[lacnog] ¿Es NAT una caracteristica de seguridad?

Arturo Servin arturo.servin en gmail.com
Mie Dic 21 17:44:09 BRST 2011


	Iteración 2:

	Si tengo que escoger entre filtrado de paquetes y NAT para proteger una aplicación conectada al Internet prefiero usado el filtrado de paquetes.

	Si nos metemos a que tiene que mantener estado ya la complicamos. 

	Mi punto es que NAT por si solo es totalmente inútil para proteger algo, cuando otras tecnologías como filtrado de paquetes aunque incompletas te dan cierto nivel de protección.

Saludos,
-as

On 21 Dec 2011, at 17:28, Eduardo Trápani wrote:

>>> Sin definiciones las dos cosas son iguales de ..., digamos, "incompletas".
>> 
>> 	Totalmente. Pero si tengo que escoger prefiero tener un Firewall sin NAT que un NAT sin firewall.
> 
> :) Eso no aclara mucho, esa frase puede no tener ningún sentido según tu
> literatura sobre el tema (cito más abajo).  Supongo que te referís a, en
> la gama de cosas que hace un firewall, si tenés que elegir entre
> filtrado (sin modificar) de paquetes y NAT te quedás con filtrado de
> paquetes.  Si les llamamos a las cosas por su nombre y reconocemos sus
> virtudes (parciales) entonces es más fácil.  ¿Qué es un firewall?
> 
> Según O'Reilly Building Internet Firewalls 2nd Edition (porque no voy a
> citar la Wikipedia :)), en la página 7, en la introducción:
> 
> "Firewall technologies: packet filtering, proxying, network address
> translation, virtual private
> networks"
> 
> O sea, hay cosas que se solapan.  Cuando se empieza a argumentar como si
> fueran mundos disjuntos, ahí empiezan los problemas.  Y "preferir"
> firewall sin NAT a un NAT sin firewall puede ser bien raro, porque NAT
> es un tecnología de firewall (según O'Reilly en todo caso).
> 
> Más adelante, en 1.6 Religious Arguments, hablando de la definición de
> firewall, dice:
> 
> "If it's supposed to keep the bad guys out of your network, it's a
> firewall. If it succeeds in keeping the bad guys out, while still
> letting you happily use your network, it's a good firewall; if it
> doesn't, it's a bad firewall. That's all there is to it."
> 
> O sea, *en esa* definición, NAT por sí solo *es* un firewall.  ¿Malo o
> bueno?  Ese es otro tema.  ¿Tiene razón el autor en definir un firewall
> así?  Tal vez sí, tal vez no, pero no es fácil desestimarlo.
> 
> Eduardo.
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog




Más información sobre la lista de distribución LACNOG