Re: [OT] Re: Exposición de un servicio web
El Thu, 03 de Jul de 2014, a las 03:36:40PM +0000, Camaleón dijo:
>> Ya te digo que el temor no es tanto que se acceda al resto de la red
>> (que ya te digo que está aislada), como que se acceda a esas interfaces
>> web, se identifiquen (yo ni siquiera sé las contraseñas) y escacharren
>> su configuración o cambien la contraseña o hagan cosas por el estilo.
>
> Bueno, eso ya no depende de ti sino de lo bien (o mal) que estén
> programados los dispositivos y de los bugs que pueda tener el software de
> control. Definir diferentes niveles de seguridad (admin → control total,
> configuración de la aplicación/ user → sólo visualización), restricción
> de acceso remoto mediante dirección IP, etc... serían opciones
> interesantes que tendría que proporcionar el software de los dispositivos.
Estoy de acuerdo, pero ¿cómo se puede acceder a otros dispositivos desde
la interfaz de administración vía web de otro dispositivo por muchos
bugs que tenga? No se me ocurre ninguna forma.
De todos modos ya te he dicho que ese segmento de red lo tengo aislado
para que no acceda al resto de la red.
Quiero aclarar que la decisión de dejar acceso a esos dispositivos desde
el exterior no es mía: me lo como con papas. Si de mi dependería, lo
lógico sería que en el otro extremo se pusieran las pilas: yo les puedo
ofrecer una VPN para que accedan, por ejemplo.
>> El escribir los robots.txt es para que los buscadores (google, yahoo,
>> etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen
>> caso.
> El robots.txt es un peligro del copón, usadlo con cuidado. La mayoría de
> bots lo primero que hacen es ver el contenido de ese archivo para fijar
> objetivos.
El robots simplemente es:
User-Agent: *
Disallow: /
Expresamente no hay ninguna mención a ningún recurso. No la hay, porque
ese robots.txt es exclusivo para los "sitios" de administración. O sea
que se accede a ellos escribiendo:
http://dispositivo1.dominio.com/robots.txt
Pero si has accedido al robots.txt, es porque... ya sabes que se puede
acceder vía web a http://dispositivo1.dominio.com, así que sirve de
poco.
En realidad no creo que sirva para nada, simplemente no sé qué mecanismo
usa google para conocer nuevos nombres de máquinas. En principio el
dominio es un .tk y el servidor de nombres del subdominio lo controlo
yo, no .tk, así que, si impido hacer AXFR, no se puede hacer y no hay
forma de sacar los nombres de las máquinas (salvo bug del servidor DNS,
claro). Cosa distinta es que el subdominio no lo gestionara yo y no
supiera si la lista de nombres de mis máquinas se comparte con otros
servidores.
>> Las transferencias AXFR están prohibidas para máquinas de fuera de la
>> LAN.
>
> Entonces entiendo que las consultas al DNS quedan descartadas como vector
> de ataque pero si se trata de algún software de gestión comercial (Axis,
> Panasonic, etc...) es más probable que haya alguna herramienta
> "maliciosa" dedicada a buscar la explotación de fallos que puedan tener
> estos sistemas.
Con software de gestión comercial, ¿a qué te refieres?
Saludos.
--
Todos buscan quien ampare, yo quien enmiende; que más
quiero ir entendido que defendido.
--- Lope de Vega ---
Reply to: