Wer einen eigenen RustDesk Server OSS betreibt sollte sich Gedanken über dessen Sicherheit machen. Mit ein paar einfachen Maßnahmen lässt sich das Risiko ungewollter Zugriffe reduzieren.
Nur verschlüsselte Verbindungen zulassen
Wie schon im ersten RustDesk-Beitrag beschrieben, sollten die Dienste bzw. Daemons nur mit dem Parameter
-k _
bzw. ab Server-Version 1.1.11.-1 mit
-
oder
-k ""
laufen, damit nur verschlüsselte Verbindungen zugelassen sind.
Unter Windows zudem noch dies hier beachten:
RustDesk Server OSS – Nach Update oder Dienst-Start/Stop über die GUI fehlt das Argument -k “”
Via GeoIP den Zugriff einschränken
Wenn man genau weiß, das man lediglich Kunden oder Support beispielsweise in der D-A-CH-Region anbietet, kann man mittels GeoIP die Zugriffe auf eben diese Länder beschränken. Sollte man doch mal für einen Kunden auf Geschäfts- oder Weltreise Support leisten müssen, kann man temporär weitere Länder oder Regionen freischalten.
Dies schließt zwar nicht aus, das doch mal jemand ungewolltes etwas versucht, aber es reduziert die Zahl der unerwünschten Zugriffsversuche erheblich.
IDS/IPS vorschalten
IDS/IPS-Systeme sperren Zugriffe auf Basis von bekannten böswilligen IP-Adressen und Mustern, ergo ist es nicht die schlechteste Idee wenn eine vorgeschaltete Firewall bzw. UTM entsprechende Möglichkeiten bietet.
Dienste oder Server außerhalb der Support-Zeiten herunterfahren oder Zugriffe sperren
Es mag im ersten Moment kurios klingen, aber den RustDesk Server OSS außerhalb der Supportzeiten komplett unverfügbar zu machen ist ebenfalls eine Option. Vielen Dank an dieser Stelle an Martin für den Denkanstoß in dieser Richtung.
Die Möglichkeiten hierzu reichen von
- Dienste beenden
über
- den Server herunterfahren
oder
- zeitabhängige Firewall-Regeln.
Letzteres meint, das die RustDesk-Ports nur in einem bestimmten Zeit-Fenster offen sind und außerhalb sind diese geschlossen.
Man bedenke: Die meisten Angriffe erfolgen über Nacht, an Wochenenden und an Feiertagen. Es ist also mitunter gar keine so schlechte Idee nicht benötigte Dienste in dieser Zeit quasi offline zu nehmen.
Update 26.06.2024
Geänderten Dienst-Parameter ergänzt.
Update 17.07.2024
Link ergänzt.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Gibt es eine Anleitung zur Einrichtung des Geoblocking?
Das ist Sache der verwendeten Firewall.
Bei Securepoint UTMs geht es beispielweise so:
https://wiki.securepoint.de/UTM/GeoIP
Bei nftables (iptables-Nachfolger, Linux) z.B. so:
https://wiki.nftables.org/wiki-nftables/index.php/GeoIP_matching
bzw. in vollständiger und anschaulicher
https://kupschke.eu/2022/03/20/geoip-firewallregeln-mit-nftables/
usw.
am besten nach einer Anleitung je nach eingesetzter Firewall mit der Suchmaschine der Wahl schauen. Die mindestens passenden Suchbegriffe sind i.d.R. GeoIP.
Beispiele:
pfsense geoip
opnsense geoip
openwrt geoip
usw.
Danke für die Infos und Links!
Bei dem Entpacken der exe-datei unter Windows warnt avast, dass ein Virus entdeckt worden sei…Aufgrund der allgemeinen Mögichkeit der fernwartung? , oder könnte die EXE Datei von github auch kompromitiert sein?
Vielen Dank für eine kurze Einschätzung!
Um welche exe geht es denn? Crosscheck mit einem anderem AV oder via VirusTotal durchgeführt?
Hallo Andy, danke für den Tipp mit Virustotal, dort wird die Datei RustDeskServer.exe in der aktuellen Version auch als Malware gekennzeichnet. Bei 4/72 Anbietern. Ist das vernachlässigbar?
Oder wäre es nun sinniger doch nicht unter Windows zu installieren, sondern evtl unter Linux o.Ä. ?? Danke
Till
Hallo, und danke! Virustotal stuft die aktuelle RustDeskServer.setup.exe als malware ein, also 4/72. Ist das vernachlässigbar? Oder lieber doch unter Linux installieren und nicht unter windows?
Grüße
Till
Zur Sicherheit gefragt: 4 von 72 AVs melden Malware? Das klingt dann nach false positiv. Wäre RustDesk zudem “verseucht” hatte es bereits entsprechende Meldungen in den Medien gegeben (so bei bei AnyDesk, TeamViewer, usw. ja auch).