Re: [OT] Re: Exposición de un servicio web
El Thu, 03 de Jul de 2014, a las 05:30:13PM +, Camaleón dijo: > Es que el otro día leí no sé en qué medio online que el "robot.txt" del > BOE tenía tela (para adecuarse a la nueva "ley del olvido" famosa)... y > efectivamente, parece El Quijote. Me ha picado la curiosidad, he buscado en google y he leído la "noticia" (o la entrada en twitter más bien. En fin... Lo bueno es que ese robots.txt, como bien decías, sirve de "índice". > Los buscadores deberían respetar ese archivo pero ya sabes que eso no es > así. Además, como te he dicho antes, no son los buscadores los que tienen > que preocuparte sino que te encuentren "otros". Bueno, creo que estoy haciendo el canelo con el robots.txt: llegar al robots.txt es haber llegado a conocer el nombre de la máquina; y, cuando se accede con el nombre de la máquina, directamente aparece la pantalla de login. > Es decir, yo me sentiría más a gusto con un ZoneMinder accesible en > remoto que con este tipo de programas del que no tienes el control y se > quedan desactualizados en poco tiempo y las empresas encargadas de su > desarrollo no están por sacar parches. Muy interesante: he estado tentado de echarle un ojo más detenidamente, pero he contenido la curiosidad porque entiendo que no me corresponde a mí. Muchas gracias. -- Los grandes hombres solemos ser modestos. --- Juan de Mairena -- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140704102654.ga25...@cubo.casa
Re: [OT] Re: Exposición de un servicio web
El Thu, 03 Jul 2014 19:03:23 +0200, José Miguel (sio2) escribió: > El Thu, 03 de Jul de 2014, a las 03:36:40PM +, Camaleón dijo: > >>> Ya te digo que el temor no es tanto que se acceda al resto de la red >>> (que ya te digo que está aislada), como que se acceda a esas >>> interfaces web, se identifiquen (yo ni siquiera sé las contraseñas) y >>> escacharren su configuración o cambien la contraseña o hagan cosas por >>> el estilo. >> >> Bueno, eso ya no depende de ti sino de lo bien (o mal) que estén >> programados los dispositivos y de los bugs que pueda tener el software >> de control. Definir diferentes niveles de seguridad (admin → control >> total, configuración de la aplicación/ user → sólo visualización), >> restricción de acceso remoto mediante dirección IP, etc... serían >> opciones interesantes que tendría que proporcionar el software de los >> dispositivos. > > Estoy de acuerdo, pero ¿cómo se puede acceder a otros dispositivos desde > la interfaz de administración vía web de otro dispositivo por muchos > bugs que tenga? No se me ocurre ninguna forma. Pues no sé... a ver, ese tipo de dispositivos integrados suele llevar un software semi-avazadillo que puede ir desde hacer simples consultas a los equipos de la red local (para sincronizar la hora) hasta tener acceso a un depósito samba donde guardar archivos, copias de seguridad de fotogramas o vídeos, consultas a directorios LDAP, etc... es decir, que actúe como si fuera un ordenador más de la red local. Y si se tiene acceso a ese dispositivo pues alguien con buenas manos podría llegar a sacar información interesante. > De todos modos ya te he dicho que ese segmento de red lo tengo aislado > para que no acceda al resto de la red. Sí, perfecto. > Quiero aclarar que la decisión de dejar acceso a esos dispositivos desde > el exterior no es mía: me lo como con papas. Si de mi dependería, lo > lógico sería que en el otro extremo se pusieran las pilas: yo les puedo > ofrecer una VPN para que accedan, por ejemplo. Entiendo que es la postura más sencilla para quienes lo gestionan y como en este caso no sois vosotros que tenéis acceso local, pues tiene lógica tener que abrir la muralla. >>> El escribir los robots.txt es para que los buscadores (google, yahoo, >>> etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen >>> caso. >> El robots.txt es un peligro del copón, usadlo con cuidado. La mayoría >> de bots lo primero que hacen es ver el contenido de ese archivo para >> fijar objetivos. > > El robots simplemente es: > > User-Agent: * > Disallow: / Ah, vale :-D Es que el otro día leí no sé en qué medio online que el "robot.txt" del BOE tenía tela (para adecuarse a la nueva "ley del olvido" famosa)... y efectivamente, parece El Quijote. > Expresamente no hay ninguna mención a ningún recurso. No la hay, porque > ese robots.txt es exclusivo para los "sitios" de administración. O sea > que se accede a ellos escribiendo: > > http://dispositivo1.dominio.com/robots.txt > > Pero si has accedido al robots.txt, es porque... ya sabes que se puede > acceder vía web a http://dispositivo1.dominio.com, así que sirve de > poco. (...) Los buscadores deberían respetar ese archivo pero ya sabes que eso no es así. Además, como te he dicho antes, no son los buscadores los que tienen que preocuparte sino que te encuentren "otros". >>> Las transferencias AXFR están prohibidas para máquinas de fuera de la >>> LAN. >> >> Entonces entiendo que las consultas al DNS quedan descartadas como >> vector de ataque pero si se trata de algún software de gestión >> comercial (Axis, Panasonic, etc...) es más probable que haya alguna >> herramienta "maliciosa" dedicada a buscar la explotación de fallos que >> puedan tener estos sistemas. > > Con software de gestión comercial, ¿a qué te refieres? Al típico software que se instala para la administración con las cámaras/ sistemas de CCTV comerciales de las marcas mencionadas, son los más jugosos, los más atacados y por ende los más vulnerables. Es decir, yo me sentiría más a gusto con un ZoneMinder accesible en remoto que con este tipo de programas del que no tienes el control y se quedan desactualizados en poco tiempo y las empresas encargadas de su desarrollo no están por sacar parches. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.07.03.17.30...@gmail.com
Re: [OT] Re: Exposición de un servicio web
El Thu, 03 de Jul de 2014, a las 03:36:40PM +, Camaleón dijo: >> Ya te digo que el temor no es tanto que se acceda al resto de la red >> (que ya te digo que está aislada), como que se acceda a esas interfaces >> web, se identifiquen (yo ni siquiera sé las contraseñas) y escacharren >> su configuración o cambien la contraseña o hagan cosas por el estilo. > > Bueno, eso ya no depende de ti sino de lo bien (o mal) que estén > programados los dispositivos y de los bugs que pueda tener el software de > control. Definir diferentes niveles de seguridad (admin → control total, > configuración de la aplicación/ user → sólo visualización), restricción > de acceso remoto mediante dirección IP, etc... serían opciones > interesantes que tendría que proporcionar el software de los dispositivos. Estoy de acuerdo, pero ¿cómo se puede acceder a otros dispositivos desde la interfaz de administración vía web de otro dispositivo por muchos bugs que tenga? No se me ocurre ninguna forma. De todos modos ya te he dicho que ese segmento de red lo tengo aislado para que no acceda al resto de la red. Quiero aclarar que la decisión de dejar acceso a esos dispositivos desde el exterior no es mía: me lo como con papas. Si de mi dependería, lo lógico sería que en el otro extremo se pusieran las pilas: yo les puedo ofrecer una VPN para que accedan, por ejemplo. >> El escribir los robots.txt es para que los buscadores (google, yahoo, >> etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen >> caso. > El robots.txt es un peligro del copón, usadlo con cuidado. La mayoría de > bots lo primero que hacen es ver el contenido de ese archivo para fijar > objetivos. El robots simplemente es: User-Agent: * Disallow: / Expresamente no hay ninguna mención a ningún recurso. No la hay, porque ese robots.txt es exclusivo para los "sitios" de administración. O sea que se accede a ellos escribiendo: http://dispositivo1.dominio.com/robots.txt Pero si has accedido al robots.txt, es porque... ya sabes que se puede acceder vía web a http://dispositivo1.dominio.com, así que sirve de poco. En realidad no creo que sirva para nada, simplemente no sé qué mecanismo usa google para conocer nuevos nombres de máquinas. En principio el dominio es un .tk y el servidor de nombres del subdominio lo controlo yo, no .tk, así que, si impido hacer AXFR, no se puede hacer y no hay forma de sacar los nombres de las máquinas (salvo bug del servidor DNS, claro). Cosa distinta es que el subdominio no lo gestionara yo y no supiera si la lista de nombres de mis máquinas se comparte con otros servidores. >> Las transferencias AXFR están prohibidas para máquinas de fuera de la >> LAN. > > Entonces entiendo que las consultas al DNS quedan descartadas como vector > de ataque pero si se trata de algún software de gestión comercial (Axis, > Panasonic, etc...) es más probable que haya alguna herramienta > "maliciosa" dedicada a buscar la explotación de fallos que puedan tener > estos sistemas. Con software de gestión comercial, ¿a qué te refieres? Saludos. -- Todos buscan quien ampare, yo quien enmiende; que más quiero ir entendido que defendido. --- Lope de Vega --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140703170323.ga14...@cubo.casa
Re: [OT] Re: Exposición de un servicio web
El Thu, 03 Jul 2014 16:49:09 +0200, José Miguel (sio2) escribió: > El Thu, 03 de Jul de 2014, a las 02:25:33PM +, Camaleón dijo: (...) >> No te fíes mucho de la discreción, los robots no hacen distinciones y >> si un equipo es accesible lo detectarán e intentarán vulnerarlo, eso es >> ley de vida Internetera. Más que hacer hincapié en ocultar los equipos >> me preocuparía mejor en blindarlos y delimitar la zona de daños en caso >> de vulneración (crear compartimentos estancos). > > Ya te digo que el temor no es tanto que se acceda al resto de la red > (que ya te digo que está aislada), como que se acceda a esas interfaces > web, se identifiquen (yo ni siquiera sé las contraseñas) y escacharren > su configuración o cambien la contraseña o hagan cosas por el estilo. Bueno, eso ya no depende de ti sino de lo bien (o mal) que estén programados los dispositivos y de los bugs que pueda tener el software de control. Definir diferentes niveles de seguridad (admin → control total, configuración de la aplicación/ user → sólo visualización), restricción de acceso remoto mediante dirección IP, etc... serían opciones interesantes que tendría que proporcionar el software de los dispositivos. Nosotros tenemos un sistema de CCTV con videograbadores IP de Honeywell que curiosamente y aunque se trata de un sistema propietario, internamente corre Linux. No, no los he habilitado para el acceso remoto aunque el software lo permite. > El escribir los robots.txt es para que los buscadores (google, yahoo, > etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen > caso. El robots.txt es un peligro del copón, usadlo con cuidado. La mayoría de bots lo primero que hacen es ver el contenido de ese archivo para fijar objetivos. >>> Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas >>> en internet? ¿Tienen venia para listar inombres en los servicios de >>> DNS? >> Pueden utilizar ataques de diccionario para buscar nombres "al tutún" >> (como hacen con las cuentas de correo electrónico) > > Pero, ¿sabes lo que usan los buscadores tipo google (no Críspulo, el > juáquer malvado)? No creo que se dediquen a probar direcciones al tuntún > a ver lo que sale. Los buscadores no supondrían un peligro, pero ahí fuera hay más que buscadores. Y una vez que te indexan (en la página que sea y no directamente un buscador) ya estás perdido porque la información se va replicando entre distintos sitios sin piedad. Y claro, luego Google "se chiva". > Por supuesto que el método no es seguro (ya digo que, si no, estaríamos > hablando de una VPN). Simplemente ¿qué es más probable? ¿Qué alguien > aburrido se dedique a escanear puertos de una dirección ip a ver si hay > un servidor http en un puerto no habitual o que se dedique a probar > nombres de máquinas de un subdominio concreto? Tienes que dar por hecho que pueden pasar las dos cosas. De hecho hay bots especializados en sistemas de CCTV a los que se ha habilitado el acceso remoto (vía web) ahora que están tan de moda. >> y si los nombres de los servidores están publicados en algún registro >> para resolución pública (DNS) pues no hace falta ni eso con un simple >> "dig" van servidos. > > Las transferencias AXFR están prohibidas para máquinas de fuera de la > LAN. Entonces entiendo que las consultas al DNS quedan descartadas como vector de ataque pero si se trata de algún software de gestión comercial (Axis, Panasonic, etc...) es más probable que haya alguna herramienta "maliciosa" dedicada a buscar la explotación de fallos que puedan tener estos sistemas. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.07.03.15.36...@gmail.com
Re: [OT] Re: Exposición de un servicio web
El Thu, 03 de Jul de 2014, a las 02:25:33PM +, Camaleón dijo: > > Tengo mis dudas sobre la exposición de un servicio web que quieren, pero > > no debería, estar accesible a internet. > > Lo marco como OT entonces. Sí, mejor. > ¿Has pensando en crear una red separada (VLAN) para esos 3 dispositivos? > De forma que ellos tengan el acceso que necesitan a esos equipos de > manera remota con los puertos que necesites abiertos y desde la red local > vosotros podáis acceder de igual forma. Así quedaría "asegurada" vuestra > red local en caso de que se vulnere el acceso remoto a esos 3 chismes. Por descontado, esos tres dispositivos los he puesto en un segmento de red separado (no en una VLAN separada, pero a efectos de filtrado lo mismo es). De todas maneras, no creo que sean dispositivos desde los que se pueda hacer mucho al resto de la red: el acceso es exclusivamente web y dos son puntos de acceso y otro es un DVR para las cámaras. > No te fíes mucho de la discreción, los robots no hacen distinciones y si > un equipo es accesible lo detectarán e intentarán vulnerarlo, eso es ley > de vida Internetera. Más que hacer hincapié en ocultar los equipos me > preocuparía mejor en blindarlos y delimitar la zona de daños en caso de > vulneración (crear compartimentos estancos). Ya te digo que el temor no es tanto que se acceda al resto de la red (que ya te digo que está aislada), como que se acceda a esas interfaces web, se identifiquen (yo ni siquiera sé las contraseñas) y escacharren su configuración o cambien la contraseña o hagan cosas por el estilo. El escribir los robots.txt es para que los buscadores (google, yahoo, etc) no indexen esas interfaces web, simplemente. Ellos sí le hacen caso. >> Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas en >> internet? ¿Tienen venia para listar inombres en los servicios de DNS? > Pueden utilizar ataques de diccionario para buscar nombres "al > tutún" (como hacen con las cuentas de correo electrónico) Pero, ¿sabes lo que usan los buscadores tipo google (no Críspulo, el juáquer malvado)? No creo que se dediquen a probar direcciones al tuntún a ver lo que sale. Por supuesto que el método no es seguro (ya digo que, si no, estaríamos hablando de una VPN). Simplemente ¿qué es más probable? ¿Qué alguien aburrido se dedique a escanear puertos de una dirección ip a ver si hay un servidor http en un puerto no habitual o que se dedique a probar nombres de máquinas de un subdominio concreto? > y si los nombres de los servidores están publicados en algún registro > para resolución pública (DNS) pues no hace falta ni eso con un simple > "dig" van servidos. Las transferencias AXFR están prohibidas para máquinas de fuera de la LAN. Gracias por la respuesta. -- Mira que la mejor parte de España, pudiendo Casta, se llamó Castilla. --- Tomé de Burguillos --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140703144909.ga8...@cubo.casa
