[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Arturo Servin aservin en lacnic.net
Vie Feb 1 09:49:17 BRST 2013 

Fernando:

	NAT != FW statefull

	Considerando el NAT como el dispositivo que multiplexea una IP publica
+ puerto a muchas IPs privadas.

	FW statefull dispositivo que analiza información de capa 3+4 (no estoy
contando funciones IPs).

	El que lo quiera creer y basar su seguridad en NAT sin considerar un FW
adelante, buena suerte.

Saludos,
as

On 01/02/2013 08:38, Arturo Servin wrote:
> 
> 
> On 31/01/2013 22:16, Fernando Gont wrote:
>> On 01/31/2013 08:50 PM, Arturo Servin wrote:
>>>
>>>>> 	Protegidos? con NAT?
>>>>
>>>> El NAT tiene, como efecto colateral, funcionamiento de un "firewall
>>>> diodo" (deja pasar cosas en una sola direccion).
>>>
>>> 	Y en la otra cuando el agujero esta abierto. No es facil encontrar el
>>> agujero pero de que existe, existe.
>>
>> Esa es exactamente la misma limitacion que puede tener un firewall.
> 
> 	No el NAT solo ve las relaciones IP-IP y puerto para la translacion. El
> firewall de entrada tiene que verificar que IPs fuente Y destino, Y
> puertos fuente Y destino hagan match. Al NAT eso no le importa.
> 
> 	Si ademas agregas un FW un poco mas inteligente incluso puedes ver si
> mas alla de la capa 4 la actividad es normal o no, cosa que con un NAT
> no puedes.
> 
> 	El NAT provee cierta seguridad si, pero esta lejos de ser un dispostivo
> de seguridad que se compare con un FW.
> 
>>
>>
>>
>>>>> 	Es más, creo que ahora con IPv6 están mejor protegidos porque algunos
>>>>> ISPs en los CPEs de IPv6 instalan un Firewall (de verdad, no un NAT):
>>>>>
>>>>> draft-v6ops-vyncke-balanced-ipv6-security
>>>>
>>>> Tal vez alguno lo vea como una invitación para que los ISPs empiecen a
>>>> filtrar puertos específicos en v6... Lo cual no es muy "open" que digamos...
>>>
>>> 	Es la configuracion por default que viene en el CPE lo que se propone.
>>> Luego como usuario abres o cierras lo que quieras.
>>
>> <politically-incorrect>
>> Me parece una boludez.
>>
>> El default tiene que hacer un simil con v4, que es a lo que la gente
>> está acostumbrada. Luego, el que quiera, que lo cambie.
>> </politially-incorrect>
> 
> 	De hecho eso es.
> 
> 
>>
>>
>>
>>>>> 	Y al final, la seguridad no es responsabilidad de mi ISP, es mia!
>>>>
>>>> De ambos.
>>>>
>>>> Del miso modo que al tomar un micro es mia la responsabilidad de ponerme
>>>> el cinturon de seguridad, pero es del chofer la de manejar bien, y del
>>>> mecánico chequear que el micro este en buen estado.
>>>>
>>>> e.g. Buen micro + cinturon de seguridad + chofer ebrio no suele llegar a
>>>> bueno puerto... :-)
>>>
>>> 	Totalmente, en la misma analogia. Te sientes seguro en el micro?
>>
>> No tomo micros, salvo que no me quede otra (*). Y cuando los tomo, me
>> siento en el medio del micro.
>>
>> (*) Data-point: Hace un par de años me invitaron a dar una charla en la
>> provincia de Córdoba (Argentina). Ellos proponian transportarse en
>> micro. Yo les dije que mas alla de que en micro termina siendo un viaje
>> de 12 horas, el camino a Cordoba es peligroso, y prefería ir en avion
>> (no me importaba recortar en gastos de alojamiento, o comidas). Y no
>> hice el viaje justamente por eso.
> 
> 	Bueno, acabas de probar mi punto. Yo por eso no confio en que mi ISP me
> de seguridad y encripto mi trafico, pongo mis DNSs, etc.
> 
>>
>> Un abrazo,
>>
> 
> Slds
> as
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>

Más información sobre la lista de distribución LACNOG