Acceso al interfaz Web con user y password

Buenas, propongo.. como medida de seguridad, acceder al entorno web del Giga, mediate usuario y contraseña, no tiene porque ser las definidas en el sistema, se puede crear un .conf con los parametros y el usuario y password. a ser posible que este encriptado.

Es algo, que se echa de menos, viniendo de otros, firm... jeje. ya me entendeis.
porque de esta manera, nos pueden entrar por web y, borrar las grabaciones, y liarla cambiando parametros.

Nose que os parecera, pero me parece una buena idea. no creeis?

Yo no se como tienes tu montado esto tu. Pero yo no accedo a mi giga directamente desde internet, si no que tengo un apache que es publico y hace de proxy hacia el giga. Asi el apache me controla el tema del usuario y la password y accedo por https. Y mi giga esta bien escondidito en casa.

Habia algo en el klone para hacerlo, pero no estoy seguro de porque no se usa en el servidor web del giga.

@AzagraMac
Si te preocupa que te borren las grabaciones o te modifiquen la configuración a través de la interfaz web, ya tienes la opción de desactivarlo.

Respecto a la autorización por usuario, probablemente sí es una buena idea. El problema es que las ideas no se materializan solas y hace falta que alguien se tome la molestia de implementarlas...

N es el echo de que te borren las grabaciones, es el echo de que accedes al giga, a tocar ciertas cosas, sin ningun tipo de seguridad. Porque sino, porque no dejamos abierto el acceso ssh, telnet, ftp, etc.. sin contraseña ni nada. libre acceso de lectura y escritura a todo el sistema.

AL igual que para acceder por ssh nos pide user y password, por web, opino que se deveria por lo menos. pensar. jeje.

Saludos.

Te vuelvo a decir que no se trata de pensarlo, se trata de implementarlo.

La razón por la que puedes proteger el ssh, telnet, ftp por contraseña es que ya está esa funcionalidad en el código del programa y sólo se trata de añadir la configuración.

Aquí no se trata de configurar la autorización de acceso al interfaz web, se trata de escribir el código que permita gestionar esa autorización.

Respecto a lo de "tocar ciertas cosas, sin ningún tipo de seguridad", repito que puedes impedir que nadie toque nada, ni vea nada, de la configuración.

En cualquier caso, nadie te obliga a hacer el interfaz web accesible al mundo. Es tu elección hacerlo.

Ya puestos, ni siquiera estás obligado a activarlo...

Tienes la opción de acceder por ssh al giga y redirigir el puerto 80 de tu localhost al 80 del giga, de esa manera tendrías un puerto de ssh seguro que sería por el que te conectarías y nadie se podría conectar directamente al puerto 80.

Es la misma configuración que el acceso a través de internet al vdradmin, pero cambiando el puerto al 80.

En la wiki lo tienes:
http://www.assembla.com/wiki/show/VDR-M7x0/VDRAdmin-AM_Conexi%C3%B3n_segura_por_internet

Bastaría con cambiar la instrucción de conexión por ssh a:

ssh -p puertoacceso -l root -L 127.0.0.1:80:127.0.0.1:80 direccionipdeaccesoalVDRporinternetroutercasa

(el puerto de acceso es el del ssh no el 80)

Una vez conectado accedes al servidor web escribiendo en el navegador de internet:

http://localhost

Con esta conexión ya no se necesita ningún usuario ni contraseña con el servidor web puesto que la solicitamos a través del ssh. Yo las conexiones remotas que hago tanto con vdradmin como con el servidor web las hago así, y fue en este foro donde lo aprendí.

Si he puesto algún error, indicádmelo para cambiarlo, he colgado el mensaje con un poco de prisa, un saludo,
jb

Me imagino que lo que quiere hacer AzagraMac es acceder desde internet a la web del Giga, redirigiendo un puerto desde el router al puerto 80 del giga.

No veo necesidad de hacer eso, y eso sin mencionar el problema de seguridad que supondría... La opción que expone jb es muy válida. Yo me conecto al ssh de mi router, y redirecciono el puerto 10080 local al puerto 80 del giga (haciéndolo como indica jb, o utilizando el putty para windows), con lo que una vez conectado por ssh pongo en el navegador "http://localhost:10080" y me aparece la web del giga.

Creo que es la forma más segura de hacerlo.

Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

cambiar el puerto de escucha del giga. en lugar de 80.. el que sea.
Es una opcion.

Seria modificando el archivo /etc/services

Código:

root@m750t:~ # cat /etc/services
ftp      21/tcp
ssh      22/tcp         # SSH Remote Login Protocol
ssh      22/udp         # SSH Remote Login Protocol
telnet      23/tcp
www      80/tcp      http   # WorldWideWeb HTTP
www      80/udp         # HyperText Transfer Protocol
ntp      123/udp
pptpctrl   1723/tcp
netbios-ns 137/udp
netbios-ssn 139/tcp
microsoft-ds 445/tcp
root@m750t:~ #

zjuanma escribió:Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

Seria cuestion de redirigir el puerto a la IP del Giga. a noser que te conectes desde algun lugar, como puesto de trabajo y no te deje conectarte. por dicho puerto.

AzagraMac escribió:

zjuanma escribió:Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

Seria cuestion de redirigir el puerto a la IP del Giga. a noser que te conectes desde algun lugar, como puesto de trabajo y no te deje conectarte. por dicho puerto.

No creo que zjuanma se refiera a cambiar el puerto del web del giga o redirigir un puerto del router al puerto web del giga, si no que muchas veces un firewall no nos permite conectarnos al puerto ssh (como pones en el ejemplo del puesto de trabajo).

En mi caso, en el trabajo, hay un firewall que no me permite conectarme al puerto ssh de casa, por lo que en el router cambié este puerto para que fuera uno desde el que puedo salir desde el trabajo... con esto solucionado.

Te refieres, al puerto externo e interno. verdad?



Asi seria por ejemplo.
conectandome al puerto externo, me redireciona al 80 del giga.

atinar escribió:@AzagraMac
Si te preocupa que te borren las grabaciones o te modifiquen la configuración a través de la interfaz web, ya tienes la opción de desactivarlo.

Respecto a la autorización por usuario, probablemente sí es una buena idea. El problema es que las ideas no se materializan solas y hace falta que alguien se tome la molestia de implementarlas...

Creo que AzagraMac hace bien poniendo aquí todas las ideas que se le ocurren. A mi me paso igual al principio y me las echaron por tierra casi todas
Es verdad que hay que implementar las ideas, pero sin estas no se mejoraría nada.
Un saludo

mtps37 escribió:Creo que AzagraMac hace bien poniendo aquí todas las ideas que se le ocurren. A mi me paso igual al principio y me las echaron por tierra casi todas
Es verdad que hay que implementar las ideas, pero sin estas no se mejoraría nada.
Un saludo

Gracias por tu apoyo
El tema es ese. poner ideas, y ver que merece la pena, y que no. y luego... se pasa a probarlo e implantarlo.

Yo no sigo viendo mal, el echo de poner user y password. ademas... de redireccionar el puerto 80

Tened en cuenta que el servidor web del giga no es un apache ni nada parecido, y no sabemos como es de seguro. Lo de abrir a internet directamente (por NAT) el servidor web y exponer el giga quizas no sea tan buena idea. Igual que no es bueno abrirle el telnet o el ftp a internet.

Resumiendo todo lo que se ha dicho yo veo 2 soluciones sin implementar el control de usuario en el propio servidor web del giga, que son faciles y rapidas de llevar a cabo sin tocar nada:

1. El tema de ssh que ha comentado jb.

2. Utilizar otro servidor web (Apache, etc..) que haga de proxy inverso, se encargue de la seguridad (usuario, ssl, etc..) y redirija las peticiones al servidor web del giga. (yo lo tengo asi, y tan ricamente)

AzagraMac escribió:Te refieres, al puerto externo e interno. verdad?



Asi seria por ejemplo.
conectandome al puerto externo, me redireciona al 80 del giga.

Personalmente sólo pondría la redirección del puerto SSH, las otras las quitaría ya que no son seguras.

Lo único que tendrás que hacer luego para conectarte a la web del giga (sin redireccionar el puerto 80 en el router) es establecer una conexión ssh redireccionando el puerto 80 local al puerto 80 del giga (jb ha descrito como hacerlo desde linux, con windows se puede utilizar putty que es gráfico y fácil de usar). Además, con el ssh también se puede utilizar el protocolo sftp, que se trata de un ftp con una capa de cifrado con ssh, para transferir archivos.

Al final he acabado implementando autenticación de usuario.

De momento es o todo o nada. Si se activa, se protege todo el contenido. Para las páginas no supone mayor molestia porque una vez autentificados, el navegador reenvía las credenciales con cada petición por lo que sólo hace falta identificarse una vez por sesión, pero para ver las grabaciones es más pesado, porque se tiene que introducir nombre y contraseña cada vez (el vlc no reenvía las credenciales de una reproducción a la siguiente).

El método implementado es autenticación HTTP Básica. Es el más sencillo y tanto el nombre de usuario como la contraseña circulan por la red codificados en base64, lo que, en la práctica, quiere decir que no están encriptados, así que para los más temerosos las propuestas que se han dado en este hilo son mejor solución...

En cualquier caso, aunque no es la protección que uno pondría en la web de un banco, sí que servirá contra los mirones ocasionales.

Para que se active lo único que hay que hacer es poner el nombre de usuario y contraseña en la página de configuración.

atinar escribió:por atinar Hoy a las 3:49 am

¡¡¡3:49 am!!! ¡¡¡y eso que es jueves (bueno, viernes)!!! Oye atinar, ¡¡¿no duermes nunca?!!

Me parece genial esta implementación, para los que quieran acceder desde internet, pero como comentas de modo poco seguro, aunque tal vez suficiente para proteger los "secretos" del giga .

Personalmente, si tuviera que utilizar esta funcionalidad (me parece que seguiré accediendo por ssh y redirigiendo puertos, aunque no descarto hacer algunas pruebas ), lo haría utilizando un puerto distinto al 80, redirigiría, en el router el puerto 20000 (u otro que no coincida con ningún servicio en particular) al 80 del giga. Esto es útil ya que los programas que automáticamente buscan servicios para determinar posibles vulnerabilidades no suelen escanear todos los puertos, así se tiene un extra de protección. Redirigiendo el puerto se puede tener el problema de un firewall, por ejemplo, si se accede desde el trabajo, puede que el firewall del trabajo bloquee la salida de ese puerto, así que habrá que buscar alguno que no esté bloqueado por el firewall.

Buen trabajo, como siempre, atinar.

pjllaneras escribió:

atinar escribió:por atinar Hoy a las 3:49 am

¡¡¡3:49 am!!! ¡¡¡y eso que es jueves (bueno, viernes)!!! Oye atinar, ¡¡¿no duermes nunca?!!

Esta actuando con nocturnidad y alevosía... .

Atinar@ Es realmente impresionante todas las vueltas de tuerca que das constantemente al interfaz web del Giga. El aplicar autentificación en la interfaz web, el solo hecho que este activada ya representa todo un nivel de seguridad importante, por muy liviana que esta sea ... Una vez más, felicitarte por tu contribución desinteresada al proyecto VDR.

Salu2,

Pues que razón tiene Krako, mis felicitaciones también para atinar por el continuo esfuerzo de mejora que se va haciendo en el interfaz web.

Por supuesto las felicitaciones se hacen extensivas a todos los desarrolladores, cuyo trabajo únicamente se recompensa con el ánimo que los menos afortunados intelectualmente y con menos conocimientos de informática, les podemos dar.

Gracias por vuestro trabajo desinteresado.

atinar escribió:

En cualquier caso, aunque no es la protección que uno pondría en la web de un banco, sí que servirá contra los mirones ocasionales.

Para que se active lo único que hay que hacer es poner el nombre de usuario y contraseña en la página de configuración.

Me parece estupendo, ya que entro por internet a uno de mis Gigas, y no he podido hacerlo por SSH (aún siguiendo la guía), ya que el firewall de mi trabajo tiene excesivas restricciones.

Gracias Atinar por tan espléndido trabajo !

pjllaneras escribió:¡¡¡3:49 am!!! ¡¡¡y eso que es jueves (bueno, viernes)!!! Oye atinar, ¡¡¿no duermes nunca?!!

Bueno... la hora a la que me he levantado tampoco ha sido muy razonable.

Krako escribió:... tu contribución desinteresada...

¿Desinteresada? ¡¿Cómo que desinteresada?! ¡¡¡¿Era mentira entonces lo del dinero?!!!

;P

Instalado en los dos Gigas. Router configurado para los dos. ! Ya puedo grabar sin estar en casa !

Tema separado : Interfaz web con varios Gigaset

Salu2,

Gracias por el curro y enhorabuena, atinar. Realmente es lo único que le faltaba a esa pedazo de interfaz web 
Saludos.

AzagraMac escribió:cambiar el puerto de escucha del giga. en lugar de 80.. el que sea.
Es una opcion.

Seria modificando el archivo /etc/services

Código:

root@m750t:~ # cat /etc/services
ftp      21/tcp
ssh      22/tcp         # SSH Remote Login Protocol
ssh      22/udp         # SSH Remote Login Protocol
telnet      23/tcp
www      80/tcp      http   # WorldWideWeb HTTP
www      80/udp         # HyperText Transfer Protocol
ntp      123/udp
pptpctrl   1723/tcp
netbios-ns 137/udp
netbios-ssn 139/tcp
microsoft-ds 445/tcp
root@m750t:~ #

zjuanma escribió:Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

Seria cuestion de redirigir el puerto a la IP del Giga. a noser que te conectes desde algun lugar, como puesto de trabajo y no te deje conectarte. por dicho puerto.

He cambiado los 2 puertos 80 por otros números y no me ha hecho ni caso...
Hay que hacer algo más?