[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Ariel Sabiguero Yawelak asabigue en fing.edu.uy
Jue Jun 7 12:35:38 BRT 2007 

Nicolás Ruiz escribió:
> Que ventaja tiene el poder ocultar tu red interna?
Dificultás que un atacante externo obtenga información tuya. Ni más, ni 
menos.  La "seguridad", si es que eso existe, no es más o menos que una 
suma de medidas, todas ellas buscando hacer un poco más difícil la tarea 
del atacante. El tema de la privacidad lo pongo más claro en el próximo 
mail.
> Es un punto interesante. Que ventaja tiene el que terceros no sepan si
> conectas 1, 5, 100 o 1000 dispositivos?
>   
Que es información mia, y quizás no quiero que tu la conozcas! (no es 
personal, es un ejemplo ;-) )
Quizás si sabés que mi heladera IPv6 con RFID se conecta directamente a 
la página del supermercado y hace mis compras puedas "encajarme" 
propaganda dirigida a gente que ya tiene heladeras con cierta 
tecnología! Quizás tengas una heurística entre los 2 bytes de ID del 
fabricante que se pasan a la dirección global y en base a eso y que me 
conecto a cierto servicio decidís que tengo una cierta propiedad y 
decidís utilizarla....

Quizás soy paranoico y no me gusta que tengas información que no quiero 
dar....
Si todo se "enmascara" atrás de un único punto me siento más cómodo ;-)
> Supongo que puedes obtener un resultado similar con DHCP. Tambien
> depende de las características específicas de tu red. Por ponerte un
> ejemplo, entre el 70 y el 90% de todo el tráfico de mi universidad es
> HTTP. Utilizando un web proxy "anonimizas" un gran porcentaje del
> tráfico, pero mantienes conectividad extremo-a-extremo en caso que
> quieras desplegar aplicaciones que no sean NAT-aware.
>   
Bueno, al menos en Linux (y asumo que en buenas implementaciones 
también) la decisión si natear o no la podés asociar a ciertas reglas. 
Lo común es a una cierta subred o interfaz entrante, pero claramente 
podés elegir si nateás o no en base a protocolos, direcciones origen y 
destino, etc.

El punto es que el NAT tiene sus cosas buenas, que quizás se 
descubrieron después de tenerlo en uso!
Quizás que ahora el NAT se pueda seguir utilizando aunque nos sobren 
direcciones (por algunos años al menos) pero por nuevas razones. Es una 
herramienta más para ayudar a la seguridad.....

Ariel

Más información sobre la lista de distribución Seguridad