Wer einen eigenen RustDesk Server OSS betreibt sollte sich Gedanken über dessen Sicherheit machen. Mit ein paar einfachen Maßnahmen lässt sich das Risiko ungewollter Zugriffe reduzieren.
Nur verschlüsselte Verbindungen zulassen
Wie schon im ersten RustDesk-Beitrag beschrieben, sollten die Dienste bzw. Daemons nur mit dem Parameter
-k _
laufen, damit nur verschlüsselte Verbindungen zugelassen sind.
Via GeoIP den Zugriff einschränken
Wenn man genau weiß, das man lediglich Kunden oder Support beispielsweise in der D-A-CH-Region anbietet, kann man mittels GeoIP die Zugriffe auf eben diese Länder beschränken. Sollte man doch mal für einen Kunden auf Geschäfts- oder Weltreise Support leisten müssen, kann man temporär weitere Länder oder Regionen freischalten.
Dies schließt zwar nicht aus, das doch mal jemand ungewolltes etwas versucht, aber es reduziert die Zahl der unerwünschten Zugriffsversuche erheblich.
IDS/IPS vorschalten
IDS/IPS-Systeme sperren Zugriffe auf Basis von bekannten böswilligen IP-Adressen und Mustern, ergo ist es nicht die schlechteste Idee wenn eine vorgeschaltete Firewall bzw. UTM entsprechende Möglichkeiten bietet.
Dienste oder Server außerhalb der Support-Zeiten herunterfahren oder Zugriffe sperren
Es mag im ersten Moment kurios klingen, aber den RustDesk Server OSS außerhalb der Supportzeiten komplett unverfügbar zu machen ist ebenfalls eine Option. Vielen Dank an dieser Stelle an Martin für den Denkanstoß in dieser Richtung.
Die Möglichkeiten hierzu reichen von
- Dienste beenden
über
- den Server herunterfahren
oder
- zeitabhängige Firewall-Regeln.
Letzteres meint, das die RustDesk-Ports nur in einem bestimmten Zeit-Fenster offen sind und außerhalb sind diese geschlossen.
Man bedenke: Die meisten Angriffe erfolgen über Nacht, an Wochenenden und an Feiertagen. Es ist also mitunter gar keine so schlechte Idee nicht benötigte Dienste in dieser Zeit quasi offline zu nehmen.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.