Защищенная система удаленной помощи(удаленного управления ПК) на основе open source программ stunnel и tightvnc.

На главную

Защищенная система удаленной помощи(удаленного управления ПК) на основе open source программ stunnel и tightvnc.


Генерируем сертификаты для stunnel с помощью easy-rsa из пакета openvpn.

mkdir certs
cp /usr/share/doc/openvpn/examples/easy-rsa/1.0/* certs/
cd certs
#Изменяем по своему усмотрению файл vars.
. vars
./build_ca
./build_key server
./build_key client_comp

#Серверная часть.
mkdir server
    cat keys/*.crt >server/ca.crt
cp keys/server.crt server/
cp keys/server.key server/

cat server/stunnel_server.conf
cert = server.crt
key = server.key
CAfile = ca.crt
verify = 3
sslVersion = SSLv3
compression = rle
RNDfile = /etc/stunnel/rnd_server
RNDoverwrite = yes
debug = 5
pid = /var/run/stunnel4/server.pid
output = /etc/stunnel/server.log
client = yes
[server]
accept = 192.168.1.1:5555
connect = 192.168.1.23:5901


#Клиентская часть
mkdir client
cat keys/ca.crt >client/ca.crt
cat keys/server.crt >>client/ca.crt
cp keys/client_comp.crt client/
cp keys/client_comp.key client/
cat client/stunnel.conf
cert = client_comp.crt
key = client_comp.key
CAfile = ca.crt

verify = 3
sslVersion = SSLv3
compression = rle

[client]
accept = 5901
connect = 127.0.0.1:5900



На сервере:
Устанавливаем stunnel4.
Копируем содержимое папки server/*  в папку на сервере /etc/stunnel/.
Разрешаем запуск stunnel в файле /etc/default/stunnel4
Запускаем его /etc/init.d/stunnel4 start
Для большей безопасности можно защитить 192.168.1.1:5555 фаерволом, допустить ограничить доступ по ай-пи.

На клиенте:
Устанавливаем stunnel for windows.
Копируем содержимое папки client/* в папку C:\Program Files\stunnel\.
Если сервис stunnel не появился, то устанавливаем его:  C:\Program Files\stunnel\stunnel.exe -install
Перезапускаем сервис stunnel.
Устанавливаем tightvnc.
Конфигурируйте tightvnc по своему усмотрению, но напротив опций:
Allow loopback connections
Allow only loopback connections
поставьте галочки.

Что получилось:
Вы конектитесь vncviewer ом на порт 192.168.1.1::5555 и через stunnel попадаете на комп 192.168.1.23 далее на 127.0.0.1
интерфейс этого компа, где слушает сервис tightvnc.

Для максимальной защиты нужно:
1) Поставить сложный пароль для tightvnc.
2) Ограничить по ip доступ в tightvnc (первый скриншот http://www.tightvnc.com/screenshots.php)
3) Ограничить встроенным фаерволом доступ к программе stunnel, только 192.168.1.1 (сервер) ай-пи.
4) Ограничить доступ к порту 5555 на сервере 192.168.1.1 только с определенных ай-пи или вообще конектится к серверу
с помощью впн и только для определенного ай-пи впн-а открыть доступ.

Автоматизация установки для большого количества компов: [tar.bz2] [rar].


Используемые материалы:
интернет

Автор: smeegul

  26.08.2010 23:37
  27.08.2010 23:30
  29.08.2010 18:22
  09.07.2012 12:54
  01.04.2014 15:53
  30.04.2014 13:29