[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Nicolás Ruiz nicolas en ula.ve
Jue Jun 7 13:52:43 BRT 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ariel Sabiguero Yawelak wrote:
> Me parece interesante el punto y creo que tenemos que ver algunos puntos
> buenos también del NAT/PAT. Creo que el argumento más sólido para
> mantener el NAT es el de poder ocultar mi red interna a un observador
> remoto (posiblemente hostil).

Que ventaja tiene el poder ocultar tu red interna?

> Está muy bien el usar firewalls y estoy de acuerdo que la simplicidad no
> es motivo para tomar decisiones de diseño, pero realmente el natting
> oculta muchos aspectos de las redes. Tiene overhead y costo, pero te
> permite aislar tu topología interna y anonimizar al usuario. Sabés de
> qué empresa es, pero no tenés idea de dónde ni quien. Ese factor de
> privacidad considero que debería ser salvado.
> Antes que me manden leer el RFC 3041, les digo que si soy responsable de
> una red y tengo que aplicar la política de "anonimizar" a los usuarios,
> prefiero hacerlo centralmente, a hacerlo desde el cliente.
> Realmente, no me interesa que terceros sepan si conecto 1, 5, 100 o 1000
> dispositivos.

Es un punto interesante. Que ventaja tiene el que terceros no sepan si
conectas 1, 5, 100 o 1000 dispositivos?

> Si conocen otra forma de lograr esto, bueno, cambio de opinión. Si no,
> por ahora mi voto es + NAT

Supongo que puedes obtener un resultado similar con DHCP. Tambien
depende de las características específicas de tu red. Por ponerte un
ejemplo, entre el 70 y el 90% de todo el tráfico de mi universidad es
HTTP. Utilizando un web proxy "anonimizas" un gran porcentaje del
tráfico, pero mantienes conectividad extremo-a-extremo en caso que
quieras desplegar aplicaciones que no sean NAT-aware.

> 
> Ariel
> 
> Carlos M. Martinez escribió:
>> Hola a todos,
>>
>> queria compartir con uds un post que hice en la lista de NANOG.
>> Disculpas por que esta en Inglés. Mi interés es motivar la discusión
>> sobre NAT y seguridad, discusión que cobra mucha fuerza con el
>> advenimiento de IPv6
>>
>>   
>>> Hi,
>>>
>>> Valdis.Kletnieks en vt.edu wrote:
>>>     
>>>> I think somebody on this list mentioned that due to corporate acquisitions,
>>>> there were legitimate paths between machines that traversed 5 or 6 NATs.
>>>>
>>>>       
>>> Not 5 or 6, but in my company I could show you paths with 4 NATs. Many of them. And no acquisitions, just different Divisions of the same company.
>>>
>>> I once spent three days trying to get the four administrators to talk among themselves and determine where a SYN flood was coming from. 
>>>
>>> Whatever people say, NAT is a hack. NAT was intended to extend IPv4's lifetime (togher with CIDR they were pretty successful at that) and nothing else.
>>>
>>> And as someone said it earlier, instead of promoting layer separation NAT it has promoted "protocol hacking hell". 
>>>
>>> Please, even the related PIX commands are named after they hackish nature:
>>>
>>> "fixup protocol dns"
>>> "fixup protocol ftp"
>>>
>>> This completely destroys the end-to-end nature of application protocols! If someone wants to improve FTP or anything that requires a "fixup", it doesn't suffice to code a server and a client. No, you need to talk to 1.000sh firewall manufacturers so they correct their "fixups".
>>>
>>> Which they might or might not do, of course, depending on how they feel that particular day. Talk about vendor lock-in.
>>>
>>> In my view, this ossifies the whole Internet development cycle. 
>>>
>>> And the argument that NAT is easier to administer than a full SI firewall is pretty thin, even if it was true, about what I have my doubts. Moreover, not everything in life should be conditioned to the "easier to administer" argument. 
>>>
>>> Sorry about the rant :-)
>>>
>>> Carlos M.
>>> ANTEL Uruguay
>>>
>>>     
>>>> But yeah, "Sure, very easily".  Whatever you say...
>>>>       
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>
>>
>>   
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

- --
A: Because it destroys the flow of conversation.
Q: Why is top posting dumb?
- --
Juan Nicolás Ruiz    | Corporación Parque Tecnológico de Mérida
                     | Centro de Cálculo Cientifico ULA
nicolas en ula.ve       | Avenida 4, Edif. Gral Masini, Ofic. B-32
+58-(0)274-252-4192  | Mérida - Edo. Mérida. Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGaDfbmjsZS9ZBxv8RAgqJAJ0bL7xJTaYEBCJscAdtnjmoITdSywCfUVsN
o57lm2IGi+pVOo0p/MUWmr8=
=rXPJ
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Seguridad