[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Sab Jun 9 19:39:24 BRT 2007 

Igual tu eres uno de los que promociona la mejor calidad de servicio y mejor
seguridad de IPv6 :-)

Yo desde luego empiezo todos mis seminarios explicando a la gente que IPv6
no tiene mejor calidad de servicio ni mejor seguridad, sino que preporcionar
ciertas "herramientas" que ayudan en esos campos, pero que hay que continuar
"asegurando" nuestras redes igual que con IPv4.

Sin embargo, se diga lo que se diga, NAT no oculta la red, ni ofrece
privacidad, ni seguridad, y mas bien la dificulta, aparte de todo lo ya
mencinoado hasta ahora.

De todos modos creo que este es un debate de sordos, al menos para algunos,
asi que quizas es mejor que lo dejemos ya, porque como decia en mi primer
email, estamos perdiendo el tiempo en algo harto discutido y que lo unico
que demuestra es talibanismos de algunos.

Saludos,
Jordi




> De: Fernando Gont <fernando en gont.com.ar>
> Responder a: <seguridad en lacnic.net>
> Fecha: Sat, 09 Jun 2007 19:07:36 -0300
> Para: <seguridad en lacnic.net>
> Asunto: Re: [LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista
> de NANOG)
> 
> At 04:52 p.m. 08/06/2007, you wrote:
> 
>>> Llevalo a otro ambito: En un ambito de combate
>>> belico, vos crees que un ejercito revelaria sus posicion, etc., etc., etc.?
>> 
>> El simil no es correcto. Es como decir que en un ámbito de conflicto
>> bélico un ejercito se tomaria el trabajo de no utilizar los nombres
>> reales de su personal, y en su lugar utilizaria nombres ficticios. O
>> peor aún, que dentro del cuartel todos usan sus nombres reales, pero al
>> salir de la puerta del cuartel, todos se llaman "Pedro Perez".
> 
> Ambas cosas son utilizads en la practica, sin la
> necesidad de llegar a ejemplos extremos como "ambito de conflicto".
> En Defensa, la ley es simple: No se te va a dar
> mas informacion de la que realmente necesitas
> saber para poder realizar tu trabajo.
> 
> 
> 
>> Y vuelvo a preguntar, que beneficios trae el "oscurecer" los nombres
>> reales de tu personal? Es realmente útil el que todos se llamen "Pedro
>> Perez"?
> 
> El punto no es que todos tengan el mismo, sino
> que sea dificultoso llegar al objetivo con la
> informacion que es publicamente disponible.
> 
> 
> 
>>> Y que es lo que te hace pensar que, en el caso de
>>> la defensa de una red de computadoras, la
>>> situacion es tan diametralmente opuesta como para
>>> que brindar informacion sobre la red
>> libremente sea algo de poca relevancia?
>> 
>> Sip. Porque me hace concentrar en lo que realmente es importante: en
>> poder detener un ataque, y no confiar en que no va a haber un ataque
>> porque mis equipos son inalcanzables.
> 
> Eso asume una gran cantidad de cosas que, o bien
> nadie las argumento en la lista, o son imposibles de saber. Ejemplo:
> 
> * No recuerdo que nadie haya argumentado que por
> poner un NAT, se tenian que olvidar de la seguridad de sus sistemas.
> * "Poder denter un ataque"??? - Eso asume que vos
> puedas saber qué te van a atacar, cómo lo harán,
> y asume *aparte* que el ataque en si es
> defendible. Esta es una situacion un tanto.... irreal. :-)
> 
> Lease: Yo no tengo fanatismo ni a favor ni en
> contra de los NATs/PATs. Simplemente me parece
> que tienen algunas caracteristicas interesantes.
> Y algunas de ellas pueden ser utiles para la
> seguridad de mi red. Bajo ningun punto de vista
> *baso* la seguridad de mi red en NATs/PATs. Es un elemento adicional.
> 
> Para que la gente saque a sus NATs va a haber que
> darle un motivo *real* para hacerlo. Generar
> temor con "nos quedamos sin direcciones IP" (que,
> si, ha dado algo de resultado al momento),
> generar mitos sobre "la calidad de servicio que
> obtendremos con IPv6", como se solucionaran
> nuestros problemas de seguridad con IPv6, etc....
> no parecen ser los mejores motivadores.
> 
> Si el esfuerzo de implantar IPv6 se hubiera hecho
> diez años atras, estimo que la situacion seria
> otra. Hoy por hoy, con las tecnologias que la
> industria ha producido (por ej., NAT/PAT)
> mientras la IETF trabajaba en "nuevos"
> protocolos, muchos sienten que no hay motivacion
> suficiente para dejar de utilizar las tecnologias que actualmente utilizan.
> 
> Saludos,
> 
> -- 
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en acm.org
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 
> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad




**********************************************
The IPv6 Portal: http://www.ipv6tf.org

Bye 6Bone. Hi, IPv6 !
http://www.ipv6day.org

This electronic message contains information which may be privileged or confidential. The information is intended to be for the use of the individual(s) named above. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, including attached files, is prohibited.

Más información sobre la lista de distribución Seguridad