[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks
Fernando Gont
fgont en si6networks.com
Vie Feb 1 09:06:43 BRST 2013
On 02/01/2013 07:38 AM, Arturo Servin wrote:
>>>> El NAT tiene, como efecto colateral, funcionamiento de un "firewall
>>>> diodo" (deja pasar cosas en una sola direccion).
>>>
>>> Y en la otra cuando el agujero esta abierto. No es facil encontrar el
>>> agujero pero de que existe, existe.
>>
>> Esa es exactamente la misma limitacion que puede tener un firewall.
>
> No el NAT solo ve las relaciones IP-IP y puerto para la translacion. El
> firewall de entrada tiene que verificar que IPs fuente Y destino, Y
> puertos fuente Y destino hagan match. Al NAT eso no le importa.
El NAT te habilita solamente las conexiones salientes. Es super normal
implementar lo mismo mediante un firewall (por ej., con keep-state en
OpenBSD PF).
Con esas reglas, solo "puede entrar" un paquete correspondiente a una
conexion que se inicio desde el interior. Y en tal caso, es lo mismo si
esa funcionalidad la estas implementando con un NAT, o con un fw.
> Si ademas agregas un FW un poco mas inteligente incluso puedes ver si
> mas alla de la capa 4 la actividad es normal o no, cosa que con un NAT
> no puedes.
A esa altura ya no se trata de un firewall, sino de un IPS. Firewalls
como OpenBSD, iptables y demas, no pueden hacer eso que decis.
> El NAT provee cierta seguridad si, pero esta lejos de ser un dispostivo
> de seguridad que se compare con un FW.
Depende de que es lo que uno entienda por fw. Algo que evalua la trama
de aplicación, es a mi criterio un IPS, y no un fw.
>>>>> Es más, creo que ahora con IPv6 están mejor protegidos porque algunos
>>>>> ISPs en los CPEs de IPv6 instalan un Firewall (de verdad, no un NAT):
>>>>>
>>>>> draft-v6ops-vyncke-balanced-ipv6-security
>>>>
>>>> Tal vez alguno lo vea como una invitación para que los ISPs empiecen a
>>>> filtrar puertos específicos en v6... Lo cual no es muy "open" que digamos...
>>>
>>> Es la configuracion por default que viene en el CPE lo que se propone.
>>> Luego como usuario abres o cierras lo que quieras.
>>
>> <politically-incorrect>
>> Me parece una boludez.
>>
>> El default tiene que hacer un simil con v4, que es a lo que la gente
>> está acostumbrada. Luego, el que quiera, que lo cambie.
>> </politially-incorrect>
>
> De hecho eso es.
No vi en v4 ningun CPE que solo filtre conexiones entrantes a
determinados puertos.
>>>> Del miso modo que al tomar un micro es mia la responsabilidad de ponerme
>>>> el cinturon de seguridad, pero es del chofer la de manejar bien, y del
>>>> mecánico chequear que el micro este en buen estado.
>>>>
>>>> e.g. Buen micro + cinturon de seguridad + chofer ebrio no suele llegar a
>>>> bueno puerto... :-)
>>>
>>> Totalmente, en la misma analogia. Te sientes seguro en el micro?
>>
>> No tomo micros, salvo que no me quede otra (*). Y cuando los tomo, me
>> siento en el medio del micro.
>>
>> (*) Data-point: Hace un par de años me invitaron a dar una charla en la
>> provincia de Córdoba (Argentina). Ellos proponian transportarse en
>> micro. Yo les dije que mas alla de que en micro termina siendo un viaje
>> de 12 horas, el camino a Cordoba es peligroso, y prefería ir en avion
>> (no me importaba recortar en gastos de alojamiento, o comidas). Y no
>> hice el viaje justamente por eso.
>
> Bueno, acabas de probar mi punto. Yo por eso no confio en que mi ISP me
> de seguridad y encripto mi trafico, pongo mis DNSs, etc.
Tu trafico *pasa* por el ISP. De modo que tu ISP puede hacerte un DoS
del mismo modo que un conductor de micro ebrio me podría hacer un DoS
permanente :-)
Un abrazo,
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG