Re: [OT] Re: Exposición de un servicio web

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] Re: Exposición de un servicio web
From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
Date: Thu, 3 Jul 2014 16:49:09 +0200
Message-id: <[🔎] 20140703144909.GA8626@cubo.casa>
Mail-followup-to: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>, debian-user-spanish@lists.debian.org
In-reply-to: <[🔎] pan.2014.07.03.14.25.33@gmail.com>
References: <[🔎] 20140703132748.GA5027@cubo.casa> <[🔎] pan.2014.07.03.14.25.33@gmail.com>

El Thu, 03 de Jul de 2014, a las 02:25:33PM +0000, Camaleón dijo:

> > Tengo mis dudas sobre la exposición de un servicio web que quieren, pero
> > no debería, estar accesible a internet.
> 
> Lo marco como OT entonces.

Sí, mejor.

> ¿Has pensando en crear una red separada (VLAN) para esos 3 dispositivos? 
> De forma que ellos tengan el acceso que necesitan a esos equipos de 
> manera remota con los puertos que necesites abiertos y desde la red local 
> vosotros podáis acceder de igual forma. Así quedaría "asegurada" vuestra 
> red local en caso de que se vulnere el acceso remoto a esos 3 chismes.

Por descontado, esos tres dispositivos los he puesto en un segmento de red
separado (no en una VLAN separada, pero a efectos de filtrado lo mismo
es). De todas maneras, no creo que sean dispositivos desde los que
se pueda hacer mucho al resto de la red: el acceso es exclusivamente web
y dos son puntos de acceso y otro es un DVR para las cámaras.

> No te fíes mucho de la discreción, los robots no hacen distinciones y si 
> un equipo es accesible lo detectarán e intentarán vulnerarlo, eso es ley 
> de vida Internetera. Más que hacer hincapié en ocultar los equipos me 
> preocuparía mejor en blindarlos y delimitar la zona de daños en caso de 
> vulneración (crear compartimentos estancos).

Ya te digo que el temor no es tanto que se acceda al resto de la red
(que ya te digo que está aislada), como que se acceda a esas interfaces
web, se identifiquen (yo ni siquiera sé las contraseñas) y escacharren
su configuración o cambien la contraseña o hagan cosas por el estilo.

El escribir los robots.txt es para que los buscadores (google, yahoo,
etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen
caso.

>> Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas en
>> internet? ¿Tienen venia para listar inombres en los servicios de DNS?
> Pueden utilizar ataques de diccionario para buscar nombres "al 
> tutún" (como hacen con las cuentas de correo electrónico)

Pero, ¿sabes lo que usan los buscadores tipo google (no Críspulo, el
juáquer malvado)? No creo que se dediquen a probar direcciones al tuntún
a ver lo que sale.

Por supuesto que el método no es seguro (ya digo que, si no, estaríamos
hablando de una VPN). Simplemente ¿qué es más probable? ¿Qué alguien
aburrido se dedique a escanear puertos de una dirección ip a ver si hay
un servidor http en un puerto no habitual o que se dedique a probar
nombres de máquinas de un subdominio concreto?

>  y si los nombres de los servidores están publicados en algún registro
>  para resolución pública (DNS) pues no hace falta ni eso con un simple
>  "dig" van servidos.

Las transferencias AXFR están prohibidas para máquinas de fuera de la
LAN.

Gracias por la respuesta.

-- 
   Mira que la mejor parte de España,
pudiendo Casta, se llamó Castilla.
                  --- Tomé de Burguillos ---

Reply to:

Follow-Ups:
- Re: [OT] Re: Exposición de un servicio web
  - From: Camaleón <noelamac@gmail.com>

References:
- Exposición de un servicio web
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
- [OT] Re: Exposición de un servicio web
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Re: problemas con wifi
Next by Date: Re: [OT] Re: Exposición de un servicio web
Previous by thread: [OT] Re: Exposición de un servicio web
Next by thread: Re: [OT] Re: Exposición de un servicio web
Index(es):
- Date
- Thread