[lacnog] ¿Es NAT una caracteristica de seguridad?

Eduardo Trápani etrapani en gmail.com
Mie Dic 21 17:28:57 BRST 2011


>> Sin definiciones las dos cosas son iguales de ..., digamos, "incompletas".
> 
> 	Totalmente. Pero si tengo que escoger prefiero tener un Firewall sin NAT que un NAT sin firewall.

:) Eso no aclara mucho, esa frase puede no tener ningún sentido según tu
literatura sobre el tema (cito más abajo).  Supongo que te referís a, en
la gama de cosas que hace un firewall, si tenés que elegir entre
filtrado (sin modificar) de paquetes y NAT te quedás con filtrado de
paquetes.  Si les llamamos a las cosas por su nombre y reconocemos sus
virtudes (parciales) entonces es más fácil.  ¿Qué es un firewall?

Según O'Reilly Building Internet Firewalls 2nd Edition (porque no voy a
citar la Wikipedia :)), en la página 7, en la introducción:

"Firewall technologies: packet filtering, proxying, network address
translation, virtual private
networks"

O sea, hay cosas que se solapan.  Cuando se empieza a argumentar como si
fueran mundos disjuntos, ahí empiezan los problemas.  Y "preferir"
firewall sin NAT a un NAT sin firewall puede ser bien raro, porque NAT
es un tecnología de firewall (según O'Reilly en todo caso).

Más adelante, en 1.6 Religious Arguments, hablando de la definición de
firewall, dice:

"If it's supposed to keep the bad guys out of your network, it's a
firewall. If it succeeds in keeping the bad guys out, while still
letting you happily use your network, it's a good firewall; if it
doesn't, it's a bad firewall. That's all there is to it."

O sea, *en esa* definición, NAT por sí solo *es* un firewall.  ¿Malo o
bueno?  Ese es otro tema.  ¿Tiene razón el autor en definir un firewall
así?  Tal vez sí, tal vez no, pero no es fácil desestimarlo.

Eduardo.



Más información sobre la lista de distribución LACNOG