[lacnog] ¿Es NAT una caracteristica de seguridad?
Fernando Gont
fernando en gont.com.ar
Jue Dic 22 15:01:44 BRST 2011
On 12/22/2011 07:44 AM, Arturo Servin wrote:
> <snip>
>
> On 21 Dec 2011, at 17:01, Fernando Gont wrote:
>
>> Si se refiere a lo primero, entonces la respuesta es "Si. Porque para
>> poder realizar la traducción de direcciones el dispositivo exige que las
>> instancias de comunicacion sean iniciadas desde el interior de la red, y
>> por ende funciona como un firewall stateful"
>
> <snip>
>
> Pero un stateful firewall muy raquítico IMHO porque no te permite
> filtrar lo que sale.
De acuerdo. Pero en muchisimos de los casos donde pones un NAT, estoy
directamente no lo harías.
Por un lado, porque directamente l objectivo es "proteger al interior
del exterior".
Por otro, porque cuando se instala un NAT por ejemplo en un ambiente
"hogareño", en general no hay personal técnico involucrado.
> Ademas su tabla de estado no le permite distinguir
> entre una conexión real iniciada dentro o entre un atacante externo que
> simplemente encontró el "hoyo" abierto para explotarlo.
El NAT cumple su funcion, que es proteger al interior del exterior. Si
el atacante ya logro de algun modo entrar al interior de la red, game
over. Eso es una "threat model" distinto al del NAT.
Un abrazo,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución LACNOG