[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Arturo Servin aservin en lacnic.net
Vie Feb 1 10:56:29 BRST 2013



On 01/02/2013 10:32, Fernando Gont wrote:
> On 02/01/2013 08:49 AM, Arturo Servin wrote:
>> Fernando:
>>
>> 	NAT != FW statefull
> 
> NAT (device) == FW stateful + traduccion

NAT (device) =! FW stateful + traduccion

	Tengo un NAT, y me deja entrar el puerto 41 sin tener ninguna regla
configurada. Porque es un dispositivo estúpido que lo que no entiende lo
deja pasar.

	Lo mismo pasaria con una sesión ya creada. Por que? Porque al NAT no le
importa la IP fuente, con que tenga una traslacion IP+puerto de la
direccion interna a la pública es suficiente. Un firewall a diferencia
usa parejas de ip fuente + puerto e ip destino+ puerto para sus reglas.

	Y por último, para que mi NAT tonto deje de serlo tengo que hacer un
click en una casilla que dice "Firewall inspection".

	Finalmente:

CPE ~= NAT+Firewall+bridge+router


Slds
as

> 
> 
> 
>> 	Considerando el NAT como el dispositivo que multiplexea una IP publica
>> + puerto a muchas IPs privadas.
>>
>> 	FW statefull dispositivo que analiza información de capa 3+4 (no estoy
>> contando funciones IPs).
> 
> El NAT debe hacer justamente eso, ya que sino no puede hacer la
> traducción. De ahi que por efector colateral (si asi lo queres),
> funcione como un "firewall diodo".
> 
> 



Más información sobre la lista de distribución LACNOG