[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Arturo Servin aservin en lacnic.net
Vie Feb 1 08:38:42 BRST 2013 


On 31/01/2013 22:16, Fernando Gont wrote:
> On 01/31/2013 08:50 PM, Arturo Servin wrote:
>>
>>>> 	Protegidos? con NAT?
>>>
>>> El NAT tiene, como efecto colateral, funcionamiento de un "firewall
>>> diodo" (deja pasar cosas en una sola direccion).
>>
>> 	Y en la otra cuando el agujero esta abierto. No es facil encontrar el
>> agujero pero de que existe, existe.
> 
> Esa es exactamente la misma limitacion que puede tener un firewall.

	No el NAT solo ve las relaciones IP-IP y puerto para la translacion. El
firewall de entrada tiene que verificar que IPs fuente Y destino, Y
puertos fuente Y destino hagan match. Al NAT eso no le importa.

	Si ademas agregas un FW un poco mas inteligente incluso puedes ver si
mas alla de la capa 4 la actividad es normal o no, cosa que con un NAT
no puedes.

	El NAT provee cierta seguridad si, pero esta lejos de ser un dispostivo
de seguridad que se compare con un FW.

> 
> 
> 
>>>> 	Es más, creo que ahora con IPv6 están mejor protegidos porque algunos
>>>> ISPs en los CPEs de IPv6 instalan un Firewall (de verdad, no un NAT):
>>>>
>>>> draft-v6ops-vyncke-balanced-ipv6-security
>>>
>>> Tal vez alguno lo vea como una invitación para que los ISPs empiecen a
>>> filtrar puertos específicos en v6... Lo cual no es muy "open" que digamos...
>>
>> 	Es la configuracion por default que viene en el CPE lo que se propone.
>> Luego como usuario abres o cierras lo que quieras.
> 
> <politically-incorrect>
> Me parece una boludez.
> 
> El default tiene que hacer un simil con v4, que es a lo que la gente
> está acostumbrada. Luego, el que quiera, que lo cambie.
> </politially-incorrect>

	De hecho eso es.


> 
> 
> 
>>>> 	Y al final, la seguridad no es responsabilidad de mi ISP, es mia!
>>>
>>> De ambos.
>>>
>>> Del miso modo que al tomar un micro es mia la responsabilidad de ponerme
>>> el cinturon de seguridad, pero es del chofer la de manejar bien, y del
>>> mecánico chequear que el micro este en buen estado.
>>>
>>> e.g. Buen micro + cinturon de seguridad + chofer ebrio no suele llegar a
>>> bueno puerto... :-)
>>
>> 	Totalmente, en la misma analogia. Te sientes seguro en el micro?
> 
> No tomo micros, salvo que no me quede otra (*). Y cuando los tomo, me
> siento en el medio del micro.
> 
> (*) Data-point: Hace un par de años me invitaron a dar una charla en la
> provincia de Córdoba (Argentina). Ellos proponian transportarse en
> micro. Yo les dije que mas alla de que en micro termina siendo un viaje
> de 12 horas, el camino a Cordoba es peligroso, y prefería ir en avion
> (no me importaba recortar en gastos de alojamiento, o comidas). Y no
> hice el viaje justamente por eso.

	Bueno, acabas de probar mi punto. Yo por eso no confio en que mi ISP me
de seguridad y encripto mi trafico, pongo mis DNSs, etc.

> 
> Un abrazo,
> 

Slds
as

Más información sobre la lista de distribución LACNOG