Re: [OT] Re: Exposición de un servicio web

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] Re: Exposición de un servicio web
From: Camaleón <noelamac@gmail.com>
Date: Thu, 3 Jul 2014 17:30:13 +0000 (UTC)
Message-id: <[🔎] pan.2014.07.03.17.30.13@gmail.com>
Reply-to: "A MI NO, ENVIA A LA LISTA" <noelamac+A_MI_NO_ENVIA_A_LA_LISTA@gmail.com>
References: <[🔎] 20140703132748.GA5027@cubo.casa> <[🔎] pan.2014.07.03.14.25.33@gmail.com> <[🔎] 20140703144909.GA8626@cubo.casa> <[🔎] pan.2014.07.03.15.36.40@gmail.com> <[🔎] 20140703170323.GA14024@cubo.casa>

El Thu, 03 Jul 2014 19:03:23 +0200, José Miguel (sio2) escribió:

> El Thu, 03 de Jul de 2014, a las 03:36:40PM +0000, Camaleón dijo:
> 
>>> Ya te digo que el temor no es tanto que se acceda al resto de la red
>>> (que ya te digo que está aislada), como que se acceda a esas
>>> interfaces web, se identifiquen (yo ni siquiera sé las contraseñas) y
>>> escacharren su configuración o cambien la contraseña o hagan cosas por
>>> el estilo.
>>
>> Bueno, eso ya no depende de ti sino de lo bien (o mal) que estén
>> programados los dispositivos y de los bugs que pueda tener el software
>> de control. Definir diferentes niveles de seguridad (admin → control
>> total, configuración de la aplicación/ user → sólo visualización),
>> restricción de acceso remoto mediante dirección IP, etc... serían
>> opciones interesantes que tendría que proporcionar el software de los
>> dispositivos.
> 
> Estoy de acuerdo, pero ¿cómo se puede acceder a otros dispositivos desde
> la interfaz de administración vía web de otro dispositivo por muchos
> bugs que tenga? No se me ocurre ninguna forma.

Pues no sé... a ver, ese tipo de dispositivos integrados suele llevar un 
software semi-avazadillo que puede ir desde hacer simples consultas a los 
equipos de la red local (para sincronizar la hora) hasta tener acceso a 
un depósito samba donde guardar archivos, copias de seguridad de 
fotogramas o vídeos, consultas a directorios LDAP, etc... es decir, que 
actúe como si fuera un ordenador más de la red local. Y si se tiene 
acceso a ese dispositivo pues alguien con buenas manos podría llegar a 
sacar información interesante.

> De todos modos ya te he dicho que ese segmento de red lo tengo aislado
> para que no acceda al resto de la red.

Sí, perfecto.

> Quiero aclarar que la decisión de dejar acceso a esos dispositivos desde
> el exterior no es mía: me lo como con papas. Si de mi dependería, lo
> lógico sería que en el otro extremo se pusieran las pilas: yo les puedo
> ofrecer una VPN para que accedan, por ejemplo.

Entiendo que es la postura más sencilla para quienes lo gestionan y como 
en este caso no sois vosotros que tenéis acceso local, pues tiene lógica 
tener que abrir la muralla.

>>> El escribir los robots.txt es para que los buscadores (google, yahoo,
>>> etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen
>>> caso.

>> El robots.txt es un peligro del copón, usadlo con cuidado. La mayoría
>> de bots lo primero que hacen es ver el contenido de ese archivo para
>> fijar objetivos.
> 
> El robots simplemente es:
> 
> User-Agent: *
> Disallow: /

Ah, vale :-D

Es que el otro día leí no sé en qué medio online que el "robot.txt" del 
BOE tenía tela (para adecuarse a la nueva "ley del olvido" famosa)... y 
efectivamente, parece El Quijote.
 
> Expresamente no hay ninguna mención a ningún recurso. No la hay, porque
> ese robots.txt es exclusivo para los "sitios" de administración. O sea
> que se accede a ellos escribiendo:
> 
> http://dispositivo1.dominio.com/robots.txt
> 
> Pero si has accedido al robots.txt, es porque... ya sabes que se puede
> acceder vía web a http://dispositivo1.dominio.com, así que sirve de
> poco.

(...)

Los buscadores deberían respetar ese archivo pero ya sabes que eso no es 
así. Además, como te he dicho antes, no son los buscadores los que tienen 
que preocuparte sino que te encuentren "otros".

>>> Las transferencias AXFR están prohibidas para máquinas de fuera de la
>>> LAN.
>> 
>> Entonces entiendo que las consultas al DNS quedan descartadas como
>> vector de ataque pero si se trata de algún software de gestión
>> comercial (Axis, Panasonic, etc...) es más probable que haya alguna
>> herramienta "maliciosa" dedicada a buscar la explotación de fallos que
>> puedan tener estos sistemas.
> 
> Con software de gestión comercial, ¿a qué te refieres?

Al típico software que se instala para la administración con las cámaras/
sistemas de CCTV comerciales de las marcas mencionadas, son los más 
jugosos, los más atacados y por ende los más vulnerables.

Es decir, yo me sentiría más a gusto con un ZoneMinder accesible en 
remoto que con este tipo de programas del que no tienes el control y se 
quedan desactualizados en poco tiempo y las empresas encargadas de su 
desarrollo no están por sacar parches.

Saludos,

-- 
Camaleón

Reply to:

Follow-Ups:
- ayuda con squid+ldap
  - From: "Ariel Alvarez" <ariel@cncc.cult.cu>
- Re: [OT] Re: Exposición de un servicio web
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>

References:
- Exposición de un servicio web
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
- [OT] Re: Exposición de un servicio web
  - From: Camaleón <noelamac@gmail.com>
- Re: [OT] Re: Exposición de un servicio web
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>
- Re: [OT] Re: Exposición de un servicio web
  - From: Camaleón <noelamac@gmail.com>
- Re: [OT] Re: Exposición de un servicio web
  - From: José Miguel (sio2) <sio2.sio2+lista.debian@gmail.com>

Prev by Date: de Alberto Cabrejas
Next by Date: ayuda con squid+ldap
Previous by thread: Re: [OT] Re: Exposición de un servicio web
Next by thread: ayuda con squid+ldap
Index(es):
- Date
- Thread