Toon posts:

Veiligheid bij openen poorten van PC naar buitenwereld

Pagina: 1
Acties:

zaterdag 26 september 2020 16:19

Acties:
  • 0 Henk 'm!
  • Menesis
  • Registratie: April 2004
  • Laatst online: 10-10 21:28

Menesis

Topicstarter
Ik onderzoek momenteel de mogelijkheden voor Remote Rendering in Unreal Engine. Het idee is dat ik geinteresseerden een link kan sturen die ze openen in hun browser, vervolgens wordt via WebRTC vanaf mijn PC thuis het beeld van mijn Unreal applicatie naar de client gestuurd. Eigenlijk cloud gaming dus, waarbij mijn PC de cloud is.

Echter moet ik daarvoor poort 80 en 8888 openzetten en als ik het goed begrijp dus op mijn router instellen dat die naar mijn PC (met vast ip lokaal) worden doorgestuurd. De poorten kunnen worden aangepast.

Ik heb 0 ervaring met veiligheid van dit soort dingen en mijn eerste gedachte is hoe voorkom ik dat mijn PC nu ineens gehacked wordt?

Ik draai Windows10 Pro (up te date uiteraard :P ) . De service in Unreal heet pixelstreamer en het start een server die op node.js draait, en heet SignallingWebServer.

Zit hier nu een gevaar aan of zal dat wel meevallen? Kan ik nog dingen doen op de veiligheid te vergroten?

Ik moet later waarschijnlijk ook nog aan de slag met STUN en TURN, maar wellicht dat ik deze opzet tegen die tijd naar Azure of AWS verhuis.

[ Voor 11% gewijzigd door Menesis op 26-09-2020 16:22 ]

Mixed Reality dev

zaterdag 26 september 2020 16:40

Acties:
  • +1 Henk 'm!
  • ijske
  • Registratie: Juli 2004
  • Laatst online: 10-10 20:31

ijske

je vaste pc moet intern op een vast ip staan (of dmv dhcp reservering toch zien dat je steeds hetzelfde ip toegewezen krijgt)

daarnaast zet je enkel de poorten open die je nodig hebt , dan is het risico erg klein
DMZ kan je ook gebruiken om te testen ,maar dan zet je alle poorten open naar jouw pc en das wel risicovol

zaterdag 26 september 2020 16:54

Acties:
  • +3 Henk 'm!
  • Douweegbertje
  • Registratie: Mei 2008
  • Laatst online: 16:28

Douweegbertje

Wat kinderachtig.. godverdomme

ijske schreef op zaterdag 26 september 2020 @ 16:40:

daarnaast zet je enkel de poorten open die je nodig hebt , dan is het risico erg klein
Het risico profiel zit hem niet in welke poorten open staan maar wat er achter die poorten zit die dan openstaan. Pas op basis daarvan kan je beoordelen of het een risico kan vormen ja/nee. Even los van het feit dat je per definitie alles initieel dicht wilt hebben, want dat is natuurlijk veiliger.

Stel dat ik dit zou doen dan zie ik dat er een bepaalde 'trust' is, m.b.t. dat jij een link stuurt zodat alleen specifieke mensen erop kunnen. Ik zou dat dus forceren met iets van authenticatie. Zodoende, ook al staat de port open, moeten mensen eerst langs de authenticatie. Hiermee wordt je risico iets kleiner omdat dan niet heel de wereld bij je pixelstreamer service kan.

Verder zou ik het zelf nooit op mijn eigen PC doen maar daar iets specifiek voor opzetten.

M.b.t die auth, wat je dan kan doen is een reverse proxy met http auth bijvoorbeeld. Zie het als:

persoon --> jouw router --> proxy -> pixelstreamer - waarbij eventueel de proxy + pixelstream op 1 systeem kan staan.

Ik ken pixelstreamer niet, dus wat je zou moeten checken is: wat kan iemand doen als hij/zij verbind. Wat kost het aan resources per connectie (derhalve eventueel die auth dus), etc.

[ Voor 4% gewijzigd door Douweegbertje op 26-09-2020 16:55 ]

zaterdag 26 september 2020 17:05

Acties:
  • +1 Henk 'm!
  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

Zónder verdere netwerktopologie is hier niets op te zeggen. Poort 80 dicht zetten kun je INBOUND wel doen als je geen server op die TCP poort host maar als je 'm outbound dicht zet dan werkt er meteen niet veel meer op 't internet voor je. TCP8888 zit in de 'High Ports' range en kan voor alles en nog niks gebruikt worden.....(waarschijnlijk een HTTP Proxy in dezen?).

Een DMZ (Dé-Demilitarized Zone) wil overigens nog steeds niet zeggen dat álles ineens open gaat @ijske .... Kwestie van Firewalling inregelen op de juiste plekken (Inbound + Outbound).

Boldly going forward, 'cause we can't find reverse

zondag 27 september 2020 12:47

Acties:
  • +1 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 16:27

dion_b

Moderator Harde Waren

say Baah

Betere firewalling lost dit op. Zorg dat je het IP-adres weet van de client(s) die moeten verbinden en stel in de firewall in dat alleen verkeer van dat source IP naar de open poorten mag. Dan nog moet je dat IP kunnen vertrouwen en zou een extra authenticationlaag beter zijn, maar dat laatste kan wel eens performance impact kunnen hebben (bandbreedte, latency of jitter), en ik vrees dat dat bij deze toepassing minder handig is.

[ Voor 39% gewijzigd door dion_b op 27-09-2020 12:48 ]

Oslik blyat! Oslik!

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq