1
Vraag
2
Reacties
Numiah

Level 2
  • 8Posts
  • 0Oplossingen
  • 1Likes

Hoe veilig is poort openen eigenlijk?

Hoi allen,

 

Ik wil voor een RPi waarop Odoo (ERP) draait een poort openen. (8069).
Da's op zich natuurlijk geen probleem. Het is vlot ingesteld en Odoo is direct bereikbaar.

Maarr... Meteen vraag ik me dan af hoe veilig dit is. In welke mate is de rest van mijn netwerk nu te "sniffen"?
Ben ik nu volledig afhankelijk van de bescherming van Odoo en de RPi waarop dit draait? Je krijgt immers het login scherm van Odoo te zien.

Ik denk dan aan een brute force, of misschien wel het injecteren van code via een loginscherm etc?
Moet ik aan een andere manier van benaderen gaan denken? Het lijkt mij dat een DNS service niet veel meer biedt omdat er uiteindelijk nog steeds een ip adres is met open poort(en)?

Er valt veel te lezen over het openen van poorten, maar ik lees zo snel niet iets over de risico's van één specifieke poort openen. Meer over mensen die liefst alles openen of upnp willen gebruiken.

Afijn, alvast dank voor jullie reactie!


Oplossingen

Geaccepteerde oplossingen
tobiastheebe

Level 20
T.E.A.M.
  • 31066Posts
  • 2181Oplossingen
  • 15502Likes

Je kunt iptables installeren op de Raspberry Pi en daarmee de toegang tot Odoo c.q. poort 8069 beperken tot specifieke adressen/subnets. Daarna kun je veilig een port forwarding-regel aanmaken op de router.

 

Zie het voorbeeld hieronder, 192.168.178.0/24 is jouw LAN (kan natuurlijk ook een ander subnet zijn) en 123.45.67.89 het externe adres dat toegang moet krijgen tot Odoo. 

 

iptables -A INPUT -p tcp -m tcp --dport 8069 -s 192.168.178.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -s 123.45.67.89 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -j DROP

Bekijk in context

Steefb

Level 20
  • 15868Posts
  • 2991Oplossingen
  • 7264Likes

Een specifieke poort openen is veilig, zolang de service die er op draait maar veilig is.

 

De veiligheidsmaatregel is eigenlijk al dat poorten standaard gesloten zijn.

De veiligheidsrisico's van upnp bestaan er vooral uit dat programma's uit zichzelf poorten mogen openen.

Bekijk in context

4 Reacties 4
tobiastheebe

Level 20
T.E.A.M.
  • 31066Posts
  • 2181Oplossingen
  • 15502Likes

Je kunt iptables installeren op de Raspberry Pi en daarmee de toegang tot Odoo c.q. poort 8069 beperken tot specifieke adressen/subnets. Daarna kun je veilig een port forwarding-regel aanmaken op de router.

 

Zie het voorbeeld hieronder, 192.168.178.0/24 is jouw LAN (kan natuurlijk ook een ander subnet zijn) en 123.45.67.89 het externe adres dat toegang moet krijgen tot Odoo. 

 

iptables -A INPUT -p tcp -m tcp --dport 8069 -s 192.168.178.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -s 123.45.67.89 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -j DROP

Steefb

Level 20
  • 15868Posts
  • 2991Oplossingen
  • 7264Likes

Een specifieke poort openen is veilig, zolang de service die er op draait maar veilig is.

 

De veiligheidsmaatregel is eigenlijk al dat poorten standaard gesloten zijn.

De veiligheidsrisico's van upnp bestaan er vooral uit dat programma's uit zichzelf poorten mogen openen.

Numiah
Topicstarter
Level 2
  • 8Posts
  • 0Oplossingen
  • 1Likes

Dank jullie wel voor het snelle antwoord en het nieuwe inzicht!
Mede dankzij het antwoord van Tobias zie ik het nu anders.
Eigenlijk is het niet veel anders dan de firewall in mijn nas. 
Je blokkeert gewoon alles, behalve de interne- en die enkele externe ip adressen.

En inderdaad Steef. De service die vrolijk op een inkomende verbinding staat te wachten die bepaalt hoe veilig de rest is. Upnp gebruik ik sowieso niet, precies om die reden. Brrr. 🙂

Nogmaals dank!

tobiastheebe

Level 20
T.E.A.M.
  • 31066Posts
  • 2181Oplossingen
  • 15502Likes

UPnP schakel ik ook standaard uit op elke router die ik beheer.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic