Openstack 2 security groups

Binnen de openstack horizon interface heeft u de mogelijkheid om uw netwerken te beveiligen met behulp van security groups. Zo kunt u toegang van buitenaf of binnenuit beperken voor een instance en uw systemen beveiligen tegen aanvallen of ongewenste toegang.  Deze handleiding beschrijft de werking van security groups en hoe u deze het beste kunt beheren begeleid met video instructies.

Uitleg security groups

Security groups kunt u gebruiken om uw instances en netwerken Te beschermen tegen aanvallen of ongewenste toegang van buitenaf.  U kunt per instance een security rule toevoegen. Security groups bieden een extra gratis firewall voorziening om uw omgeving van buitenaf af Te schermen. U kunt het zien als een 2e laag van bescherming voor uw netwerk.

U dient op uw instance zelf ten alle tijden uw firewall ook goed in Te regelen. 

Default instelling security groups

Bij het aanmaken van een nieuwe instance in de horizon interface wordt hieraan automatisch de default security group toegekend "default". Deze security group laat standaard geen verkeer van de buitenwereld naar binnen toe maar wel verkeer vanaf uw systeem naar de buitenwereld. Hierdoor is uw systeem standaard niet bereikbaar van buitenaf.

Toelaten van ICMP ping requests

Om Te kunnen zien of uw instance bereikbaar is vanaf het internet kunt u een ping request versturen naar uw vps, standaard staat deze gesloten en dient u hiervoor een security group instellen op uw vps.

  • Log als eerste in op de horizon web interface op https://openstack.cloudvps.com
  • Selecteer vervolgens in het linkerzijmenu "Compute" en daarna "Instances"
  • Vanuit het overzicht selecteer bij het betreffende instance uit de rechter rolldown menu "EDIT SECURITY GROUPS"
  • Selecteer "+" bij de optie "allow-icmp" en selecteer daarna "SAVE"
  • Hierna is de nieuwe security group setting per direct actief.

U kunt dit testen door vanaf de command line op uw werkstation het volgende commando te gebruiken: "ping IPvan-uw-instance"

 

Toelaten van remote access

Voor beheer moet u kunnen inloggen naar uw systeem. In het onderstaande voorbeeld wordt toegang voor ssh ingesteld, maar u kunt ook remote desktop instellen als u gebruik maakt van een windows server en port 3389 gebruiken of wanneer u gebruik maakt van vnc port 5900.

  • Log als eerste in op de horizon web interface op https://openstack.cloudvps.com
  • Selecteer in het linker zij menu "Network" en selecteer daarna "Security Groups"
  • Selecteer rechts bovenaan ++CREATE SECURITY GROUP"
  • Geef bij "Name" een naam op voor de nieuwe security rule. In ons voorbeeld "SSH" en eventueel een description. Selecteer hierna "CREATE SECURITY GROUP"
  • Selecteer daarna in het overzicht rechts bij de nieuwe security group "MANAGE RULES"
  • Selecteer hierna rechts bovenin "+ADD RULE"
  • Selecteer bij "Rule" "CUSTOM TCP RULE"
  • Selecteer bij "Direction" "INGRESS" Het gaat hier om verkeer van buiten naar binnen toe
  • Geef bij "Port" 22 op voor de SSH-service.
  • Geef bij "CIDR" het IP van waaraf u verbindt met uw managementstation, bijvoorbeeld het IP van uw kantoor internetaansluiting bijvoorbeeld 1.2.3.4/32 en selecteer daarna "ADD"
  • Selecteer vervolgens in het linker zij menu "Compute" en daarna "Instances"
  • Vanuit het overzicht selecteer bij het betreffende instance uit de rechter rolldown menu "EDIT SECURITY GROUPS"
  • Selecteer "+" bij de optie "SSH" en selecteer daarna "SAVE"
  • Hierna is de nieuwe security group setting per direct actief.

U kunt nu testen of u toegang heeft naar uw systeem door te verbinden met een ssh client naar uw server.

Toelaten van webserver http/https

Het onderstaande voorbeeld laat zien hoe u een service beschikbaar maakt voor uw gebruikers, zoals een webserver.

  • Log als eerste in op de horizon web interface op https://openstack.cloudvps.com
  • Selecteer vervolgens in het linkerzijmenu "Compute" en daarna "Instances"
  • Vanuit het overzicht selecteer bij het betreffende instance uit het rechter rolldown menu "EDIT SECURITY GROUPS"
  • Selecteer "+" bij de optie "allow-web" en selecteer daarna "SAVE"
  • Hierna is de nieuwe security group setting per direct actief.

U kunt hierna controleren of de dienst beschikbaar is door het IP van uw systeem op te geven als adres in uw webbrowser, maar u kunt ook een Telnet uitvoeren op port 80 of een portscan uitvoeren naar uw systeem met bijvoorbeeld nmap.

Uitleg terminologie

Voordat u begint met het configureren van security groups is het belangrijk bekent te zijn met een aantal termen die worden gebruikt en welke hieronder zijn beschreven.

  • Direction

Bij direction bepaalt u de richting van het netwerkverkeer. Er zijn 2 verschillende types die worden gebruikt bij het instellen van firewall rules.

ingress:  ingress verkeer komt van buiten naar binnen toe, bijvoorbeeld een externe gebruiker die gebruik wil maken van uw webserver.

egress: egress verkeer komt van binnen uw systeem naar buiten, bijvoorbeeld als u op uw server een bestand wil verzenden naar een externe partij.

Het meest gebruikelijke bij het instellen van uw firewall rules is om voor egress  verkeer alles toe te laten en ingress verkeer te beperken enkel tot wat u wilt toelaten op uw systeem. Dit is ook de standaard binnen openstack security groups als u een nieuwe security rule aanmaakt. Alles mag naar buiten maar niets mag naar binnen.

  • Ether Type

Bij Ether Type kunt u specificeren welk type netwerk u gebruik van maakt. Wanneer u aangeeft welke ip range of welk subnet in een security rule mag worden gebruikt wordt deze automatisch voor u bepaald. In de security rules worden er maar 2 Ether types gebruikt, IPV4 networking bijvoorbeeld 1.2.3.4/5 of het nieuwe IPV6 bijvoorbeeld 2a02:348:5e6:1::9bc0

  • IP Protocol

U kunt hier het IP-protocol type opgeven, meestal zal dit TCP zijn en in enkele gevallen UDP-verkeer. 

  • Port/ Port range

Hier kunt u de service port opgeven van de dienst die u wilt doorlaten, bijvoorbeeld voor uw webserver is dat http-verkeer op port 80 of port 443. U kunt ook een port range opgeven bijvoorbeeld por 2000 tot 3000.

  • Remote IP Prefix

Het IP dat uw systeem mag benaderen, bijvoorbeeld het IP van uw thuisverbinding 1.2.3.4. U kunt ook alles doorlaten door 0.0.0.0/0 in te stellen voor ipv4 en ::/0 voor ipv6. Of een specifieke IP-range, bijvoorbeeld 8.8.8.0/24

  • Lijst met veelvoorkomende service porten

20: File Transfer Protocol (FTP) Data Transfer
21: File Transfer Protocol (FTP) Command Control
22: Secure Shell (SSH) Secure Login
23: Telnet remote login service, unencrypted text messages
25: Simple Mail Transfer Protocol (SMTP) E-mail routing
53: Domain Name System (DNS) service
80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web
110: Post Office Protocol (POP3)
119: Network News Transfer Protocol (NNTP)
123: Network Time Protocol (NTP)
143: Internet Message Access Protocol (IMAP) Management of digital mail
161: Simple Network Management Protocol (SNMP)
194: Internet Relay Chat (IRC)
443: HTTP Secure (HTTPS) HTTP over TLS/SSL
465: Authenticated SMTP[10] over TLS/SSL (SMTPS)[83]
587: email message submission (SMTP)
993: Internet Message Access Protocol over TLS/SSL (IMAPS)

Op de onderstaande link vindt u een uitgebreid overzicht van alle service porten beschikbaar.

https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

Helpcenter

Algemene FAQ

Bekijk alle vragen

OpenStack FAQ

Bekijk alle vragen

Knowledgebase

Bekijk alle vragen