Hoe beveilig je je trading server tegen brute-force aanvallen?

Portret van Alex de Vries, Quantitatief Analist & Algo-Trading Expert
Alex de Vries
Quantitatief Analist & Algo-Trading Expert
Dev-Ops & Infrastructuur voor Traders · 2026-02-15 · 8 min leestijd
Stel je even voor: je hebt je perfecte Python-bot draaien. Die handelt op basis van data van je broker, scant de markt en voert trades uit. Je hebt weken gesleuteld aan de logica, de backtests zien er veelbelovend uit. En dan ineens... is je server weg. Of erger: iemand anders heeft toegang tot je API-keys en handelt vrolijk met jouw geld. Dat is geen ver-van-je-bed-show. Dat gebeurt als je je trading server niet goed beveiligt tegen brute-force aanvallen. Een aanvaller probeert simpelweg miljoenen combinaties van gebruikersnamen en wachtwoorden tot hij er eentje raakt. Jij wilt niet de makkelijke prooi zijn. Laten we je server eens flink verstevigen, stap voor stap.

Wat heb je nodig?

Voordat we beginnen, zorg dat je spullen bij de hand hebt. Je hebt natuurlijk je server.

Dit kan een VPS zijn van een provider zoals DigitalOcean, AWS, Vultr of een dedicated server. Je moet ergens inloggen, dus je hebt SSH-toegang nodig. Een terminalprogramma zoals PuTTY (op Windows) of de standaard Terminal (op Mac/Linux) is essentieel. Je hebt basiskennis van Linux-commando's nodig.

Je hoeft geen expert te zijn, maar je moet weten hoe je een bestand aanmaakt en bewerkt (met nano of vim). Verder is het handig om je favoriete code-editor paraat te hebben voor het aanpassen van configuratiebestanden.

Reken op een uurtje tijd om alles rustig en goed te doen.

Haastige spoed is zelden goed bij serverbeveiliging.

Stap 1: SSH-sleutels instellen en wachtwoordlogin uitschakelen

Standaard loggen de meeste servers in met een wachtwoord. Dat is een open uitnodiging voor brute-force bots.

  1. Genereer je SSH-sleutelpaar: Open je terminal op je lokale machine. Typ ssh-keygen -t ed25519 -C "jouw_email@example.com". Druk op Enter om de standaardlocatie te gebruiken. Kies een sterke passphrase (een lang wachtwoord om je sleutel zelf te beschermen). Dit duurt 10 seconden.
  2. Kopieer je publieke sleutel: Je hebt nu twee bestanden: een privésleutel (die NOOIT deelt) en een publieke sleutel (id_ed25519.pub). Kopieer de inhoud van die publieke sleutel. Op Mac/Linux: cat ~/.ssh/id_ed25519.pub | pbcopy. Op Windows (PowerShell): Get-Content "$env:USERPROFILE\.ssh\id_ed25519.pub" | Set-Clipboard.
  3. Zet de sleutel op je server: Log in op je server met je huidige wachtwoord. Maak de map .ssh aan als die niet bestaat: mkdir -p ~/.ssh. Open het bestand ~/.ssh/authorized_keys met nano: nano ~/.ssh/authorized_keys. Plak je publieke sleutel erin. Sla op (Ctrl+O, Enter) en sluit af (Ctrl+X).
  4. Test de toegang: Open een nieuw terminalvenster. Probeer in te loggen met ssh jouw_gebruiker@jouw_server_ip. Je zou nu om een passphrase gevraagd moeten worden (die van je sleutel), niet om je serverwachtwoord. Als dit werkt, ben je er bijna.
  5. Veiligheidscheck (essentieel!): Zorg dat je NU kunt inloggen met je sleutel. Test het. Als het niet werkt, sluit je NIET je oude sessie af!
  6. Wachtwoordlogin uitschakelen: Bewerk het SSH-configuratiebestand: sudo nano /etc/ssh/sshd_config. Zoek de regel PasswordAuthentication en verander deze naar no. Zoek PermitRootLogin en zet deze op no. Sla op. Herstart SSH: sudo systemctl restart sshd.

Die bots proberen duizenden 'admin', 'root', 'trader' combinaties per minuut. Wij gaan dit afsluiten. We gebruiken SSH-sleutels.

Dat zijn unieke bestanden op jouw computer die als een digitale sleutel dienen. Veilig en onmogelijk te raden. Veelgemaakte fout: Je schakelt wachtwoordlogin uit voordat je je SSH-sleutel goed getest hebt. Resultaat: je bent je eigen server kwijt. Belangrijk: doe stap 5 en 6 pas nadat je zeker weet dat je via een sleutel kunt inloggen.

Stap 2: Een Firewall opzetten (UFW)

Je server heeft poorten openstaan. Poort 22 is voor SSH.

Poort 80 en 443 voor web. Misschien een specifieke poort voor een API van een broker of een dashboard.

  1. Installeer UFW: Meestal zit het er al op. Zo niet: sudo apt install ufw (Ubuntu/Debian) of sudo yum install ufw (CentOS).
  2. Sta SSH toe: Dit is je lifeline. sudo ufw allow ssh of sudo ufw allow 22/tcp. Zonder dit, blokkeer je jezelf.
  3. Sta specifieke broker-API poorten toe: Gebruik je Interactive Brokers? Die gebruiken standaard poort 7496 (TWS) of 7497 (Gateway). Sta deze alleen toe als je ze nodig hebt vanaf je server (meestal niet, tenzij je een gateway draait). Voor de meeste moderne brokers (Binance, Kraken, Degiro via API) maak je een https-verbinding via poort 443. Dat zit al standaard in de regels als je webdiensten draait, maar check het even. sudo ufw allow 443/tcp is vaak veiliger dan open poort 80.
  4. Sta je eigen IP-adres toe voor beheer (Optioneel maar aanbevolen): Weet je het IP-adres van je thuiswerkplek of kantoor? Blokkeer dan alles behalve dat IP voor SSH. sudo ufw allow from [JOUW_IP] to any port 22. Dit is goud waard. Je IP verandert soms, dus wees hier voorzichtig mee.
  5. Activeer de firewall: Eerst: sudo ufw --dry-run enable. Kijk of je jezelf niet buitensluit. Als het er goed uitziet: sudo ufw enable. Bevestig met 'y'.
  6. Check de status: Typ sudo ufw status verbose. Je moet nu zien dat alleen toegestane poorten open zijn.

Alles wat open staat, is een potentieel doelwit. We gaan alles dichtgooien behalve wat we écht nodig hebben. We gebruiken UFW (Uncomplicated Firewall), simpel en effectief.

Veelgemaakte fout: De firewall aanzetten voordat je de juiste poorten openzet. Dan ben je je server kwijt. En vergeet niet: als je een webserver draait (Nginx/Apache), vergeet dan niet poort 80 en 443 open te zetten.

Stap 3: Fail2Ban installeren (Je digitale waakhond)

Oké, het gebruik van SSH keys voor veilige toegang tot je trading bot is geregeld en je firewall staat aan. Maar wat als iemand toch probeert in te loggen via een gok op een wachtwoord?

Fail2Ban is een tool die logbestanden scant. Ziet het een IP-adres dat te vaak faalt? Dan verbiedt die IP het contact met je server voor een tijdje.

  1. Installeer Fail2Ban: sudo apt install fail2ban. Binnen een minuut is het gebeurd.
  2. Maak een lokale configuratie aan: De standaardconfiguratie niet aanpassen! Kopieer hem: sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local.
  3. Configureer SSH-bescherming: Open het nieuwe bestand: sudo nano /etc/fail2ban/jail.local. Zoek naar [sshd]. Zorg dat deze regel er staat of uncomment (verwijder het #): enabled = true.
  4. Stel de gevoeligheid in: Standaard staat het vaak op 5 mislukte pogingen binnen 10 minuten. Dat is prima. Je kunt het strakker trekken naar 3 pogingen in 5 minuten als je heel voorzichtig bent. Pas dit aan in maxretry en bantime. Een bantime van 3600 (1 uur) is een goed begin.
  5. Herstart Fail2Ban: sudo systemctl restart fail2ban. En check de status: sudo fail2ban-client status sshd. Je ziet nu hoeveel regels er actief zijn.

Een soort digitale schop na. Veelgemaakte fout: Vergeten dat Fail2Ban ook je eigen foutieve typjes telt.

Je typt je wachtwoord verkeerd? Na 3 keer ben je gebanned. Zorg dat je SSH-sleutel werkt en gebruik Tmux om je bot-sessies actief te houden voordat je Fail2Ban aanzet.

Stap 4: API Keys en Configuratiebestanden beschermen

Dit is de plek waar de echte waarde ligt: je API-keys van brokers als Interactive Brokers, Binance, of Kraken.

  1. Gebruik environment variables: Maak een bestand .env in je projectmap. Stop je keys daar in: API_KEY="jouw_key", API_SECRET="jouw_secret". Voeg .env toe aan je .gitignore als je met Git werkt. Zo belandt het nooit op GitHub.
  2. Beveilig het .env bestand: Zet de rechten van dit bestand op 'leesbaar alleen voor jou'. Commando: chmod 600 .env. Niemand anders kan het inzien.
  3. Gebruik de juiste Python libraries: Gebruik de library python-dotenv om deze variabelen in te laden in je Python script. Voorbeeld: import os; from dotenv import load_dotenv; load_dotenv(); api_key = os.getenv('API_KEY').
  4. Vraag om een 'Read-Only' key bij je broker: Veel brokers (zoals Kraken) bieden de optie om API-keys aan te maken met alleen leesrechten. Gebruik dit voor je backtesting scripts of monitoring dashboards. Alleen voor je echte trading bot geef je trade- of withdraw-rechten.
  5. Gebruik een aparte trading-omgeving: Maak een aparte sub-account aan bij je broker voor je algorithmic trading bot. Zet daar nooit je volle vermogen op. Beperk het risico. Als de bot ontspoort of gehackt wordt, is de schade beperkt tot het bedrag op die sub-account.

Als een aanvaller deze keys te pakken krijgt, kan hij handelen namens jou of je saldo leegtrekken. Je wilt nooit je keys hardcoded in je Python-scripts hebben staan.

Veelgemaakte fout: Keys committen naar GitHub of delen via Slack/Email. Dit gebeurt sneller dan je denkt. Leer daarom versiebeheer voor je trading code goed in te richten. Wees hier extreem streng in.

Stap 5: Monitoring en Onderhoud

Beveiliging is geen eenmalige klus. Het is een doorlopend proces. Je moet weten wat er op je server gebeurt.

  1. Check je logs: Kijk regelmatig naar de auth-logboeken om te zien of er rare login-pogingen zijn. sudo tail -f /var/log/auth.log (Ubuntu) of /var/log/secure (CentOS). Je ziet hier Fail2Ban in actie komen.
  2. Houd je systemen up-to-date: Zorg dat je Linux-distributie en Python-packages up-to-date zijn. Een oude versie van OpenSSH of een Python-library kan een gat in je beveiliging zijn. sudo apt update && sudo apt upgrade -y. Doe dit wekelijks.
  3. Gebruik Two-Factor Authentication (2FA) voor je VPS provider: Zorg dat niet alleen je server beveiligd is, maar ook het dashboard van je hostingprovider (DigitalOcean, AWS, etc.). Daar zit je server omgeving.
  4. Maak backups: Zorg voor automatische backups van je server (snapshot) of in ieder geval van je kritieke Python-scripts en configuratiebestanden. Als het fout gaat, herstel je snel.

Verificatie-checklist

Ben je klaar? Loop deze lijst na. Als je overal 'Ja' kunt antwoorden, zit je safe.

  • ✅ Kan ik inloggen via SSH met mijn sleutel (en heb ik mijn passphrase bij de hand)?
  • ✅ Is het inloggen met een wachtwoord uitgeschakeld in sshd_config?
  • ✅ Draait UFW en staan alleen de benodigde poorten open (SSH, evt. 443)?
  • ✅ Is Fail2Ban actief en draait de SSH-jail?
  • ✅ Staan mijn API-keys in een .env bestand en niet in mijn code?
  • ✅ Heb ik de rechten van mijn .env bestand gezet op 600?
  • ✅ Gebruik ik Read-Only keys waar mogelijk?
  • ✅ Weet ik hoe ik mijn logs kan checken?

Als je deze stappen hebt doorlopen, heb je een solide basis gelegd.

Je trading server is niet meer het makkelijke doelwit voor een simpele brute-force bot. Je kunt met een geruster hart je algoritmische strategieën draaien. Nu weer terug naar de code en die markten veroveren. Stay safe.

Portret van Alex de Vries, Quantitatief Analist & Algo-Trading Expert
Over Alex de Vries

Alex is een ervaren quantitatief analist en Python-ontwikkelaar die complexe trading concepten vertaalt naar begrijpelijke, praktische handleidingen voor zowel beginners als gevorderden.

Volgende stap
Bekijk alle artikelen over Dev-Ops & Infrastructuur voor Traders
Ga naar overzicht →