoi, dans le cas de sessions répétées, j'utilise AESPlugin : ''128bit AES encryption, OFB mode. It does not require a pre-shared key. It adds a 128bit random SALT to your VNC password, then uses MD5 to create a 128bit hash, and uses that as the encryption key. This makes the key for each session UNIQUE. A random 128bit IV is added to the first block.''
On Thu Nov 17 2005 at 13:51, Olivier Masson wrote:
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de
MRC4 je crois).
Je ne sais pas si ce plugin a été enfin corrigé, mais il utilisait RC4
de manière particulièrement affreuse : clé fixe d'une session sur
l'autre, et utilisée à la fois par le client et le serveur, dans les
deux sens. L'auteur m'avait dit que c'était une limitation de l'API
qu'il appelait et qu'il avait un autre plugin sur le feu.
C'est vrai et c'est pourquoi je ne l'utilise que pour un cas prècis (qd
j'envoie un executable au client qui n'a pas ainsi à installer vnc - et
n'a pas besoin de toucher son firewall également -).
C'est pourquoi, dans le cas de sessions répétées, j'utilise AESPlugin :
''128bit AES encryption, OFB mode. It does not require a pre-shared key.
It adds a 128bit random SALT to your VNC password, then uses MD5 to
create a 128bit hash, and uses that as the encryption key. This makes
the key for each session UNIQUE. A random 128bit IV is added to the
first block.''
On Thu Nov 17 2005 at 13:51, Olivier Masson wrote:
UltraVNC permet en effet d'utiliser des plugins (je parlais déjà de MRC4 je crois).
Je ne sais pas si ce plugin a été enfin corrigé, mais il utilisait RC4 de manière particulièrement affreuse : clé fixe d'une session sur l'autre, et utilisée à la fois par le client et le serveur, dans les deux sens. L'auteur m'avait dit que c'était une limitation de l'API qu'il appelait et qu'il avait un autre plugin sur le feu.
C'est vrai et c'est pourquoi je ne l'utilise que pour un cas prècis (qd j'envoie un executable au client qui n'a pas ainsi à installer vnc - et n'a pas besoin de toucher son firewall également -).
C'est pourquoi, dans le cas de sessions répétées, j'utilise AESPlugin : ''128bit AES encryption, OFB mode. It does not require a pre-shared key. It adds a 128bit random SALT to your VNC password, then uses MD5 to create a 128bit hash, and uses that as the encryption key. This makes the key for each session UNIQUE. A random 128bit IV is added to the first block.''
Michel Arboi
On Fri Nov 18 2005 at 18:47, Olivier Masson wrote:
C'est pourquoi, dans le cas de sessions répétées, j'utilise AESPlugin : ''128bit AES encryption, OFB mode. It does not require a pre-shared key. It adds a 128bit random SALT to your VNC password, then uses MD5 to create a 128bit hash, and uses that as the encryption key. This makes the key for each session UNIQUE. A random 128bit IV is added to the first block.''
Ça a l'air mieux pensé, effectivement.
Sinon, en fouillant la description du protocole VNC (sur le site RealVNC), on découvre que des méthodes d'authentification TLS ont été prévues. Je ne connais aucun VNC qui propose SSL/TLS, hélas.
On Fri Nov 18 2005 at 18:47, Olivier Masson wrote:
C'est pourquoi, dans le cas de sessions répétées, j'utilise AESPlugin
: ''128bit AES encryption, OFB mode. It does not require a pre-shared
key. It adds a 128bit random SALT to your VNC password, then uses MD5
to create a 128bit hash, and uses that as the encryption key. This
makes the key for each session UNIQUE. A random 128bit IV is added to
the first block.''
Ça a l'air mieux pensé, effectivement.
Sinon, en fouillant la description du protocole VNC (sur le site
RealVNC), on découvre que des méthodes d'authentification TLS ont été
prévues. Je ne connais aucun VNC qui propose SSL/TLS, hélas.
On Fri Nov 18 2005 at 18:47, Olivier Masson wrote:
C'est pourquoi, dans le cas de sessions répétées, j'utilise AESPlugin : ''128bit AES encryption, OFB mode. It does not require a pre-shared key. It adds a 128bit random SALT to your VNC password, then uses MD5 to create a 128bit hash, and uses that as the encryption key. This makes the key for each session UNIQUE. A random 128bit IV is added to the first block.''
Ça a l'air mieux pensé, effectivement.
Sinon, en fouillant la description du protocole VNC (sur le site RealVNC), on découvre que des méthodes d'authentification TLS ont été prévues. Je ne connais aucun VNC qui propose SSL/TLS, hélas.
Je ne connais aucun VNC qui propose SSL/TLS, hélas.
/dev/brain: no such device
Je viens de voir que vino (*) a une option de compilation "gnutls" sur la Gentoo. Quand on le lance, vino-server annonce les "security types" 1 (No Authentication) et 18 (TLS), mais je ne vois rien dans vino-preferences qui permette de configurer SSL/TLS.
(*) vino fait partie de GNOME. ftp://ftp.gnome.org/pub/GNOME/sources/vino
[désolé pour le follow-up sur mon propre message]
Je ne connais aucun VNC qui propose SSL/TLS, hélas.
/dev/brain: no such device
Je viens de voir que vino (*) a une option de compilation "gnutls" sur la
Gentoo.
Quand on le lance, vino-server annonce les "security types" 1 (No
Authentication) et 18 (TLS), mais je ne vois rien dans
vino-preferences qui permette de configurer SSL/TLS.
(*) vino fait partie de GNOME. ftp://ftp.gnome.org/pub/GNOME/sources/vino
Je ne connais aucun VNC qui propose SSL/TLS, hélas.
/dev/brain: no such device
Je viens de voir que vino (*) a une option de compilation "gnutls" sur la Gentoo. Quand on le lance, vino-server annonce les "security types" 1 (No Authentication) et 18 (TLS), mais je ne vois rien dans vino-preferences qui permette de configurer SSL/TLS.
(*) vino fait partie de GNOME. ftp://ftp.gnome.org/pub/GNOME/sources/vino
