El Thu, 03 de Jul de 2014, a las 03:36:40PM +0000, Camaleón dijo: >> Ya te digo que el temor no es tanto que se acceda al resto de la red >> (que ya te digo que está aislada), como que se acceda a esas interfaces >> web, se identifiquen (yo ni siquiera sé las contraseñas) y escacharren >> su configuración o cambien la contraseña o hagan cosas por el estilo. > > Bueno, eso ya no depende de ti sino de lo bien (o mal) que estén > programados los dispositivos y de los bugs que pueda tener el software de > control. Definir diferentes niveles de seguridad (admin → control total, > configuración de la aplicación/ user → sólo visualización), restricción > de acceso remoto mediante dirección IP, etc... serían opciones > interesantes que tendría que proporcionar el software de los dispositivos.
Estoy de acuerdo, pero ¿cómo se puede acceder a otros dispositivos desde la interfaz de administración vía web de otro dispositivo por muchos bugs que tenga? No se me ocurre ninguna forma. De todos modos ya te he dicho que ese segmento de red lo tengo aislado para que no acceda al resto de la red. Quiero aclarar que la decisión de dejar acceso a esos dispositivos desde el exterior no es mía: me lo como con papas. Si de mi dependería, lo lógico sería que en el otro extremo se pusieran las pilas: yo les puedo ofrecer una VPN para que accedan, por ejemplo. >> El escribir los robots.txt es para que los buscadores (google, yahoo, >> etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen >> caso. > El robots.txt es un peligro del copón, usadlo con cuidado. La mayoría de > bots lo primero que hacen es ver el contenido de ese archivo para fijar > objetivos. El robots simplemente es: User-Agent: * Disallow: / Expresamente no hay ninguna mención a ningún recurso. No la hay, porque ese robots.txt es exclusivo para los "sitios" de administración. O sea que se accede a ellos escribiendo: http://dispositivo1.dominio.com/robots.txt Pero si has accedido al robots.txt, es porque... ya sabes que se puede acceder vía web a http://dispositivo1.dominio.com, así que sirve de poco. En realidad no creo que sirva para nada, simplemente no sé qué mecanismo usa google para conocer nuevos nombres de máquinas. En principio el dominio es un .tk y el servidor de nombres del subdominio lo controlo yo, no .tk, así que, si impido hacer AXFR, no se puede hacer y no hay forma de sacar los nombres de las máquinas (salvo bug del servidor DNS, claro). Cosa distinta es que el subdominio no lo gestionara yo y no supiera si la lista de nombres de mis máquinas se comparte con otros servidores. >> Las transferencias AXFR están prohibidas para máquinas de fuera de la >> LAN. > > Entonces entiendo que las consultas al DNS quedan descartadas como vector > de ataque pero si se trata de algún software de gestión comercial (Axis, > Panasonic, etc...) es más probable que haya alguna herramienta > "maliciosa" dedicada a buscar la explotación de fallos que puedan tener > estos sistemas. Con software de gestión comercial, ¿a qué te refieres? Saludos. -- Todos buscan quien ampare, yo quien enmiende; que más quiero ir entendido que defendido. --- Lope de Vega --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140703170323.ga14...@cubo.casa