Den RustDesk Server OSS weiter absichern

Wer einen eigenen RustDesk Server OSS betreibt sollte sich Gedanken über dessen Sicherheit machen. Mit ein paar einfachen Maßnahmen lässt sich das Risiko ungewollter Zugriffe reduzieren.

Nur verschlüsselte Verbindungen zulassen

Wie schon im ersten RustDesk-Beitrag beschrieben, sollten die Dienste bzw. Daemons nur mit dem Parameter

-k _

bzw. ab Server-Version 1.1.11.-1 mit

-

oder

-k ""

laufen, damit nur verschlüsselte Verbindungen zugelassen sind.

Unter Windows zudem noch dies hier beachten:

RustDesk Server OSS – Nach Update oder Dienst-Start/Stop über die GUI fehlt das Argument -k “”

Via GeoIP den Zugriff einschränken

Wenn man genau weiß, das man lediglich Kunden oder Support beispielsweise in der D-A-CH-Region anbietet, kann man mittels GeoIP die Zugriffe auf eben diese Länder beschränken. Sollte man doch mal für einen Kunden auf Geschäfts- oder Weltreise Support leisten müssen, kann man temporär weitere Länder oder Regionen freischalten.

Dies schließt zwar nicht aus, das doch mal jemand ungewolltes etwas versucht, aber es reduziert die Zahl der unerwünschten Zugriffsversuche erheblich.

IDS/IPS vorschalten

IDS/IPS-Systeme sperren Zugriffe auf Basis von bekannten böswilligen IP-Adressen und Mustern, ergo ist es nicht die schlechteste Idee wenn eine vorgeschaltete Firewall bzw. UTM entsprechende Möglichkeiten bietet.

Dienste oder Server außerhalb der Support-Zeiten herunterfahren oder Zugriffe sperren

Es mag im ersten Moment kurios klingen, aber den RustDesk Server OSS außerhalb der Supportzeiten komplett unverfügbar zu machen ist ebenfalls eine Option. Vielen Dank an dieser Stelle an Martin für den Denkanstoß in dieser Richtung.

Die Möglichkeiten hierzu reichen von

  • Dienste beenden

über

  • den Server herunterfahren

oder

  • zeitabhängige Firewall-Regeln.

Letzteres meint, das die RustDesk-Ports nur in einem bestimmten Zeit-Fenster offen sind und außerhalb sind diese geschlossen.

Man bedenke: Die meisten Angriffe erfolgen über Nacht, an Wochenenden und an Feiertagen. Es ist also mitunter gar keine so schlechte Idee nicht benötigte Dienste in dieser Zeit quasi offline zu nehmen.

Update 26.06.2024

Geänderten Dienst-Parameter ergänzt.

Update 17.07.2024

Link ergänzt.

5 Kommentare

  1. martin

    Gibt es eine Anleitung zur Einrichtung des Geoblocking?

  2. Andy

    Das ist Sache der verwendeten Firewall.

    Bei Securepoint UTMs geht es beispielweise so:
    https://wiki.securepoint.de/UTM/GeoIP

    Bei nftables (iptables-Nachfolger, Linux) z.B. so:
    https://wiki.nftables.org/wiki-nftables/index.php/GeoIP_matching
    bzw. in vollständiger und anschaulicher
    https://kupschke.eu/2022/03/20/geoip-firewallregeln-mit-nftables/

    usw.

    am besten nach einer Anleitung je nach eingesetzter Firewall mit der Suchmaschine der Wahl schauen. Die mindestens passenden Suchbegriffe sind i.d.R. GeoIP.
    Beispiele:

    pfsense geoip
    opnsense geoip
    openwrt geoip

    usw.

  3. martin

    Danke für die Infos und Links!

  4. Till

    Bei dem Entpacken der exe-datei unter Windows warnt avast, dass ein Virus entdeckt worden sei…Aufgrund der allgemeinen Mögichkeit der fernwartung? , oder könnte die EXE Datei von github auch kompromitiert sein?
    Vielen Dank für eine kurze Einschätzung!

  5. Andy

    Um welche exe geht es denn? Crosscheck mit einem anderem AV oder via VirusTotal durchgeführt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑