On 2017-05-23 11:16, Rafa Griman wrote:
Wenas
2017-05-22 19:38 GMT+03:00 karl
: O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote:
[...]
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
[...]
Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?
Estoy en Madrid, así que no se si te lo puedo mirar. Espera, configuro un tunel para llegar al router. [...] Vale, es TR-069. La pagina de configuración es esta: ........... TR-069 client - Configuration WAN Management Protocol (TR-069) allows a Auto-Configuration Server (ACS) to perform auto-configuration, provision, collection, and diagnostics to this device. Select the desired values and click "Apply/Save" to configure the TR-069 client options. Inform Disable Enable Inform Interval: 604800 ACS URL: https://main.acs.telefonica.net:7004/cwmpWeb/WGCPEMgt ACS User Name: nombre largo posiblemente único ACS Password: ************** WAN Interface used by TR-069 client: Display SOAP messages on serial console (Disable) Enable Connection Request Authentication Connection Request User Name: nombre largo posiblemente único Connection Request Password: ******* Connection Request URL: http://83.53.57.148:7547/ ...........
Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...
No lo oculta, puesto que lo puedes ver en el router, y puedes ver los efectos cuando el del call center hace cosas y ves que la tele se resetea de repente, por ejemplo, que es como yo me di cuenta. Había visto la página del router, pero no sabía si lo usaban realmente. No lo documenta, como tampoco documenta nada de lo que está en ese router, y hay cosas complicadas que si las tocas te puedes quedar sin servicio: hay una vpn para la tele y otra para el VoIp, me parece. Y opciones raras por ahí. No es trivial reemplazar el router por uno tuyo. El mio es un sistema antiguo: está compuesto de un ONT, que digamos convierte de fibra a cable (y da servicio al telefono), de router y de desco para la tele. Ahora lo instalan todo en un solo aparato: te puedes imaginar que teniendo tres el lio de cables es gordo, detrás de la tele.
En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.
Claro. Es un acceso remoto para el administrador.
Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.
Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).
Claro. Pero si lo dejas cerrado pierdes también las actualizaciones, y sé que las hacen, automáticamente. Y no me apetece perder el servicio por haberles cerrado el paso.
[...]
En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.
Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa".
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
No sé exactamente qué se puede configurar, salvo que se puede desactivar, y poner la contraseña. Habrá variaciones según fabricantes, pero imagino que se puede definir la IP de acceso.
[...]
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
Exacto. Es lo mismo que te ponen en los servidores virtuales que se alquilan, te dan una consola de acceso para poder botarlo. Yo he estado en sitios con muchos edificios desperdigados. Cuando iban a instalar actualizaciones gordas te llamaban (salíamos a las tres) para que al irnos dejáramos los equipos encendidos. Y luego ellos en remoto (Windows) instalaban las cosas que necesitaban. El arranque usaba una imagen especial por red que hacía cosas - no era trabajo mio saber qué, así que no se más, pero autorizaba a las máquinas para funcionar. Si se encontraban con un equipo apagado el problema para encenderlo era serio, porque hubieran necesitado llamar a seguridad para encontrar a alguien con la llave del edificio y de la sala. Y luego la bronca al que se había dejado el equipo apagado, con arresto consiguiente. Allí les arrestaban, no se quedaban en simples broncas. No, los accesos remotos para administración remota hacen falta. Y no son puertas traseras porque ellos son los propietarios y los responsables de esos equipos, no yo. Si yo compro e instalo un ordenador de esos veo el acceso perfectamente en la BIOS y lo quito si no he comprado el servicio.
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Claro. El problema por el que yo avisaba es que hay un bug que permite entrar con contraseña en blanco, y que la gente puede tener un ordenador de estos sin ser conscientes de ello. Y efectivamente, la actualización es una actualización de BIOS, del firmware. Y puede no existir, y no se puede cerrar en el cortafuegos de la propia máquina. Es gordo, pero supuestamente sólo se accede desde la intranet.
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos. Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
Claro. Otra cosa es que los de Telefónica sean unos manazas. Se han cargado los departamentos de desarrollo propio, y los que quedan tienen pocos recursos. Se dedican al marketing y los negocios. Este equipo no lo han desarrollado ellos, lo han comprado a Comtrend, creo. En este caso creo que está bien hecho. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))