RangeeOS - Sicherheitsguide

Last modified by Tobias Wintrich on 2023/11/24 09:01

Unser Rangee OS Thin Client Betriebssystem ist bereits in seiner Standardkonfiguration ein sehr sicheres System. Bisher sind keine Angriffe bekannt bei denen unser System als Einfallstor für Hacker und andere Eindringe genutzt wurde.

Dennoch ist es möglich, das System über die Standardeinstellungen Hinaus weiter abzusichern und vor potentiellen Angriffen zu schützen. Dieser Artikel enthält eine Übersicht einiger Sicherheitsrelevanter Einstellungen.

RangeeOS

Samba-Dienst deaktivieren

SMB wir häufiger als potentielles Einfallstor verwendet. Auf dem Rangee OS können Sie SMB vollständig deaktivieren.

RangeeOS - Samba-Dienst deaktivieren

Durch Deaktivieren des Samba Dienstes sind folgende Features nicht mehr verfügbar:

  • Mitgliedschaft innerhalb einer Domäne
    (Nutzung der Benutzeranmeldung über eine Domäne ist weiterhin möglich)
  • Verwendung von SMB-Netzwerkdruckern
  • Freigabe von lokal angeschlossenen Drucker über SMB
  • Verwendung von SMB-Dateifreigaben
  • Freigabe von Dateien

SSH-Dienst deaktivieren

Sie können den SSH Dienst auf den Geräten unter KOMMBOX →  Remote-Administration mit der Option "SSH" steuern.

Herstellerzugang deaktivieren

Der Herstellerzugriff ermöglich uns keinerlei Zugriff über Firewallgrenzen hinweg. Das heißt damit wir uns auf ein Gerät verbinden können, müssen wir uns bereits mit anderen Fernwartungstools in Ihr Netzwerk eingeladen worden sein.

Der Herstellerzugrang besteht in unserem RangeeOS aus einem "root" Zugang über Passwort und SSH-Key. Die entsprechenden Login Informationen werden bei uns unter Verschluss gehalten und nicht nach außen kommuniziert. Der Zugang ermöglich unseren Support Mitarbeiten den Zugriff auf ein Linux Terminal und wird zu Debugzwecken verwendet.

Sie können den Herstellerzugang auf den Geräten unter KOMMBOX →  Remote-Administration mit der Option "Herstellerzugang" steuern.

AD-Benutzeranmeldung zwischenspeichern von Kennwörtern deaktivieren

Wenn am Gerät "Beim Systemstart an der Domäne anmelden" aktiviert wird, werden in Standard Einstellungen die Zugangsdaten des Nutzers zur Verwendung im Single Sign On gespeichert. Dieses Verhalten kann unter KOMMBOX Active Directory-Konfiguration →  Benutzeranmeldung mit der Option "Passwort für SSO temporär zwischenspeichern" gesteuert werden.

AD-Login.jpg

Insofern diese Option deaktiviert wird, bietet sich als Alternative zur Active Directory Anmeldung beim Systemstart auch die Anmeldung beim Anwendungsstart infrage:

RangeeOS - Passwortwechsel ohne global vorgeschaltete Domänen-Anmeldung

VNC-Zugriff steuern / deaktivieren

Sie können den Zugriff per VNC unter KOMMBOX →  Remote-Administration unter der Überschrift "VNC" konfigurieren.

Insofern Sie den VNC Zugriff nutzen möchten, wird Empfohlen hier ein "Passwort" zu vergeben und den Benutzer den zugrif per VNC über "Verhalten bei externem Verbindungsaufbau über VNC" bestätigen zu lassen.

Wenn Sie den VNC Zugriff nicht benötigen können Sie Ihn über die Option "Remote-Zugriff über VNC" steuern.

grafik.png

Client Firewall aktivieren

Auf dem RangeeOS befindet sich das Kommandozeilen Tool iptables mit dem Sie beliebige Firewallregeln definieren können. Eine entsprechende Anleitung wie Sie die Regeln erstellen und per Skript verteilen können finden Sie hier:

RangeeOS - Firewall mit ipables Skript

Rangee Hybrid Tools deaktivieren

Die Rangee Hybrid Tools erlauben es verschiedene Aktionen auf dem Gerät aus der Ferne zu steuern. Wenn Sie diese Tools deaktivieren, können folgende Funktionen nicht mehr genutzt werden:

  • Servergesteuerter Start einzelner Vebrindungen, sicheres Entfernen von Datenträger und ähnlichem
  • AppControl
  • SoundControl
  • ClientControl
  • Automatische Erkennung der Client IP und des Verbindungstokens innerhalb der Rangee Browser Redirection

Sie können die Option über unter KOMMBOX →  Remote-Administration   mit "Rangee Hybrid Tools aktivieren" steuern

HD-Tools.png

TCMS Zertifikat verifizieren

Unter KOMMBOX →  Remote-Administration →  TCMS-Einstellungen finden Sie die Option "HTTPS-Zertifikat verifizieren". Ist diese Option aktiviert, wird das HTTPS Zertifikat des TCMS auf Gültigkeit überprüft.

Hierzu ist es erforderlich ein verifizierbares Zertifikat auf dem TCMS zu installieren. Und dem Austeller dieses Zertifikats zu Vertrauen.
Siehe hierzu:
Kommbox- bzw. TCMS Webserver Zertifikat austauschen
Zertifikate Installieren

TCMS Discovery verbieten

Wenn das "TCMS Discovery" erlaubt ist, so kann ein beliebiger TCMS Endgeräte "Einsammeln" und mit ins eigene Management übernehmen. Wird das "TCMS Discovery" verboten, so kann der von einem Client verwendete Managementserver nicht aus der Ferne überschrieben werden.

Sie können die Option über unter KOMMBOX →  Remote-Administration →  TCMS-Einstellungen mit "Discovery" steuern

Bootmenü verstecken

Sie können das Bootmenü (GRUB) des RangeeOS für den Nutzer am Gerät unzugänglich machen. Hierzu genügt es wenn Sie den "Timeout" unter KOMMBOX →  WERKZEUGE  →  BOOT-KONFIGURATION   auf "0" setzen.

Durch das Verstecken des  Bootmenüs steht das Rescue Panel anschließend nicht mehr zur Verfügung.

Rescue Panel

Fastboot deaktivieren

Wenn der Fastboot Modus auf dem Gerät aktiviert ist, wird das Betriebssystem auf die Festplatte des Clients entpackt und dadurch bis zum nächsten Update dauerhaft Änderbar.  Durch deaktivieren des Fastboot stellen Sie sicher, dass am System keine dauerhaften Änderungen vorgenommen werden können.

Sie können die Verwendung von Fastboot unter KOMMBOX →  WERKZEUGE  →  Bootloader mit der Option "Aktiviere RangeeOS Fastboot" steuern.

Fastboot-Deaktivieren.png

Signaturprüfung beim Start aktivieren

Ab RangeeOS 12.00 ist es möglich bei jedem Start die Signatur der installierten Firmware und Softwarepakete zu überprüfen. Hierdurch wird sichergestellt, dass die Softwarepakete unverändert und sich wie vom Hersteller bereitgestellt auf dem Gerät befinden. Die Signatur der Pakete wird in Standardeinstellung bereits bei jedem Softwareupdate überprüft. Über eine zusätzliche Option kann die Prüfung bei jedem Startvorgang erneut durchgeführt werden.

Die Prüfung der Signatur benötigt je nach verwendeter Hardware zwischen 1 und 3 Minuten.

Sie können die Verwendung Signaturprüfung beim Start unter KOMMBOX →  WERKZEUGE  →  Bootloader mit der Option "Erfordere Paketsignaturprüfung beim Hochfahren" steuern.

signatur.png

USBGuard aktivieren

Durch die Nutzung des USBGuards können Sie sicherstellen, dass nur zuvor expliziert konfigurierte USB-Geräte am Client genutzt werden können.

USB-Geräte Verwaltung mit USBGuard

TCMS

Clientsignaturprüfung

Über die Clientsignaturprüfung können Sie am TCMS vorgeben, dass sich nur die Clients registrieren und konfiguriert werden können, welche Sie zuvor explizit freigegeben haben. Die Option entspricht funktional dem Gegenstück zur Option "TCMS-Zertifikat verifizieren" auf Clientseite und verhindert, dass sich nicht autorisierte Clients an dem TCMS anmelden und eine Konfiguration erhalten können.

TCMS - Signaturprüfung

Verwendung des zusätzlichen API Ports

In Standardkonfiguration kommunizieren sowohl die Thin Clients mit Ihrem Managementserver per HTTPS über Port 443 (TCP). Dies ist der selbe Port, über den auch das Webinterface des TCMS erreichbar ist. Sie können über die Verwendung des zusätzlichen API Ports einen Port definieren der ausschließlich für die Kommunikation der Thin Clients mit dem Server dient.

Die entsprechende Anleitung hierzu finden Sie in unserem HowTo zur Verfügbarmachung des TCMS über das Internet

 

 
Rangee GmbH ©2022