[lacnog] ¿Es NAT una caracteristica de seguridad?

Roque Gagliano rgaglian en gmail.com
Mie Dic 21 18:36:56 BRST 2011


Carlos,

> Si vemos la seguridad en el contexto mas amplio de "business continuity"
> (como es la aproximacion mas reciente de Carnegie Mellon), el NAT
> interno es peor para las organizaciones que no tenerlo, y el NAT de
> borde directamente hoy no aporta nada. Sobre todo cuando las
> organizaciones siguen usando Windows XP.

Alguien conoce alguna organización que use NAT como medida de
seguridad o hasta simple filtrado de paquetes? (no estoy hablando de
tu router en tu casa). El uso de simple filtrados se eliminó desde que
se creo el iptables o ipfw o pf (para mencionar las soluciones
open-source) y eso hace más de una década....

Mi punto sobre el artículo es: "who cares", si no usas al menos
"statefull" firewalling vas por mal camino.

Roque

PD: Conozco casos en que se usan simple filtros de paquetes por temas
de performance, pero en general son usados por gente que tiene muy
claro lo que está haciendo.

> cheers!
>
> C.
>
> On 12/21/11 5:01 PM, Fernando Gont wrote:
>> On 12/21/2011 12:43 PM, Carlos M. Martinez wrote:
>>> Encontre esto sin querer hoy (lo vi pasar en Twitter).
>>>
>>> http://blog.ioshints.info/2011/12/is-nat-security-feature.html
>>>
>>> Me gusta especialmente el ultimo comentario "Don't give me the 'let's
>>> secure the network by hiding the IP addresses'. Don't even mention it in
>>> the comments" :=))))
>> Mi respuesta al interrogante es que "a la pregunta le falta información
>> para ser precisa" ;-)
>>
>> No queda en claro si se refiere al "NAT" como dispositivo, o a "NAT"
>> como funcion de traducir direcciones.
>>
>> Si se refiere a lo primero, entonces la respuesta es "Si. Porque para
>> poder realizar la traducción de direcciones el dispositivo exige que las
>> instancias de comunicacion sean iniciadas desde el interior de la red, y
>> por ende funciona como un firewall stateful"
>>
>> Si se refiere a lo segundo, la respuesta es "La funcionalidad de NAT
>> oculta (en cierta medida) la topología de la red. De acuerdo a que
>> entienda Ud. por 'caracteristica de seguridad' esto puede (o no) ser
>> considerado una caracteristica de segurdad.".
>>
>> Un abrazo,
>
>
> --
>
> --
> Carlos M. Martinez
> LACNIC R+D
> http://www.labs.lacnic.net
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog



-- 


At least I did something
Don Draper - Mad Men



Más información sobre la lista de distribución LACNOG