[lacnog] ¿Es NAT una caracteristica de seguridad?

Eduardo Trápani etrapani en gmail.com
Jue Dic 22 13:04:02 BRST 2011


>> Si se refiere a lo primero, entonces la respuesta es "Si. Porque para
>> poder realizar la traducción de direcciones el dispositivo exige que las
>> instancias de comunicacion sean iniciadas desde el interior de la red, y
>> por ende funciona como un firewall stateful"
> 
> Pero un stateful firewall muy raquítico IMHO porque no te permite
> filtrar lo que sale. Ademas su tabla de estado no le permite distinguir
> entre una conexión real iniciada dentro o entre un atacante externo que
> simplemente encontró el "hoyo" abierto para explotarlo.

Sí, puede ser raquítico, pero *es* stateful firewall.  Como decía la
definición que citaba antes un firewall puede ser bueno o malo, pero no
podemos discutir que lo sea o no.

Un mundo con conectividad total end-to-end *es mejor*.  Pero lo que yo
veo muchas veces en la "lucha" contra NAT es que en el afán de
destruirla se cae en errores gruesos de concepto que no hace más que
confundir y, a la larga, hacer que NAT siga ahí.  Este hilo tiene un par
de ejemplos.

Qué bueno que contestaste a Fernando, la de él fue para mí la mejor
respuesta, un "sí" y un "tal vez" desvestido de esa animosidad general
sobre el tema y además con justificación técnica.  Les dejo otra cita de
libro de Building Internet Firewalls que debería dejar contentos a
todos, a los que dicen/gritan "¡no es seguridad!" y a los que dicen
"pero yo me siento un poquito más seguro":

> Network address translation (NAT) [...] It is not actually a security technique, although it can provide a small amount of additional security.[1]

O sea, según ellos *no* es una técnica de seguridad pero *puede* proveer
seguridad adicional ... :)  Vieron que definir ese aspecto no es fácil
para nadie.

Saludos, Eduardo.

[1]
http://books.google.com/books?id=Q0ErhHGxNWcC&pg=PA103&lpg=PA103&dq=%22It+is+not+actually+a+security+technique,+although+it+can+provide+a+small+amount+of+additional+security%22&source=bl&ots=HcMrVbWvw7&sig=vifPbK-hBjuK5Q_RwDMWuYeJTZM&hl=eo



Más información sobre la lista de distribución LACNOG