[lacnog] ¿Es NAT una caracteristica de seguridad?

Carlos M. Martinez carlosm3011 en gmail.com
Mie Dic 21 18:29:39 BRST 2011


Mi punto es que tenemos que dejar de confundir filtrado con estado
(firewall) de traduccion de direcciones (nat-pt). Es perfectamente
posible tener la misma seguridad (o mejor, podria llegar a argumentar)
usando direcciones publicas a ambos lados de la "caja X"
(nat/firewall/etc) que usando direcciones privadas de un lado.

Y aca ni me puse a hablar de los NATs internos que se ven en las
organizaciones, como formas de "aislar" y "ocultar" (y arreglar macanas
en mas de un caso tambien), que tienen como resultado final aplicaciones
que se rompen todo el tiempo y que son imposibles de depurar.

Si vemos la seguridad en el contexto mas amplio de "business continuity"
(como es la aproximacion mas reciente de Carnegie Mellon), el NAT
interno es peor para las organizaciones que no tenerlo, y el NAT de
borde directamente hoy no aporta nada. Sobre todo cuando las
organizaciones siguen usando Windows XP.

cheers!

C.

On 12/21/11 5:01 PM, Fernando Gont wrote:
> On 12/21/2011 12:43 PM, Carlos M. Martinez wrote:
>> Encontre esto sin querer hoy (lo vi pasar en Twitter).
>>
>> http://blog.ioshints.info/2011/12/is-nat-security-feature.html
>>
>> Me gusta especialmente el ultimo comentario "Don't give me the 'let's
>> secure the network by hiding the IP addresses'. Don't even mention it in
>> the comments" :=))))
> Mi respuesta al interrogante es que "a la pregunta le falta información
> para ser precisa" ;-)
>
> No queda en claro si se refiere al "NAT" como dispositivo, o a "NAT"
> como funcion de traducir direcciones.
>
> Si se refiere a lo primero, entonces la respuesta es "Si. Porque para
> poder realizar la traducción de direcciones el dispositivo exige que las
> instancias de comunicacion sean iniciadas desde el interior de la red, y
> por ende funciona como un firewall stateful"
>
> Si se refiere a lo segundo, la respuesta es "La funcionalidad de NAT
> oculta (en cierta medida) la topología de la red. De acuerdo a que
> entienda Ud. por 'caracteristica de seguridad' esto puede (o no) ser
> considerado una caracteristica de segurdad.".
>
> Un abrazo,


-- 

--
Carlos M. Martinez
LACNIC R+D
http://www.labs.lacnic.net




Más información sobre la lista de distribución LACNOG