[OT] Re: Exposición de un servicio web
El Thu, 03 Jul 2014 15:27:48 +0200, José Miguel (sio2) escribió:
> Hola, listeros:
>
> Tengo mis dudas sobre la exposición de un servicio web que quieren, pero
> no debería, estar accesible a internet.
Lo marco como OT entonces.
> La situación es la siguiente:
>
> En la LAN hay una serie de dispositivos (3) asociados a un sistema de
> vigilancia de cámaras, cuyo mantenimiento corre a cargo de una empresa.
> La empresa, para poder manipularlos remotamente quiere que estén
> accesibles y para ello tienen sus interfaces web (http, no https, por
> cierto). Esa es la situación.
>
> Yo puedo brindar una cierta seguridad a todo eso ofreciéndoles que se
> conecten por VPN a la LAN, pero eso es "mu" difícil; y ellos ya tienen
> sus cosas organizadas, etc.
>
> O sea que los servicios tienen que estar directamente accesibles. Y aquí
> hay dos posibilidades, la que hay ahora y otra alternativa (no se me
> ocurra ninguna más que no le rompa los esquemas):
(...)
¿Has pensando en crear una red separada (VLAN) para esos 3 dispositivos?
De forma que ellos tengan el acceso que necesitan a esos equipos de
manera remota con los puertos que necesites abiertos y desde la red local
vosotros podáis acceder de igual forma. Así quedaría "asegurada" vuestra
red local en caso de que se vulnere el acceso remoto a esos 3 chismes.
> La pregunta es ¿qué creéis que es más discreto?
No te fíes mucho de la discreción, los robots no hacen distinciones y si
un equipo es accesible lo detectarán e intentarán vulnerarlo, eso es ley
de vida Internetera. Más que hacer hincapié en ocultar los equipos me
preocuparía mejor en blindarlos y delimitar la zona de daños en caso de
vulneración (crear compartimentos estancos).
> Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas en
> internet? ¿Tienen venia para listar inombres en los servicios de DNS?
Pueden utilizar ataques de diccionario para buscar nombres "al
tutún" (como hacen con las cuentas de correo electrónico) y si los
nombres de los servidores están publicados en algún registro para
resolución pública (DNS) pues no hace falta ni eso con un simple "dig"
van servidos.
Saludos,
--
Camaleón
Reply to: