Portar

Port 5900: VNC

Fjärrskrivbordsprotokoll. Säkerheten beror mycket på konfiguration och tunnling.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 5900 används ofta av VNC, ett fjärrskrivbord och skärmdelningsprotokoll. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En VNC-server binder till 5900 och en klient ansluter från en tillfällig källport. Efter TCP-handskakningen förhandlar de två sidorna om protokollalternativ och autentisering, sedan streamar servern skärmuppdateringar medan klienten skickar mus- och tangentbordshändelser.

Många VNC-implementeringar erbjöd historiskt svag kryptering eller ingen, så den säkra hållningen är att behandla VNC som en endast intern tjänst eller att slå in den i en säker tunnel som SSH eller en VPN. Ur ett säkerhetsperspektiv är exponerad 5900 ett vanligt fynd vid skanningar och kan leda till obehörig åtkomst till skrivbordet om lösenorden är svaga eller tjänsten är felkonfigurerad.

Hur det fungerar i stora drag

  1. Klienten ansluter och förhandlar om protokollet VNC och autentiseringsmetoder som stöds.
  2. Användaren autentiserar och servern strömmar rambuffertuppdateringar samtidigt som den tar emot indatahändelser.
  3. Om VNC är tunnlad, åker VNC-trafiken in i SSH eller ett VPN istället för att exponeras direkt.

Konkret exempel

En Linux-arbetsstation kör VNC för fjärrsupport. Teamet inaktiverar direkt 5900-exponering och kräver vidarebefordran av SSH port, så endast autentiserade SSH-användare kan nå VNC-servern.

Varför det är viktigt

VNC är ett vanligt fynd vid interna skanningar och på labbsystem. Exponerad VNC kan leda till full interaktiv kontroll, så den behandlas som en högeffektiv tjänst som liknar RDP. Även med kryptering förblir svaga lösenord och brist på MFA ett problem.

Säkerhetsperspektiv

  • Kräv en VPN- eller SSH-tunnel, framtvinga stark autentisering och begränsa efter nätverk.
  • Inaktivera oanvända VNC-servrar och korrigera regelbundet.
  • Övervaka för upprepade autentiseringsfel och nya lyssningstjänster.

Vanliga fallgropar

  • Kör VNC utan kryptering eller med standardlösenord.
  • Exponerar 5900 bortom ett ledningsnätverk.
  • Förutsatt att en tunnlad installation är säker samtidigt som tunnelns slutpunkter lämnas dåligt skyddade.