[lacnog] ¿Es NAT una caracteristica de seguridad?

Carlos M. Martinez carlosmarcelomartinez en gmail.com
Jue Dic 22 14:17:54 BRST 2011


Yo lo unico que pido es que no me obliguen a hacer NAT. Yo puedo vivir
perfectamente sin el, y no necesito el "epsilon" adiconal de seguridad
que me puede dar.

En un mundo IPv4 + CGN, no tengo opcion, y peor aun, caigo en el hecho
de que el NAT ni siquiera lo administro yo.

Y debemos ser cuidadosos, es irresponsable decirle a alguien que "esta
seguro porque tiene NAT", o "vas a estar mas seguro ahora que estas
atras del CGN de tu ISP".

s2

Carlos

On 12/22/11 1:04 PM, Eduardo Trápani wrote:
>>> Si se refiere a lo primero, entonces la respuesta es "Si. Porque para
>>> poder realizar la traducción de direcciones el dispositivo exige que las
>>> instancias de comunicacion sean iniciadas desde el interior de la red, y
>>> por ende funciona como un firewall stateful"
>> Pero un stateful firewall muy raquítico IMHO porque no te permite
>> filtrar lo que sale. Ademas su tabla de estado no le permite distinguir
>> entre una conexión real iniciada dentro o entre un atacante externo que
>> simplemente encontró el "hoyo" abierto para explotarlo.
> Sí, puede ser raquítico, pero *es* stateful firewall.  Como decía la
> definición que citaba antes un firewall puede ser bueno o malo, pero no
> podemos discutir que lo sea o no.
>
> Un mundo con conectividad total end-to-end *es mejor*.  Pero lo que yo
> veo muchas veces en la "lucha" contra NAT es que en el afán de
> destruirla se cae en errores gruesos de concepto que no hace más que
> confundir y, a la larga, hacer que NAT siga ahí.  Este hilo tiene un par
> de ejemplos.
>
> Qué bueno que contestaste a Fernando, la de él fue para mí la mejor
> respuesta, un "sí" y un "tal vez" desvestido de esa animosidad general
> sobre el tema y además con justificación técnica.  Les dejo otra cita de
> libro de Building Internet Firewalls que debería dejar contentos a
> todos, a los que dicen/gritan "¡no es seguridad!" y a los que dicen
> "pero yo me siento un poquito más seguro":
>
>> Network address translation (NAT) [...] It is not actually a security technique, although it can provide a small amount of additional security.[1]
> O sea, según ellos *no* es una técnica de seguridad pero *puede* proveer
> seguridad adicional ... :)  Vieron que definir ese aspecto no es fácil
> para nadie.
>
> Saludos, Eduardo.
>
> [1]
> http://books.google.com/books?id=Q0ErhHGxNWcC&pg=PA103&lpg=PA103&dq=%22It+is+not+actually+a+security+technique,+although+it+can+provide+a+small+amount+of+additional+security%22&source=bl&ots=HcMrVbWvw7&sig=vifPbK-hBjuK5Q_RwDMWuYeJTZM&hl=eo
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog



Más información sobre la lista de distribución LACNOG