Guía de puertos VNC: acceso a escritorio remoto en el puerto 5900

VNC permite a un espectador controlar un escritorio gráfico remoto a través de la red. El espectador se conecta a un servidor VNC, negocia el protocolo RFB, se autentica y luego intercambia actualizaciones de pantalla, entradas de teclado, entradas de mouse, datos del portapapeles y, a veces, funciones de transferencia de archivos, según la implementación del servidor.

VNC se utiliza para escritorios Linux, uso compartido de pantalla macOS, sistemas integrados, máquinas de laboratorio, hosts de salto y soporte remoto. Diferentes implementaciones, como TigerVNC, TightVNC, RealVNC, UltraVNC, x11vnc y noVNC, pueden usar diferentes valores predeterminados y opciones de seguridad, por lo que siempre debe verificar el escucha y la configuración reales.

El puerto VNC habitual es TCP 5900 para mostrar: 0. La notación de visualización tradicional de VNC agrega el número de visualización a 5900, lo que significa que :1 se asigna a 5901, :2 se asigna a 5902, y así sucesivamente. Algunos visores permiten a los usuarios escribir host:5901 o host:1 dependiendo de la interfaz del cliente.

No asuma que todos los servidores VNC siguen la convención de visualización. Muchos servidores se pueden configurar con un puerto TCP personalizado, un modo de conexión inversa, un proxy web o un túnel SSH. Utilice la configuración del servidor, las reglas del firewall y las comprobaciones de escucha para confirmar el puerto real.

VNC, RDP y SSH resuelven diferentes problemas de acceso remoto. VNC comparte o crea un escritorio gráfico utilizando el protocolo RFB, generalmente en el puerto 5900. RDP es el escritorio remoto de Microsoft y comúnmente usa el puerto 3389. SSH es un protocolo de shell seguro en el puerto 22 y a menudo se usa para crear túneles para VNC.

Para los flujos de trabajo de escritorio remoto de Windows, RDP suele estar más integrado. Para acceso gráfico multiplataforma, VNC es flexible. Para una administración segura, SSH suele ser la ruta de acceso externo más segura, especialmente cuando el propio VNC está vinculado al host local y se accede a él a través de un túnel SSH.

Abra VNC solo cuando un usuario confiable, una herramienta de soporte, un flujo de trabajo de automatización, una red de laboratorio o una ruta de administración privada necesiten acceso gráfico al escritorio remoto. Los casos comunes incluyen soporte remoto de escritorio Linux, mantenimiento de quioscos, administración de dispositivos integrados y acceso a laboratorios privados.

Evite abrir VNC a todo Internet. Un puerto VNC público puede atraer intentos de fuerza bruta, ataques de contraseñas débiles, intentos de apropiación de escritorios y escaneo en busca de servidores más antiguos. Si se requiere acceso remoto, coloque VNC detrás de una VPN, un túnel SSH, una capa de acceso de confianza cero, un bastión o una lista permitida de IP de origen.

Primero confirme qué servidor VNC se está ejecutando, en qué interfaz escucha y qué pantalla o puerto TCP utiliza. Luego permita el puerto exacto solo desde redes de origen confiables. Para mostrar :0 suele ser TCP 5900; para mostrar :1 suele ser TCP 5901.

En un enrutador, reenvíe el puerto externo al host VNC interno solo si tiene un motivo de peso y una política de fuente limitada. En los servidores, alinee el firewall del host, el grupo de seguridad de la nube, la política de VPN y la dirección de enlace del servidor VNC para que solo se pueda acceder al servicio a través de la ruta prevista.

Comience con una verificación del puerto externo con el nombre de host público o la dirección IP y el puerto 5900, o el puerto VNC personalizado que configuró. Si el puerto está abierto, un cliente remoto puede comunicarse con un escucha TCP. Luego pruebe con un visor VNC real para confirmar la negociación del protocolo, la autenticación, el acceso al escritorio y las actualizaciones de la pantalla.

En el servidor, verifique los oyentes con ss, netstat, lsof, PowerShell o la página de estado del servidor VNC. Si VNC está canalizado a través de SSH, primero pruebe la conexión SSH y luego confirme el puerto reenviado local y el destino del visor.

Si el puerto VNC está cerrado, el servidor puede detenerse, vincularse únicamente al host local, escuchar en otra pantalla o bloquearse por el firewall del host. Si la verificación se agota, es posible que un enrutador, un firewall en la nube, una política de VPN, un filtro de ISP o una restricción de IP de origen estén descartando paquetes antes de que lleguen al host.

Si el puerto está abierto pero el espectador no puede conectarse, verifique el número de pantalla, la versión del protocolo, la política de contraseña, el requisito de cifrado, las reglas de acceso del lado del servidor, el estado de la sesión del escritorio y si el servidor VNC permite conexiones desde la red del espectador. Algunos servidores rechazan clientes cuando no hay una sesión de escritorio disponible.

No confíe únicamente en una contraseña VNC para acceder a Internet. Prefiera VPN, túneles SSH, redes privadas o acceso de confianza cero, y vincule VNC al host local al realizar el túnel. Utilice credenciales únicas y sólidas, desactive las cuentas no utilizadas y mantenga el servidor VNC parcheado.

Habilite el cifrado cuando el servidor y el visor lo admitan, restrinja las IP de origen, supervise los inicios de sesión fallidos y revise si se debe desactivar el portapapeles, la transferencia de archivos o el acceso desatendido. Trate a VNC como un acceso completo al escritorio, no como un simple punto final de estado.