[lacnog] ¿Es NAT una caracteristica de seguridad?

Fernando Gont fernando en gont.com.ar
Jue Dic 22 15:26:05 BRST 2011


On 12/22/2011 01:17 PM, Carlos M. Martinez wrote:
> Yo lo unico que pido es que no me obliguen a hacer NAT. 

El problema  no es el NAT en sí, sino que te obliguen.

Si tu ISP obliga a todo el mundo a usar algo que *vos* crees que es
bueno o conveniente.... estarías de acuerdo?

Creo que la "pelea" debe focalizarse sobre la libertad de elegir, y no
sobre si lo que me quieren imponer es bueno o malo. De hecho, focalizar
en esto ultimo significa perder la batalla mas importante: aceptar que
puedan imponerte algo.

Mas allá de eso, la cuestión tiene su complejidad, debido a que en
muchisimos casos los ISP nvolucrados son empresas privadas, y *no* parte
de los estados nacionales. Entonces, mas alla de opinar y optar por
cambiar de proveedor, me *pregunto* hasta que punto uno puede condenar
sus decisiones.



> En un mundo IPv4 + CGN, no tengo opcion, y peor aun, caigo en el
> hecho de que el NAT ni siquiera lo administro yo.

Nuevamente, el problema ahi es la imposición, y la perdida de libertad.



> Y debemos ser cuidadosos, es irresponsable decirle a alguien que
> "esta seguro porque tiene NAT", 

Es irresponable decirle a alguien "estás seguro". *Nadie* está seguro.
Nuetro trabajo se limita administar riesgos y/o a mitigar o eliminar
algunas vulnerabilidades.

En todo caso, uno puede decir "estas 'seguro' frente a *determinada*
amenza"...


> o "vas a estar mas seguro ahora que estas atras del CGN de tu ISP".

Es tan irresponsable como decirle a los usuarios que van a estar mas
seguros con IPv6, o que van a tener mejor QoS con IPv6, etc.

Como siempre, el problema no es ni CGN ni IPv6 en sí, sino que en
comunidades técnicas se manejen ideas que no resistan el mas minimo
análisis técnico.

Evidentemente, la gente del CGN ahora también tiene su marketing, el
cual en la mayoria de los casos debería ser rebautizado como "mentiring" :-)

Un abrazo,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1






Más información sobre la lista de distribución LACNOG