Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
Hallo Tweakers community,

Ik ben van plan om een Xamp (+ FTP/Filezilla) server te hosten (en dus ook te portforwarden) maar nu is mijn vraag hoe veilig dat is. Ik heb eerder begrepen dat de default porten veranderen in ieder geval een goed idee is.

(Mijn ISP is Ziggo)

Mvg,
Ruben

  • Ravefiend
  • Registratie: september 2002
  • Laatst online: 23:52

Ravefiend

Carpe diem!

Even linken naar de FAQ:
https://www.apachefriends.org/faq_windows.html
Is XAMPP production ready?

XAMPP is not meant for production use but only for development environments. XAMPP is configured to be open as possible to allow the developer anything he/she wants. For development environments, this is great but in a production environment, it could be fatal.

... (more)

  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
Sorry, Maar ik kan daar niks vinden wat gerelateerd is aan portforwarding.

  • ImNotnoa
  • Registratie: september 2011
  • Laatst online: 23:08

ImNotnoa

Meisje!

RFlintstone schreef op woensdag 26 september 2018 @ 11:02:
[...]

Sorry, Maar ik kan daar niks vinden wat gerelateerd is aan portforwarding.
Ik denk dat @Ravefiend vooral doelt op deze passage:
For development environments, this is great but in a production environment, it could be fatal.
Oftwewl, Xampp is niet geschikt om te gebruiken in een productie omgeving (met verbindingen naar buiten)

[Voor 12% gewijzigd door ImNotnoa op 26-09-2018 11:06]

In my defence: I wás left unsupervised.


  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
Imnoa schreef op woensdag 26 september 2018 @ 11:06:
[...]


Ik denk dat @Ravefiend vooral doelt op deze passage:


[...]


Oftwewl, Xampp is niet geschikt om te gebruiken in een productie omgeving (met verbindingen naar buiten)
Ik doe een studie waarvoor ik dit moet gebruiken en dan is het ideaal om dit thuis gewoon aan te hebben staan en overal erbij te kunnen.

  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
Imnoa schreef op woensdag 26 september 2018 @ 11:06:
[...]


Ik denk dat @Ravefiend vooral doelt op deze passage:


[...]


Oftwewl, Xampp is niet geschikt om te gebruiken in een productie omgeving (met verbindingen naar buiten)
Ik ben ook bereid om thuis software (zoals CPanel) te instaleren.

  • Axewi
  • Registratie: maart 2009
  • Laatst online: 16-06 16:22
RFlintstone schreef op woensdag 26 september 2018 @ 10:47:
Hallo Tweakers community,

Ik ben van plan om een Xamp (+ FTP/Filezilla) server te hosten (en dus ook te portforwarden) maar nu is mijn vraag hoe veilig dat is. Ik heb eerder begrepen dat de default porten veranderen in ieder geval een goed idee is.
De default poorten veranderen heeft geen enkel zin. Een poortscan scant gewoon alle poorten binnen een range en zodra er één open staat (beter gezegt als er een service op die poort draait) dan kijkt de scan daarna welke service dat is.
Met andere woorden: Stel jij host een website op poort 445 i.p.v. 443 dan komt de scan vanzelf bij poort 445 en met ziet dat daar bijvoorbeeld apache op draait. zie ook Security through obscurity

Ten 2e is een poort openzetten niet per defenitie veilig of onveilig een open poort doet namelijk niets, het gaat om de service die achter die poort draait! En daarmee kom je dus direct uit op wat @Ravefiend aangeeft, de service die jij op die poort wil gaan draaien is bedoelt voor een test omgeving en dus per defenitie niet veilig ingesteld.

Niet doen is dus het advies, als jij op afstand graag bij je services wil dan kan je het beste een vpn opzetten zodat je de poorten niet voor de hele wereld open hoeft te zetten.

En dan hebben we het nog niet eens gehad over FTP.

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.


  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
Axewi schreef op woensdag 26 september 2018 @ 11:18:
[...]


De default poorten veranderen heeft geen enkel zin. Een poortscan scant gewoon alle poorten binnen een range en zodra er één open staat (beter gezegt als er een service op die poort draait) dan kijkt de scan daarna welke service dat is.
Met andere woorden: Stel jij host een website op poort 445 i.p.v. 443 dan komt de scan vanzelf bij poort 445 en met ziet dat daar bijvoorbeeld apache op draait. zie ook Security through obscurity

Ten 2e is een poort openzetten niet per defenitie veilig of onveilig een open poort doet namelijk niets, het gaat om de service die achter die poort draait! En daarmee kom je dus direct uit op wat @Ravefiend aangeeft, de service die jij op die poort wil gaan draaien is bedoelt voor een test omgeving en dus per defenitie niet veilig ingesteld.

Niet doen is dus het advies, als jij op afstand graag bij je services wil dan kan je het beste een vpn opzetten zodat je de poorten niet voor de hele wereld open hoeft te zetten.
En hoe zit het met software zoals CPanel of Vestacp?

  • DJMaze
  • Registratie: juni 2002
  • Niet online
RFlintstone schreef op woensdag 26 september 2018 @ 11:22:
En hoe zit het met software zoals CPanel?
Heb je een statisch IP adres?
Nee, dus: nee het kan niet.

[Voor 54% gewijzigd door DJMaze op 26-09-2018 11:35]

Maak je niet druk, dat doet de compressor maar


  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
DJMaze schreef op woensdag 26 september 2018 @ 11:32:
[...]

Heb je een statisch IP adres?

[...]

Nee, dus: nee het kan niet.
Waarom zou het niet kunnen?

  • Axewi
  • Registratie: maart 2009
  • Laatst online: 16-06 16:22
RFlintstone schreef op woensdag 26 september 2018 @ 11:22:
En hoe zit het met software zoals CPanel of Vestacp?
Dat zijn platformen bedoelt voor productiesystemen en zullen daarmee ongetwijfelt veiliger zijn. Maar uiteindelijk gaat het om de configuratie, ook cpanel of vestacp kan je onveilig instellen (en no offence maar gezien je eerdere vraag is de kans groot dat dit gaat gebeuren)

Als het voor een studie is en je wil er overal bij kunnen waarom neem je dan niet gewoon een abonement op een dienst als codeanywhere?

Nogmaals, er is opzich niets mis met het installeren en gebruiken van een Xampp server waarvoor deze bedoelt is! En een vpn opzetten met bijvoorbeeld openvpn op een raspberry pi is ook zo gedaan.

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.


  • DJMaze
  • Registratie: juni 2002
  • Niet online
@RFlintstone omdat cPanel een statisch IP eist, zoals een server dat heeft (licentie gekoppeld aan IP)

En, nee, je moet er niet aan beginnen zonder een goede router waarbij de ziggo meuk in bridge staat.

Ik gebruik zelf een Draytek Vigor2926 hiervoor met SSL en VLAN om het af te schermen van de rest.

[Voor 8% gewijzigd door DJMaze op 26-09-2018 11:39]

Maak je niet druk, dat doet de compressor maar


  • 123teun123
  • Registratie: oktober 2010
  • Laatst online: 23:16
DJMaze schreef op woensdag 26 september 2018 @ 11:32:
[...]

Heb je een statisch IP adres?

[...]

Nee, dus: nee het kan niet.
Zovaak veranderd een dynamisch ip adres nou ook weer niet....
ik zou het ook met vpn doen, meest veilige oplossing.

EDIT: oeps verkeerd gelezen, het gaat om de licentie.... nvm

[Voor 9% gewijzigd door 123teun123 op 26-09-2018 11:38]


  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
DJMaze schreef op woensdag 26 september 2018 @ 11:37:
@RFlintstone omdat cPanel een statisch IP eist, zoals een server dat heeft (licentie gekoppeld aan IP)

En, nee, je moet er niet aan beginnen zonder een goede router waarbij de ziggo meuk in bridge staat.

Ik gebruik zelf een Draytek Vigor2926 hiervoor
Dan kan ik toch een gratis alternatief nemen?
(https://alternativeto.net/software/cpanel/)

  • DJMaze
  • Registratie: juni 2002
  • Niet online
1. installeer een ssh sleutel
2. configureer ssh dat alleen sleutels mogen (dus niet wachtwoorden enzo)
3. herstart sshd
4. test of ssh inderdaad alleen sleutels accepteert
5. forward poort 22
6. forward poort 80 (nee geen andere poort nemen, dat heet security through obscurity en dat werkt niet).

Je gebruikt dan alleen SFTP en HTTP, verder niks open zetten in je firewall noch forwarden.

[Voor 10% gewijzigd door DJMaze op 26-09-2018 11:44]

Maak je niet druk, dat doet de compressor maar


  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
DJMaze schreef op woensdag 26 september 2018 @ 11:43:
1. installeer een ssh sleutel
2. configureer ssh dat alleen sleutels mogen (dus niet wachtwoorden enzo)
Ik gok dat dit ook binnen de router moet gebeuren?
DJMaze schreef op woensdag 26 september 2018 @ 11:43:
1. installeer een ssh sleutel
2. configureer ssh dat alleen sleutels mogen (dus niet wachtwoorden enzo)
3. forward poort 22
4. forward poort 80 (nee geen andere poort nemen, dat heet security through obscurity en dat werkt niet).

Je gebruikt dan alleen SFTP en HTTP, verder niks open zetten in je firewall noch forwarden.
Dus port 22 en 80 zijn veilig om open te zetten (omdat dit voor (en door) andere dingen inprincipe niet gebruikt wordt)?

  • 123teun123
  • Registratie: oktober 2010
  • Laatst online: 23:16
RFlintstone schreef op woensdag 26 september 2018 @ 11:46:
[...]


Ik gok dat dit ook binnen de router moet gebeuren?


[...]


Dus port 22 en 80 zijn veilig om open te zetten (omdat dit voor (en door) andere dingen inprincipe niet gebruikt wordt)?
dit gebeurt op de server waar je de poorten naar forward, een router doet niets anders dan routen, dus een verbinding doorzetten naar een service. Je kunt alle poorten wel open zetten (geen advies), zolang de server die je er achter hebt staan maar veilig en goed is geconfigureerd.

  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
123teun123 schreef op woensdag 26 september 2018 @ 11:49:
[...]


dit gebeurt op de server waar je de poorten naar forward, een router doet niets anders dan routen, dus een verbinding doorzetten naar een service. Je kunt alle poorten wel open zetten (geen advies), zolang de server die je er achter hebt staan maar veilig en goed is geconfigureerd.
Ok, op die manier. Hoe zit het dan met port 80 en 22?

  • DJMaze
  • Registratie: juni 2002
  • Niet online
RFlintstone schreef op woensdag 26 september 2018 @ 11:46:
Dus port 22 en 80 zijn veilig om open te zetten (omdat dit voor (en door) andere dingen inprincipe niet gebruikt wordt)?
Elke poort is onveilig als je niet weet wat je doet. Daarom staan ze standaard dicht in de router.

Maak je niet druk, dat doet de compressor maar


  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
DJMaze schreef op woensdag 26 september 2018 @ 11:51:
[...]

Elke poort is onveilig als je niet weet wat je doet. Daarom staan ze standaard dicht in de router.
Dat snap ik, maar als ik SSH keys installeer en cloudflare/1.1.1.1 als DNS gebruik zou ik toch inprincipe (redelijk) 'veilig' moeten zijn?

  • Axewi
  • Registratie: maart 2009
  • Laatst online: 16-06 16:22
RFlintstone schreef op woensdag 26 september 2018 @ 11:50:
[...]
Ok, op die manier. Hoe zit het dan met port 80 en 22?
Een poort is een poort en niet meer dan dat!
Verder zijn er afspraken gemaakt dat bepaalde poorten gelinkt zijn aan bepaalde diensten omdat dit handig is. Maar in principe weerhoud niets je er van om bijvoorbeeld ssh op poort 2222 te zetten of je http dienst op poort 8081.
Dus laat het los dat een poort veilig of onveilig is!

Dan komen we bij het belangrijke stuk, de dienst (service) achter de poort. Laten we SSH pakken als voorbeeld.
1) Als jij SSH inschakelt op poort 22 is dit niet veiliger of onveiliger dan SSH op poort 2222, poort 22 is alleen handiger omdat dit de default poort is, zo hoef je bij de meeste programma's niet meer het poortnummer op te geven omdat deze er vanuit gaan dat het op poort 22 draait.

2) De veiligheid van je SSH server hangt af van je configuratie.
- Is je SSH server up to date.
- Maak je gebruik van de eerder genoemde keys ipv wachtwoorden.
- Mag je alleen vanaf bepaalde ip adressen connecten met je SSH server of mag dat vanaf elk ip adres.
- Heb je iets ingesteld dat na een X aantal verkeerde pogingen het binnenkomende ip gebanned wordt.
- etc. etc.

Hetzelfde geld voor je webserver en voor alle andere services die je wilt gaan hosten.

Mijn advies, lees je eerst eens in over firewalls, poortforwarding en het hosten en configureren van webservers en\of webservices.

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.


  • RFlintstone
  • Registratie: september 2018
  • Laatst online: 27-04 11:56
Axewi schreef op woensdag 26 september 2018 @ 12:03:
[...]


Een poort is een poort en niet meer dan dat!
Verder zijn er afspraken gemaakt dat bepaalde poorten gelinkt zijn aan bepaalde diensten omdat dit handig is. Maar in principe weerhoud niets je er van om bijvoorbeeld ssh op poort 2222 te zetten of je http dienst op poort 8081.
Dus laat het los dat een poort veilig of onveilig is!

Dan komen we bij het belangrijke stuk, de dienst (service) achter de poort. Laten we SSH pakken als voorbeeld.
1) Als jij SSH inschakelt op poort 22 is dit niet veiliger of onveiliger dan SSH op poort 2222, poort 22 is alleen handiger omdat dit de default poort is, zo hoef je bij de meeste programma's niet meer het poortnummer op te geven omdat deze er vanuit gaan dat het op poort 22 draait.

2) De veiligheid van je SSH server hangt af van je configuratie.
- Is je SSH server up to date.
- Maak je gebruik van de eerder genoemde keys ipv wachtwoorden.
- Mag je alleen vanaf bepaalde ip adressen connecten met je SSH server of mag dat vanaf elk ip adres.
- Heb je iets ingesteld dat na een X aantal verkeerde pogingen het binnenkomende ip gebanned wordt.
- etc. etc.

Hetzelfde geld voor je webserver en voor alle andere services die je wilt gaan hosten.

Mijn advies, lees je eerst eens in over firewalls, poortforwarding en het hosten en configureren van webservers en\of webservices.
Hartelijk dank van het geven van deze informatie. Ik ga mij zeker inlezen en hopelijk in de toekomst een goede (web) server op te zetten.

-Ruben
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True