[LAC-TF] [LACNIC/Seguridad] Fwd: Re: Is NAT can provide some kind of protection?
Arturo Servin
aservin at lacnic.net
Fri Jan 14 08:43:39 BRST 2011
On 14 Jan 2011, at 05:11, Fernando Gont wrote:
> On 13/01/2011 08:11 p.m., Arturo Servin wrote:
>
>>> Yo creo que, eventualmente, se podria orientar la discusion a lo
>>> que posiblemente pasara con IPv6. Es decir, discutir sobre los
>>> aspectos de seguridad de NAT en IPv4,
>>
>> Cuales? No quería profundizar mucho pero nunca he pensado en NAT como
>> una herramienta de seguridad sino como una herramienta para compartir
>> direcciones o facilitar renumeración. Si bien NAT oculta ciertos
>> aspectos de seguridad siempre he pensado que verlo como herramienta
>> de seguridad es un gran error. Pero esto es IMHO.
>
> El punto es que a la practica termina funcionando como un firewall
> stateful que solo deja pasar las comunicaciones iniciadas desde la red
> interna. -- Este feature es lo que personalmente considero que aporta en
> materia de seguridad (en adicion a que si se usa espacio privado,
> tambien se dificulta el acceso a los sistemas de la red interna).
Malamente porque da una sensación de seguridad cuando realmente no la hay. Un FW además protege otras cosas que un NAT no (sobre todo si le agregas funcionalidad de IPs). El argumento de statefull FW es válido para NAT-PT, pero NAT traslación in-out uno a uno es completemente inválido (punto más adelante).
>
> Si esto es mucho o poco, es otra cuestion.
>
>
>
>>> Tal vez la discusion se podria centrar en los argumentos que pueden
>>> o no haber para implementar e implantar NATs en IPv6, y discutir
>>> las distintas variantes/flavors que existen (ya que por ej. NAT66
>>> es diferente del NAT-PT de IPv4). Que te parece?
>>
>> La única utilidad que le veo es renumeración para cambiarse de ISP si
>> tienes PA en lugar de PI. Pero si creo que hay bastantes que creen
>> que deben tener NAT66.
>
> Yo estimo que NAT66 se implantara para lo que vos decis. Tambien creo
> que se terminara implementando una version IPv6 del NAT tradicional
> (NAT-PT), y que en muchos casos la desplegaran para basicamente la red
> v6 se comporte de manera similar a la v4 (si esto es una aberracion o
> no, es otra historia :-).
Si, es una aberración, pero serlo no es restricción para convertirse en RFC desgraciadamente. =)
>
> Pero sin duda creo que, en donde hoy existe un NAT en v4, o bien se
> instalara un NAPT-PT para v6, o bien se instalara un firewall stateful
> -- En sintesis: forget about conectividad end-to-end :-)
>
>
>
>>> Personalmente creo que algo que imposibilita un analisis objetivo
>>> de este tema es que para muchos el NAT se a convertido en el
>>> demonio/evil que hay que combatir mediante IPv6...
>>
>> Ah, no?
>
> Honestamente, creo que quien impulse IPv6 deberia darle a la gente v6,
> con las herramientas que la gente desea.
>
> La gente no detesta a los NATs. Por tal motivo, la bandera de
> "eliminaremos los NAT gracias a v6" no hace que las masas sigan a v6.
>
> -- ironicamente, hay casos en los que la gente piensa "IPv6 no tiene
> NATs? -- Ah, no, entonces no!" :-)
>
>
>
>>> A esta altura del partido, yo mas bien argumentaria que es
>>> contraproducente (para cualquiera queriendo promover IPv6),
>>> entablar una pelea a muerte con NATs, ya que hay mucha gente que,
>>> ironicamente, sin la existencia de NATs para IPv6 va a pensar dos
>>> veces antes de desplegar IPv6 (o bien, en el corto plazo,
>>> directamente no va a hacerlo).
>>
>> Si, por ello traté de estar fuera de la conversación pero no pude
>> evitarlo. Escuchar que NAT es herramienta de seguridad es como un pet
>> peev para mí. =)
>
> Cual es la diferencia *funcional* entre un NAT-PT y un firewall stateful
> que solo deja pasar paquetes correspondientes a conexiones que se
> iniciaron desde el interior?
Y que además no tiene reglas de salida. IMHO tener un firewall configurado de esa forma es tener una estrategia de seguridad bastante laxa.
>
> Si no logras identificar una diferencia *funcional*, entonces ahi esta
> la justificacion de porque muchos argumentan que un NAT aporta en el
> area de seguridad (mas alla de lo de ocultamiento de topologia, etc.).
>
> FWIW, un firewall como el anterior es lo que, IRRC, el v6ops de la IETF
> promueve como "simple security". ;-)
>
> Un abrazo,
> --
> Fernando Gont
> e-mail: fernando at gont.com.ar || fgont at acm.org
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
Slds,
.as
More information about the LACTF
mailing list