← Alle Guides
🔒 Ports & Dienste

RDP (Port 3389) absichern

RDP ist das #1 Ziel fuer Ransomware-Angriffe. Oeffentlich erreichbares RDP wird innerhalb von Stunden automatisiert angegriffen.
Risiko: Ransomware, vollstaendige Systemuebernahme, Datendiebstahl.

1. RDP per VPN schuetzen

RDP sollte NIE direkt oeffentlich erreichbar sein:

# WireGuard VPN einrichten (einfachste Loesung):
sudo apt install wireguard
wg genkey | tee privatekey | wg pubkey > publickey

# /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = <SERVER_PRIVATE_KEY>
Address = 10.0.0.1/24
ListenPort = 51820

[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.0.0.2/32

sudo systemctl enable --now wg-quick@wg0

2. Firewall-Regel

# UFW:
sudo ufw deny 3389/tcp
# Nur ueber VPN-Netz erlauben:
sudo ufw allow from 10.0.0.0/24 to any port 3389

# Windows Firewall:
# RDP nur fuer bestimmte IPs erlauben
netsh advfirewall firewall add rule name="RDP-VPN" dir=in action=allow protocol=tcp localport=3389 remoteip=10.0.0.0/24

Referenzen & weiterführende Links

CISA: RDP Security WireGuard Quickstart