Estimados,<br><br>Otro aspecto importante que se puede mencionar/discutir y que fuera mencionado en LACNOG 2010, es el de la conveniencia o no (costo beneficio) de utilizar NAT en IPv4 como mencanismo para "ganar tiempo" en servicios masivos de acceso a internet (accesos DSL, accesos de 3G, etc...) mientras se despliega IPv6... será conveniente, o la relación costo beneficio (incluyendo especialmente en esto los aspectos de seguridad) de ello es peor que pensar directamente en mecanismos de transición + despliegue de IPv6 ??<br>
<br>Algunas observaciones sobre las que se puede desarrollar un debate (viejas discusiones y no tan viejas):<br><br>1- Concuerdo con Fernando en que IPv6 y NAT son ortogonales... entonces, uno no excusa, ni justifica el otro.<br>
<br>2- Si bien es cierto que NAT != seguridad, también es cierto que el "ocultar" (por mas simplista que sea el ocular utilizando NAT) la topología, es suficiente para desalentar la gran mayoría de los atacantes ocasionales (léase, los que podríamos llamar "atacantes amateur"). Algo así como el mismo nivel de seguridad que provee la autenticación de dir. MAC en una red WiFi. :)<br>
Para mi y muchos otros, NAT no es seguridad, pero para algunos aporta. No?<br><br>3- Para muchos, el tener una topología y estructura basada en NAT para IPv4 y pensar en doble stack IPv4-IPv6 con direccionamiento público en IPv6, podría resultar en un cambio en la forma de "gestionar" y de "pensar" la red, que no estén dispuestos a afrontar... es decir, si uso NAT en IPv6, puedo seguir pensando las cosas mas o menos como lo vengo haciendo hasta ahora, total, solo son direcciones mas largas... por otro lado, si en v4 tengo NAT pero en v6 es todo público, coexisten 2 mundos un tanto diferentes en la red... para estas personas, el disponer de NAT en IPv6 puede ser la diferencia entre desplegar y no desplegar IPv6. No se si me explico? Que opinan?<br>
<br>4- Se ha discutido ampliamente y creo que es una verdad bastante difícil de eludir: el NAT en IPv6 va a existir y ser usado en muchas redes... mejor es conocerlo y saber como funciona que ignorarlo dándole un tinte diabólico :)<br>
<br>Opiniones?<br><br>Fraterno saludo a todos,<br>Nicolas<br><br><br><br><br><br><div class="gmail_quote">2011/1/13 Fernando Gont <span dir="ltr"><<a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a>></span><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Hola, Alejandro,<br>
<br>
Yo creo que, eventualmente, se podria orientar la discusion a lo que<br>
posiblemente pasara con IPv6. Es decir, discutir sobre los aspectos de<br>
seguridad de NAT en IPv4, en si, no se si tuviera demasaido sentido, ya<br>
que al fin y al cabo NAT es uno de los dispositivos mas "ubiquitous", y<br>
nada va a cambiar eso.<br>
<br>
Tal vez la discusion se podria centrar en los argumentos que pueden o no<br>
haber para implementar e implantar NATs en IPv6, y discutir las<br>
distintas variantes/flavors que existen (ya que por ej. NAT66 es<br>
diferente del NAT-PT de IPv4). Que te parece?<br>
<br>
Personalmente creo que algo que imposibilita un analisis objetivo de<br>
este tema es que para muchos el NAT se a convertido en el demonio/evil<br>
que hay que combatir mediante IPv6... y entonces cualquier postura con<br>
algun tipo de simpatia frente a los NAT pareciera ir en contra de IPv6<br>
(siendo que en mi opinion, ambas tecnologias son, en cierta medida,<br>
ortogonales).<br>
<br>
A esta altura del partido, yo mas bien argumentaria que es<br>
contraproducente (para cualquiera queriendo promover IPv6), entablar una<br>
pelea a muerte con NATs, ya que hay mucha gente que, ironicamente, sin<br>
la existencia de NATs para IPv6 va a pensar dos veces antes de desplegar<br>
IPv6 (o bien, en el corto plazo, directamente no va a hacerlo).<br>
<br>
Un abrazo,<br>
Fernando<br>
<div><div></div><div><br>
<br>
<br>
<br>
On 13/01/2011 02:49 a.m., <a href="mailto:alejandro.acosta@bt.com" target="_blank">alejandro.acosta@bt.com</a> wrote:<br>
> Fernando, Se me ocurre que si en LACSEC existe algun panel colocar<br>
> como topico de conversacion si NAT/PAT aumentan la seguridad de una<br>
> red un servidor. Muchos en el area de seguridad indican que no es,<br>
> algunos otros que si, etc. Otros no les gusta por el troubleshooting<br>
> y mantenimiento, en fin, hay diferentes opiniones.<br>
><br>
> Saludos,<br>
><br>
> Alejandro, ________________________________________ De:<br>
> <a href="mailto:lactf-bounces@lacnic.net" target="_blank">lactf-bounces@lacnic.net</a> [<a href="mailto:lactf-bounces@lacnic.net" target="_blank">lactf-bounces@lacnic.net</a>] En nombre de<br>
> Fernando Gont [<a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a>] Enviado el: miércoles, 12 de<br>
> enero de 2011 13:30 Para: Lista para discusión de seguridad en redes<br>
> y sistemas informaticos de la región CC: <a href="mailto:lactf@lac.ipv6tf.org" target="_blank">lactf@lac.ipv6tf.org</a> Asunto:<br>
> [LAC-TF] Fwd: Re: Is NAT can provide some kind of protection?<br>
><br>
> Estimados,<br>
><br>
> Pocas veces me hace feliz leer un mail. Kudos para Jack. :-)<br>
><br>
> -------- Original Message -------- Subject: Re: Is NAT can provide<br>
> some kind of protection? Date: Wed, 12 Jan 2011 11:36:48 -0600 From:<br>
> Jack Bates <<a href="mailto:jbates@brightok.net" target="_blank">jbates@brightok.net</a>> To: George Bonser<br>
> <<a href="mailto:gbonser@seven.com" target="_blank">gbonser@seven.com</a>> CC: Fernando Gont <<a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a>>,<br>
> <a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a><br>
><br>
> On 1/12/2011 11:21 AM, George Bonser wrote:<br>
>> PAT makes little sense to me for v6, but I suspect you are correct.<br>
>> In addition, we are putting the "fire suit" on each host in<br>
>> addition to the firewall. Kernel firewall rules on each host for<br>
>> the *nix boxen.<br>
>><br>
><br>
> As my corp IT guy put it to me, PAT forces a routing disconnect<br>
> between internal and external. There is no way to reach the hosts<br>
> without the firewall performing it's NAT function. Given that the<br>
> internal is exclusively PAT, the DMZ is public with stateful/proxy,<br>
> this provides protection for the internal network while limiting the<br>
> dmz exposure.<br>
><br>
> The argument everyone makes is that a stateful firewall defaults to<br>
> deny. However, a single mistake prior to the deny allows traffic in.<br>
> The only equivalent in a PAT scenario is to screw up port forwarding<br>
> which would cause a single host to expose a single port unknowingly<br>
> per mistake (which said port/host combo may not be vulnerable). In a<br>
> stateful firewall, a screw up could expose all ports on a host or<br>
> multiple hosts in a single mistake.<br>
><br>
> Then there are the firewall software bugs. In PAT, such bugs don't<br>
> suddenly expose all your hosts behind the firewall for direct<br>
> communication from the outside world. In v6 stateful firewall, such<br>
> a bug could allow circumvention of the entire firewall ruleset and<br>
> the hosts would be directly addressable from the outside.<br>
><br>
> PAT offers the smallest of security safeguards. However, many corp<br>
> IT personnel feel more secure having that small safeguard in place<br>
> along with the many other safeguards they deploy. In a corporate<br>
> environment where they often love to break everything and anything, I<br>
> don't blame them.<br>
><br>
> Then we go to the educational sector, where the admins often prefer<br>
> as much openness as possible. In their case, they will prefer to do<br>
> away with PAT.<br>
><br>
><br>
> Jack<br>
><br>
> _______________________________________________ LACTF mailing list<br>
> <a href="mailto:LACTF@lacnic.net" target="_blank">LACTF@lacnic.net</a> <a href="https://mail.lacnic.net/mailman/listinfo/lactf" target="_blank">https://mail.lacnic.net/mailman/listinfo/lactf</a><br>
> _______________________________________________ LACTF mailing list<br>
> <a href="mailto:LACTF@lacnic.net" target="_blank">LACTF@lacnic.net</a> <a href="https://mail.lacnic.net/mailman/listinfo/lactf" target="_blank">https://mail.lacnic.net/mailman/listinfo/lactf</a><br>
><br>
<br>
</div></div><div>--<br>
Fernando Gont<br>
e-mail: <a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a> || <a href="mailto:fgont@acm.org" target="_blank">fgont@acm.org</a><br>
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br>
<br>
<br>
<br>
<br>
</div>_______________________________________________<br>
Seguridad mailing list<br>
<a href="mailto:Seguridad@lacnic.net" target="_blank">Seguridad@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>
</blockquote></div><br>