Aus der Ferne an den Server – VNC-Verbindungen schützen

Alles mit SSH

Wenn der SSH-Server ohnehin schon steht, ist der Schritt zum kompletten Tunnel nicht weit. Ganz ohne vorgefertigte Hilfsmittel kommt man mit einem SSH-Client aus, über den die VNC-Daten getunnelt werden. Am bekanntesten in der Windows-Welt ist PuTTy. Auch hier ist die Installation ein Kinderspiel, und wer auf Public-Keys zur Authentifizierung verzichtet, muss auch bei der Konfiguration nur zwei Einträge beachten.

Zunächst den Namen oder die IP-Adresse des VNC-Hosts und dann die eigentliche Port-Weiterleitung. Die findet sich im Abschnitt SSH unter Tunnel. Im Feld Source-Port wählen Sie einen beliebigen freien Port des lokalen Rechners. Dort nimmt PuTTy die VNC-Daten des Viewers entgegen und schickt sie dann – Eintrag Destination – an den Host-Namen oder die IP-Adresse und den VNC-Port des Hosts.

Per Default liegt VNC immer auf Port 5900, darum ist Host-seitig keine weitere Konfiguration nötig. Der Ablauf sieht nun so aus: Zuerst etablieren Sie den SSH-Tunnel, indem Sie die Verbindung über PuTTy per Open aufbauen. Bei der Passwort-Authentifizierung öffnet sich nun ein Fenster, das Benutzername und Passwort abfragt.

Danach meldet sich der SSH-Server mit seiner Begrüßungsmeldung. Nun starten Sie den VNC-Viewer. Er soll in unserem Beispiel über Port 5500 kommunizieren, darum wird im Adressfeld des Viewers der eigene PC mit dem Eintrag localhost::5500 kontaktiert. Wichtig sind die beiden Doppelpunkte in der Mitte. Die Daten laufen jetzt zum lokalen Port 5500, werden von PuTTy entgegengenommen, verschlüsselt und auf Port 22 zum Host übertragen. Dort nimmt sie der SSH-Server in Empfang, entschlüsselt sie und gibt sie, wie in PuTTy konfiguriert, an den wartenden VNC-Host auf Port 5900 weiter. Klappt alles, will VNC nun das Passwort zur Anmeldung haben. Das Tunneling mit SSH funktioniert auch, wenn man die DSM-Module von UltraVNC einsetzt, doppelt gemoppelt also.