Re: [OT] Re: Exposición de un servicio web
El Thu, 03 Jul 2014 16:49:09 +0200, José Miguel (sio2) escribió:
> El Thu, 03 de Jul de 2014, a las 02:25:33PM +0000, Camaleón dijo:
(...)
>> No te fíes mucho de la discreción, los robots no hacen distinciones y
>> si un equipo es accesible lo detectarán e intentarán vulnerarlo, eso es
>> ley de vida Internetera. Más que hacer hincapié en ocultar los equipos
>> me preocuparía mejor en blindarlos y delimitar la zona de daños en caso
>> de vulneración (crear compartimentos estancos).
>
> Ya te digo que el temor no es tanto que se acceda al resto de la red
> (que ya te digo que está aislada), como que se acceda a esas interfaces
> web, se identifiquen (yo ni siquiera sé las contraseñas) y escacharren
> su configuración o cambien la contraseña o hagan cosas por el estilo.
Bueno, eso ya no depende de ti sino de lo bien (o mal) que estén
programados los dispositivos y de los bugs que pueda tener el software de
control. Definir diferentes niveles de seguridad (admin → control total,
configuración de la aplicación/ user → sólo visualización), restricción
de acceso remoto mediante dirección IP, etc... serían opciones
interesantes que tendría que proporcionar el software de los dispositivos.
Nosotros tenemos un sistema de CCTV con videograbadores IP de Honeywell
que curiosamente y aunque se trata de un sistema propietario,
internamente corre Linux. No, no los he habilitado para el acceso remoto
aunque el software lo permite.
> El escribir los robots.txt es para que los buscadores (google, yahoo,
> etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen
> caso.
El robots.txt es un peligro del copón, usadlo con cuidado. La mayoría de
bots lo primero que hacen es ver el contenido de ese archivo para fijar
objetivos.
>>> Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas
>>> en internet? ¿Tienen venia para listar inombres en los servicios de
>>> DNS?
>> Pueden utilizar ataques de diccionario para buscar nombres "al tutún"
>> (como hacen con las cuentas de correo electrónico)
>
> Pero, ¿sabes lo que usan los buscadores tipo google (no Críspulo, el
> juáquer malvado)? No creo que se dediquen a probar direcciones al tuntún
> a ver lo que sale.
Los buscadores no supondrían un peligro, pero ahí fuera hay más que
buscadores. Y una vez que te indexan (en la página que sea y no
directamente un buscador) ya estás perdido porque la información se va
replicando entre distintos sitios sin piedad. Y claro, luego Google "se
chiva".
> Por supuesto que el método no es seguro (ya digo que, si no, estaríamos
> hablando de una VPN). Simplemente ¿qué es más probable? ¿Qué alguien
> aburrido se dedique a escanear puertos de una dirección ip a ver si hay
> un servidor http en un puerto no habitual o que se dedique a probar
> nombres de máquinas de un subdominio concreto?
Tienes que dar por hecho que pueden pasar las dos cosas. De hecho hay bots
especializados en sistemas de CCTV a los que se ha habilitado el acceso
remoto (vía web) ahora que están tan de moda.
>> y si los nombres de los servidores están publicados en algún registro
>> para resolución pública (DNS) pues no hace falta ni eso con un simple
>> "dig" van servidos.
>
> Las transferencias AXFR están prohibidas para máquinas de fuera de la
> LAN.
Entonces entiendo que las consultas al DNS quedan descartadas como vector
de ataque pero si se trata de algún software de gestión comercial (Axis,
Panasonic, etc...) es más probable que haya alguna herramienta
"maliciosa" dedicada a buscar la explotación de fallos que puedan tener
estos sistemas.
Saludos,
--
Camaleón
Reply to: