Ziggo Community

Numiah

Hoi allen,

Ik wil voor een RPi waarop Odoo (ERP) draait een poort openen. (8069).
Da's op zich natuurlijk geen probleem. Het is vlot ingesteld en Odoo is direct bereikbaar.

Maarr... Meteen vraag ik me dan af hoe veilig dit is. In welke mate is de rest van mijn netwerk nu te "sniffen"?
Ben ik nu volledig afhankelijk van de bescherming van Odoo en de RPi waarop dit draait? Je krijgt immers het login scherm van Odoo te zien.

Ik denk dan aan een brute force, of misschien wel het injecteren van code via een loginscherm etc?
Moet ik aan een andere manier van benaderen gaan denken? Het lijkt mij dat een DNS service niet veel meer biedt omdat er uiteindelijk nog steeds een ip adres is met open poort(en)?

Er valt veel te lezen over het openen van poorten, maar ik lees zo snel niet iets over de risico's van één specifieke poort openen. Meer over mensen die liefst alles openen of upnp willen gebruiken.

Afijn, alvast dank voor jullie reactie!

tobiastheebe

Je kunt iptables installeren op de Raspberry Pi en daarmee de toegang tot Odoo c.q. poort 8069 beperken tot specifieke adressen/subnets. Daarna kun je veilig een port forwarding-regel aanmaken op de router.

Zie het voorbeeld hieronder, 192.168.178.0/24 is jouw LAN (kan natuurlijk ook een ander subnet zijn) en 123.45.67.89 het externe adres dat toegang moet krijgen tot Odoo.

iptables -A INPUT -p tcp -m tcp --dport 8069 -s 192.168.178.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -s 123.45.67.89 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -j DROP

Bekijk in context

Steefb

Een specifieke poort openen is veilig, zolang de service die er op draait maar veilig is.

De veiligheidsmaatregel is eigenlijk al dat poorten standaard gesloten zijn.

De veiligheidsrisico's van upnp bestaan er vooral uit dat programma's uit zichzelf poorten mogen openen.

Bekijk in context

tobiastheebe

Je kunt iptables installeren op de Raspberry Pi en daarmee de toegang tot Odoo c.q. poort 8069 beperken tot specifieke adressen/subnets. Daarna kun je veilig een port forwarding-regel aanmaken op de router.

Zie het voorbeeld hieronder, 192.168.178.0/24 is jouw LAN (kan natuurlijk ook een ander subnet zijn) en 123.45.67.89 het externe adres dat toegang moet krijgen tot Odoo.

iptables -A INPUT -p tcp -m tcp --dport 8069 -s 192.168.178.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -s 123.45.67.89 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8069 -j DROP

Steefb

Een specifieke poort openen is veilig, zolang de service die er op draait maar veilig is.

De veiligheidsmaatregel is eigenlijk al dat poorten standaard gesloten zijn.

De veiligheidsrisico's van upnp bestaan er vooral uit dat programma's uit zichzelf poorten mogen openen.

Numiah

Dank jullie wel voor het snelle antwoord en het nieuwe inzicht!
Mede dankzij het antwoord van Tobias zie ik het nu anders.
Eigenlijk is het niet veel anders dan de firewall in mijn nas.
Je blokkeert gewoon alles, behalve de interne- en die enkele externe ip adressen.

En inderdaad Steef. De service die vrolijk op een inkomende verbinding staat te wachten die bepaalt hoe veilig de rest is. Upnp gebruik ik sowieso niet, precies om die reden. Brrr. 🙂

Nogmaals dank!

tobiastheebe

UPnP schakel ik ook standaard uit op elke router die ik beheer.

Ziggo Community

Hoe veilig is poort openen eigenlijk?

Uitgelicht topic

Alles over het nieuwe zwarte SmartWifi modem

Zoek verder op de Community