Guia de porta VNC: acesso remoto à área de trabalho na porta 5900

O VNC permite que um visualizador controle uma área de trabalho gráfica remota pela rede. O visualizador se conecta a um servidor VNC, negocia o protocolo RFB, autentica e, em seguida, troca atualizações de tela, entrada de teclado, entrada de mouse, dados da área de transferência e, às vezes, recursos de transferência de arquivos, dependendo da implementação do servidor.

O VNC é usado para desktops Linux, compartilhamento de tela macOS, sistemas embarcados, máquinas de laboratório, hosts de salto e suporte remoto. Diferentes implementações, como TigerVNC, TightVNC, RealVNC, UltraVNC, x11vnc e noVNC podem usar diferentes padrões e opções de segurança, portanto, sempre verifique o ouvinte e a configuração reais.

A porta VNC usual é TCP 5900 para exibição: 0. A notação de exibição VNC tradicional adiciona o número de exibição a 5900, o que significa: 1 mapeia para 5901, :2 mapeia para 5902 e assim por diante. Alguns visualizadores permitem que os usuários digitem host:5901 ou host:1 dependendo da interface do cliente.

Não presuma que todo servidor VNC segue a convenção de exibição. Muitos servidores podem ser configurados com uma porta TCP personalizada, um modo de conexão reversa, um proxy da web ou um túnel SSH. Use configurações do servidor, regras de firewall e verificações de ouvinte para confirmar a porta real.

VNC, RDP e SSH resolvem diversos problemas de acesso remoto. O VNC compartilha ou cria uma área de trabalho gráfica usando o protocolo RFB, geralmente na porta 5900. RDP é o Microsoft Remote Desktop e normalmente usa a porta 3389. SSH é um protocolo shell seguro na porta 22 e é frequentemente usado para criar túneis para VNC.

Para fluxos de trabalho de área de trabalho remota do Windows, o RDP geralmente é mais integrado. Para acesso gráfico multiplataforma, o VNC é flexível. Para uma administração segura, o SSH costuma ser o caminho de acesso externo mais seguro, especialmente quando o próprio VNC está vinculado ao host local e é acessado por meio de um túnel SSH.

Abra o VNC somente quando um usuário confiável, uma ferramenta de suporte, um fluxo de trabalho de automação, uma rede de laboratório ou um caminho de gerenciamento privado precisar de acesso gráfico à área de trabalho remota. Casos comuns incluem suporte remoto a desktops Linux, manutenção de quiosques, gerenciamento de dispositivos incorporados e acesso a laboratórios privados.

Evite abrir o VNC para toda a Internet. Uma porta VNC pública pode atrair tentativas de força bruta, ataques com senhas fracas, tentativas de controle de desktops e verificação de servidores mais antigos. Se o acesso remoto for necessário, coloque o VNC atrás de uma VPN, túnel SSH, camada de acesso de confiança zero, bastião ou lista de permissões de IP de origem.

Primeiro confirme qual servidor VNC está em execução, em qual interface ele escuta e qual monitor ou porta TCP ele usa. Em seguida, permita a porta exata apenas de redes de origem confiáveis. Para exibição: 0 geralmente é TCP 5900; para display :1 geralmente é TCP 5901.

Em um roteador, encaminhe a porta externa para o host VNC interno somente se você tiver um motivo forte e uma política de origem restrita. Nos servidores, alinhe o firewall do host, o grupo de segurança da nuvem, a política VPN e o endereço de ligação do servidor VNC para que o serviço seja acessível somente pelo caminho pretendido.

Comece com uma verificação de porta externa em relação ao nome de host público ou endereço IP e porta 5900, ou a porta VNC personalizada que você configurou. Se a porta estiver aberta, um cliente remoto poderá acessar um ouvinte TCP. Em seguida, teste com um visualizador VNC real para confirmar negociação de protocolo, autenticação, acesso à área de trabalho e atualizações de tela.

No servidor, verifique os ouvintes com ss, netstat, lsof, PowerShell ou a página de status do servidor VNC. Se o VNC for encapsulado por SSH, teste primeiro a conexão SSH e, em seguida, confirme a porta encaminhada local e o destino do visualizador.

Se a porta VNC estiver fechada, o servidor poderá ser parado, vinculado apenas ao host local, escutando em outro monitor ou bloqueado pelo firewall do host. Se a verificação expirar, um roteador, firewall de nuvem, política de VPN, filtro de ISP ou restrição de IP de origem poderá estar descartando pacotes antes que eles cheguem ao host.

Se a porta estiver aberta, mas o visualizador não conseguir se conectar, verifique o número de exibição, a versão do protocolo, a política de senha, o requisito de criptografia, as regras de acesso do lado do servidor, o estado da sessão da área de trabalho e se o servidor VNC permite conexões da rede do visualizador. Alguns servidores rejeitam clientes quando nenhuma sessão de desktop está disponível.

Não confie apenas em uma senha VNC para acesso à Internet. Prefira VPN, túneis SSH, redes privadas ou acesso de confiança zero e vincule o VNC ao host local durante o tunelamento. Use credenciais exclusivas fortes, desative contas não utilizadas e mantenha o servidor VNC corrigido.

Habilite a criptografia quando o servidor e o visualizador a suportarem, restrinja IPs de origem, monitore logins com falha e revise se a área de transferência, a transferência de arquivos ou o acesso não supervisionado devem ser desabilitados. Trate o VNC como acesso total à área de trabalho, não como um simples endpoint de status.