[lacnog] ¿Es NAT una caracteristica de seguridad?

Alejandro Acosta alejandroacostaalamo en gmail.com
Jue Dic 22 01:46:47 BRST 2011


Hola lista,
  Y siguiendo este orden de ideas que opinan de un screening router
antes de un Firewall?

AA,

2011/12/21 Roque Gagliano <rgaglian en gmail.com>:
> Carlos,
>
>> Si vemos la seguridad en el contexto mas amplio de "business continuity"
>> (como es la aproximacion mas reciente de Carnegie Mellon), el NAT
>> interno es peor para las organizaciones que no tenerlo, y el NAT de
>> borde directamente hoy no aporta nada. Sobre todo cuando las
>> organizaciones siguen usando Windows XP.
>
> Alguien conoce alguna organización que use NAT como medida de
> seguridad o hasta simple filtrado de paquetes? (no estoy hablando de
> tu router en tu casa). El uso de simple filtrados se eliminó desde que
> se creo el iptables o ipfw o pf (para mencionar las soluciones
> open-source) y eso hace más de una década....
>
> Mi punto sobre el artículo es: "who cares", si no usas al menos
> "statefull" firewalling vas por mal camino.
>
> Roque
>
> PD: Conozco casos en que se usan simple filtros de paquetes por temas
> de performance, pero en general son usados por gente que tiene muy
> claro lo que está haciendo.
>
>> cheers!
>>
>> C.
>>
>> On 12/21/11 5:01 PM, Fernando Gont wrote:
>>> On 12/21/2011 12:43 PM, Carlos M. Martinez wrote:
>>>> Encontre esto sin querer hoy (lo vi pasar en Twitter).
>>>>
>>>> http://blog.ioshints.info/2011/12/is-nat-security-feature.html
>>>>
>>>> Me gusta especialmente el ultimo comentario "Don't give me the 'let's
>>>> secure the network by hiding the IP addresses'. Don't even mention it in
>>>> the comments" :=))))
>>> Mi respuesta al interrogante es que "a la pregunta le falta información
>>> para ser precisa" ;-)
>>>
>>> No queda en claro si se refiere al "NAT" como dispositivo, o a "NAT"
>>> como funcion de traducir direcciones.
>>>
>>> Si se refiere a lo primero, entonces la respuesta es "Si. Porque para
>>> poder realizar la traducción de direcciones el dispositivo exige que las
>>> instancias de comunicacion sean iniciadas desde el interior de la red, y
>>> por ende funciona como un firewall stateful"
>>>
>>> Si se refiere a lo segundo, la respuesta es "La funcionalidad de NAT
>>> oculta (en cierta medida) la topología de la red. De acuerdo a que
>>> entienda Ud. por 'caracteristica de seguridad' esto puede (o no) ser
>>> considerado una caracteristica de segurdad.".
>>>
>>> Un abrazo,
>>
>>
>> --
>>
>> --
>> Carlos M. Martinez
>> LACNIC R+D
>> http://www.labs.lacnic.net
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>
>
>
> --
>
>
> At least I did something
> Don Draper - Mad Men
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog



Más información sobre la lista de distribución LACNOG