[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Nicolás Ruiz nicolas en ula.ve
Jue Jun 7 15:18:39 BRT 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ariel Sabiguero Yawelak wrote:
> Nicolás Ruiz escribió:
>> Que ventaja tiene el poder ocultar tu red interna?
> Dificultás que un atacante externo obtenga información tuya. Ni más, ni 
> menos.

Solamente dificultas (parcialmente) la recolección pasiva de IPs. Si
estas utilizando un stateful firewall, al atacante no le sirve de nada
conocer las IPs porque no puede enviar paquetes a dichas IPs.

>  La "seguridad", si es que eso existe, no es más o menos que una 
> suma de medidas, todas ellas buscando hacer un poco más difícil la tarea 
> del atacante. El tema de la privacidad lo pongo más claro en el próximo 
> mail.

Efectivamente, en que seguridad es una suma de medidas estamos
totalmente de acuerdo.

En lo que difiero es en que los beneficios del NAT (aparte de la mayor
disponibilidad de IPs) son mayores que los inconvenientes causados.

Por ejemplo, dos personas que estan utilizando ms messenger detras de
NATs dentro de mi propia organización tengan que enviar todo el tráfico
a un servidor público externo antes de ir de uno a otro. No solo es
ineficiente porque estoy consumiendo ancho de banda para una actividad
que es interna, sinó que tambien es más inseguro porque estoy exponiendo
mis datos innecesariamente al tener que transportarlos fuera de mi red.

>> Es un punto interesante. Que ventaja tiene el que terceros no sepan si
>> conectas 1, 5, 100 o 1000 dispositivos?
>>   
> Que es información mia, y quizás no quiero que tu la conozcas! (no es 
> personal, es un ejemplo ;-) )

Como decisión personal, la respeto.
Como decisión profesional, todavia me parece que no está justificada.

> Quizás si sabés que mi heladera IPv6 con RFID se conecta directamente a 
> la página del supermercado y hace mis compras puedas "encajarme" 
> propaganda dirigida a gente que ya tiene heladeras con cierta 
> tecnología!

NATeado o no, yo sé que una IP de tu red se conecta a un supermercado.
Las direcciones IP son agnósticas al dispositivo. No puedo determinar
que tipo de heladera tienes por la dirección IP.

> Quizás tengas una heurística entre los 2 bytes de ID del 
> fabricante que se pasan a la dirección global y en base a eso y que me 
> conecto a cierto servicio decidís que tengo una cierta propiedad y 
> decidís utilizarla....

Si utilizas autoconfiguración en IPv6, puedes utilizar la MAC para
construir tu hostid. Y efectivamente del hostID podrías deducir el
fabricante del dispositivo de red (que asumo que NO es el fabricante de
heladeras). Pero eso es trivial de resolver si le asignas una dirección
IP o si la heladera puede randomizar su hostID.

> Quizás soy paranoico y no me gusta que tengas información que no quiero 
> dar....
> Si todo se "enmascara" atrás de un único punto me siento más cómodo ;-)

La paranoia no es necesariamente mala. Pero hay que justificarla bien.

>> Supongo que puedes obtener un resultado similar con DHCP. Tambien
>> depende de las características específicas de tu red. Por ponerte un
>> ejemplo, entre el 70 y el 90% de todo el tráfico de mi universidad es
>> HTTP. Utilizando un web proxy "anonimizas" un gran porcentaje del
>> tráfico, pero mantienes conectividad extremo-a-extremo en caso que
>> quieras desplegar aplicaciones que no sean NAT-aware.
>>   
> Bueno, al menos en Linux (y asumo que en buenas implementaciones 
> también) la decisión si natear o no la podés asociar a ciertas reglas. 
> Lo común es a una cierta subred o interfaz entrante, pero claramente 
> podés elegir si nateás o no en base a protocolos, direcciones origen y 
> destino, etc.
> 
> El punto es que el NAT tiene sus cosas buenas, que quizás se 
> descubrieron después de tenerlo en uso!
> Quizás que ahora el NAT se pueda seguir utilizando aunque nos sobren 
> direcciones (por algunos años al menos) pero por nuevas razones. Es una 
> herramienta más para ayudar a la seguridad.....
> 
> Ariel
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
> 
> 

- --
A: Because it destroys the flow of conversation.
Q: Why is top posting dumb?
- --
Juan Nicolás Ruiz    | Corporación Parque Tecnológico de Mérida
                     | Centro de Cálculo Cientifico ULA
nicolas en ula.ve       | Avenida 4, Edif. Gral Masini, Ofic. B-32
+58-(0)274-252-4192  | Mérida - Edo. Mérida. Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGaEv/mjsZS9ZBxv8RAvNEAJwNkxhJyndmw7XiTAEv3Z52WBYL2ACfVql+
tzCAPMwAytYmb6UI8EQVP2o=
=CubX
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Seguridad