El Thu, 03 Jul 2014 15:27:48 +0200, José Miguel (sio2) escribió: > Hola, listeros: > > Tengo mis dudas sobre la exposición de un servicio web que quieren, pero > no debería, estar accesible a internet.
Lo marco como OT entonces. > La situación es la siguiente: > > En la LAN hay una serie de dispositivos (3) asociados a un sistema de > vigilancia de cámaras, cuyo mantenimiento corre a cargo de una empresa. > La empresa, para poder manipularlos remotamente quiere que estén > accesibles y para ello tienen sus interfaces web (http, no https, por > cierto). Esa es la situación. > > Yo puedo brindar una cierta seguridad a todo eso ofreciéndoles que se > conecten por VPN a la LAN, pero eso es "mu" difícil; y ellos ya tienen > sus cosas organizadas, etc. > > O sea que los servicios tienen que estar directamente accesibles. Y aquí > hay dos posibilidades, la que hay ahora y otra alternativa (no se me > ocurra ninguna más que no le rompa los esquemas): (...) ¿Has pensando en crear una red separada (VLAN) para esos 3 dispositivos? De forma que ellos tengan el acceso que necesitan a esos equipos de manera remota con los puertos que necesites abiertos y desde la red local vosotros podáis acceder de igual forma. Así quedaría "asegurada" vuestra red local en caso de que se vulnere el acceso remoto a esos 3 chismes. > La pregunta es ¿qué creéis que es más discreto? No te fíes mucho de la discreción, los robots no hacen distinciones y si un equipo es accesible lo detectarán e intentarán vulnerarlo, eso es ley de vida Internetera. Más que hacer hincapié en ocultar los equipos me preocuparía mejor en blindarlos y delimitar la zona de daños en caso de vulneración (crear compartimentos estancos). > Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas en > internet? ¿Tienen venia para listar inombres en los servicios de DNS? Pueden utilizar ataques de diccionario para buscar nombres "al tutún" (como hacen con las cuentas de correo electrónico) y si los nombres de los servidores están publicados en algún registro para resolución pública (DNS) pues no hace falta ni eso con un simple "dig" van servidos. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.07.03.14.25...@gmail.com