[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Jue Jun 7 12:38:42 BRT 2007

   Si bien es cierto que el uso de NAT rompe con muchas apliaciones, tambien es cierto que este "feature" o daño colateral ha sido usado por muchos (me incluyo con el home router de mi casa) para negar el acceso del mundo a tus nodos/hosts/computadoras. Si bien el NAT no fue hecho para seguridad, funciona muy bien para este proposito (claro, con sus restricciones). 

   Al implementar IPv6 la funcionalidad del NAT para translacion de direcciones se vuelve inutil ya que no necesitaremos ahorrar direcciones de IP. con IPv6 podré solicitar mi /48 y hacer el subneteo que quiera dentro de mi casa. Sin embargo, ahora todas mis direcciones serán públicas y podrían ser accesadas por cualquiera. Aquí el truco será en poner un dispositivo (que creo que sería un firewall) para permitir la entrada y salida del tráfico de mi red. 

   Al final del día no creo que la ausencia del NAT en las redes caseras y corporativas sea un problema. Simplemente va a ser sustituido por un disposivo especifico para permitir la entrada y salida de tráfico usando las reglas apropiadas de seguridad. Si va a ser más complicado, pero al final creo que es lo correcto.

Saludos,
-asn

----- Original Message ----
From: Carlos M. Martinez <carlos.martinez en csirt-antel.com.uy>
To: seguridad en lacnic.net
Sent: Thursday, June 7, 2007 3:58:59 PM
Subject: [LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Hola a todos,

queria compartir con uds un post que hice en la lista de NANOG.
Disculpas por que esta en Inglés. Mi interés es motivar la discusión
sobre NAT y seguridad, discusión que cobra mucha fuerza con el
advenimiento de IPv6

> Hi,
> 
> Valdis.Kletnieks en vt.edu wrote:
>> 
>> I think somebody on this list mentioned that due to corporate acquisitions,
>> there were legitimate paths between machines that traversed 5 or 6 NATs.
>> 
> 
> Not 5 or 6, but in my company I could show you paths with 4 NATs. Many of them. And no acquisitions, just different Divisions of the same company.
> 
> I once spent three days trying to get the four administrators to talk among themselves and determine where a SYN flood was coming from. 
> 
> Whatever people say, NAT is a hack. NAT was intended to extend IPv4's lifetime (togher with CIDR they were pretty successful at that) and nothing else.
> 
> And as someone said it earlier, instead of promoting layer separation NAT it has promoted "protocol hacking hell". 
> 
> Please, even the related PIX commands are named after they hackish nature:
> 
> "fixup protocol dns"
> "fixup protocol ftp"
> 
> This completely destroys the end-to-end nature of application protocols! If someone wants to improve FTP or anything that requires a "fixup", it doesn't suffice to code a server and a client. No, you need to talk to 1.000sh firewall manufacturers so they correct their "fixups".
> 
> Which they might or might not do, of course, depending on how they feel that particular day. Talk about vendor lock-in.
> 
> In my view, this ossifies the whole Internet development cycle. 
> 
> And the argument that NAT is easier to administer than a full SI firewall is pretty thin, even if it was true, about what I have my doubts. Moreover, not everything in life should be conditioned to the "easier to administer" argument. 
> 
> Sorry about the rant :-)
> 
> Carlos M.
> ANTEL Uruguay
> 
>> But yeah, "Sure, very easily".  Whatever you say...
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad

____________________________________________________________________________________
Boardwalk for $500? In 2007? Ha! Play Monopoly Here and Now (it's updated for today's economy) at Yahoo! Games.
http://get.games.yahoo.com/proddesc?gamekey=monopolyherenow  
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20070607/7a9e9245/attachment.html>