Hola, listeros: Tengo mis dudas sobre la exposición de un servicio web que quieren, pero no debería, estar accesible a internet.
La situación es la siguiente: En la LAN hay una serie de dispositivos (3) asociados a un sistema de vigilancia de cámaras, cuyo mantenimiento corre a cargo de una empresa. La empresa, para poder manipularlos remotamente quiere que estén accesibles y para ello tienen sus interfaces web (http, no https, por cierto). Esa es la situación. Yo puedo brindar una cierta seguridad a todo eso ofreciéndoles que se conecten por VPN a la LAN, pero eso es "mu" difícil; y ellos ya tienen sus cosas organizadas, etc. O sea que los servicios tienen que estar directamente accesibles. Y aquí hay dos posibilidades, la que hay ahora y otra alternativa (no se me ocurra ninguna más que no le rompa los esquemas): 1. Ahora misma esos tres dispositivos tienen su interfaz web accesible en un puerto distinto al 80. Ciertamente, son puertos que un "nmap -F" no revisa, pero sin el escaneo rápido sí aparecen y con el -sV queda meridianamente claro que son servicios web los tres. 2. Yo prefiero lo siguiente, que creo que es, intrínsecamente, más discreto: tengo un varnish instalado en el servidor que actúa de proxy web inverso y un servidor web que muestra sus páginas en internet (pongamos http://www.dominio.com). Con varnish puedo gestionar las peticiones web hacia distintos servidores web dependiendo del host de la petición, así que había pensado lo siguiente: a) Que el acceso sea siempre por el puerto 80. b) Que se acceda a cada uno de los dispositivos con un nombre determinado. Por ejemplo: http://dispositivo1.dominio.com, varnish mediante, serviría para acceder al primer dispositivo, y así. Para implementar esta segunda opción ya he comprobado que una petición externa del tipo: $ host -l -t a dominio.com No lista los nombres de las máquinas del dominio. Además, haría que http://dispositivo1.dominio.com/robots.txt pidiera a los buscadores que no indexaran el sitio. La pregunta es ¿qué creéis que es más discreto? Por cierto, ¿cómo descubren los buscadores nuevos nombres de máquinas en internet? ¿Tienen venia para listar inombres en los servicios de DNS? Un saludo y gracias de antemano por vuestra opinión. -- Y mis desdichas son como cerezas, que voy por una y, de una en otra asidas, vuelvo con todo un plato de tristezas. --- Tomé de Burguillos --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140703132748.ga5...@cubo.casa
