Exposición de un servicio web

To: Lista de usuarios de Debian <debian-user-spanish@lists.debian.org>
Subject: Exposición de un servicio web
From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
Date: Thu, 3 Jul 2014 15:27:48 +0200
Message-id: <[🔎] 20140703132748.GA5027@cubo.casa>
Mail-followup-to: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>, Lista de usuarios de Debian <debian-user-spanish@lists.debian.org>

Hola, listeros:

Tengo mis dudas sobre la exposición de un servicio web que quieren, pero
no debería, estar accesible a internet.

La situación es la siguiente:

En la LAN hay una serie de dispositivos (3) asociados a un sistema de
vigilancia de cámaras, cuyo mantenimiento corre a cargo de una empresa.
La empresa, para poder manipularlos remotamente quiere que estén
accesibles y para ello tienen sus interfaces web (http, no https, por
cierto). Esa es la situación.

Yo puedo brindar una cierta seguridad a todo eso ofreciéndoles que se
conecten por VPN a la LAN, pero eso es "mu" difícil; y ellos ya tienen
sus cosas organizadas, etc. 

O sea que los servicios tienen que estar directamente accesibles. Y aquí
hay dos posibilidades, la que hay ahora y otra alternativa (no se me
ocurra ninguna más que no le rompa los esquemas):

1. Ahora misma esos tres dispositivos tienen su interfaz web accesible
   en un puerto distinto al 80. Ciertamente, son puertos que un "nmap -F"
   no revisa, pero sin el escaneo rápido sí aparecen y con el -sV queda
   meridianamente claro que son servicios web los tres.

2. Yo prefiero lo siguiente, que creo que es, intrínsecamente, más
   discreto: tengo un varnish instalado en el servidor que actúa de
   proxy web inverso y un servidor web  que muestra sus páginas en
   internet (pongamos http://www.dominio.com). Con varnish puedo
   gestionar las peticiones web hacia distintos servidores web
   dependiendo del host de la petición, así que había pensado lo
   siguiente:

   a) Que el acceso sea siempre por el puerto 80.
   b) Que se acceda a cada uno de los dispositivos con un nombre
      determinado. Por ejemplo: http://dispositivo1.dominio.com, varnish
      mediante, serviría para acceder al primer dispositivo, y así.

   Para implementar esta segunda opción ya he comprobado que una
   petición externa del tipo:

   $ host -l -t a dominio.com

   No lista los nombres de las máquinas del dominio. Además, haría que
   http://dispositivo1.dominio.com/robots.txt pidiera a los buscadores
   que no indexaran el sitio. 

La pregunta es ¿qué creéis que es más discreto?

Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas en
internet? ¿Tienen venia para listar inombres en los servicios de DNS?

Un saludo y gracias de antemano por vuestra opinión.

-- 
   Y mis desdichas son como cerezas,
que voy por una y, de una en otra asidas,
vuelvo con todo un plato de tristezas.
                  --- Tomé de Burguillos ---

Reply to:

Follow-Ups:
- [OT] Re: Exposición de un servicio web
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Re: de Alberto Cabrejas
Next by Date: Re: Fwd: Iceweasel y Firma con Certificado
Previous by thread: Re: problemas con wifi
Next by thread: [OT] Re: Exposición de un servicio web
Index(es):
- Date
- Thread