[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Nicolás Ruiz nicolas en ula.ve
Jue Jun 7 16:01:43 BRT 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ariel Sabiguero Yawelak wrote:
> Bueno, pero los servicios no son todo (y asumí que está bloqueado todo
> el tráfico que yo no quiero). Un servicio de NAT no reemplaza un
> firewall, lo complementa,

Podrías explicar como lo complementa (excluyendo el aspecto de proveer
más direcciones IP internas)?

El único aspecto adicional del NAT que no se puede obtener con un
stateful firewall es el oscurecer la dirección IP el extremo. Y como
dije antes, creo que los beneficios no compensan los inconvenientes.

> Quizás está la imagen de la empresa. Quizás no se quiera saber que,
> desde las máquinas de los directores se accede a sitios pornográficos o
> que no condicen con otros objetivos de mi empresa.

Y como puede un ente externo saber que una IP dada pertenece a un director?

> Claramente hay
> soluciones para esto, como los proxies, pero proxiar es como natear, en
> otra capa :-) {no lo analicen demasiado...} Puedo hacer un tunnel hasta
> un anonimizador de navegación, pero si es mi responsabilidad como
> sysadmin, igual natearía. Mirá si cambia de computadora, no me entero y
> pierdo el trabajo ;-)
> 
> Me estoy esforzando por ser creativo en respuestas, quizás alguna sin
> mucha lógica (pero en una facultad conocer si son los alumnos o docentes
> los que acceden a cierto contenido ilegal o XXX puede dañar la
> imagen....) pero el firewall me va a permitir decidir que tráfico
> autorizo o no.
> Pero un escucha externo (quizás mi Internet Provider) puede obtener
> información mia. Aunque encripte, puede conocer origen y destino de mis
> comunicaciones.... y si no es mi ISP, es el carrier más grande.... y si
> no, puede ser otro provider, con el que ni tengo relación, en el core.
> Quizás no pueda esconder todo, pero cuanto más esconda, más puedo
> anonimizar.

Que diferencia hace que que algún intermediario en la comunicación
conozca la dirección real o falsa de una comunicación?

Anonimizar a nivel de dirección IP del cliente me parece una pobre solución.

> Insisto que NAT es una herramienta. No resuelve todos los problemas y
> agrega complicaciones (a veces).

La única situación donde no agrega complicaciones es cuando (a) todos
los que estan detrás del NAT se conectan a servicios en direcciones IP
públicas, (b) utilizando protocolos que no necesitan proxies, y (c)
tienes un registro perfecto de las conexiones establecidas.

Nunca haz recibido una queja de un tercero que uno de tus equipos detrás
del NAT está lanzando un ataque (y obviamente te envian la dirección IP
de tu NAT)? Frecuentemente es un rollo poder encontrar la máquina que
está causando problemas. En el último caso de esos que nos tocó, el
administrador de un servicio web en Nueva Zelanda bloqueó el acceso
desde el NAT hasta que detuviesemos el ataque. Y nos advirtió que si
recibia el mismo ataque desde otra IP en nuestro rango, iba a bloquear
todo el rango. Por suerte el ataque paró solo, porque la administradora
del NAT estaba de vacaciones (era una profesora) y no tenia ni idea de
cuales eran todos los equipos que estaban detras del NAT, mucho menos
llevar registro de los flujos establecidos.

> En unos casos sirve, en otros no. El
> "statefull firewall" también. Es innegable. Juntos pueden resolver más
> aspectos de seguridad que por separado.
> 
> Ariel
> 
>>
>> -as
>>
>> ----- Original Message ----
>> From: Ariel Sabiguero Yawelak <asabigue en fing.edu.uy>
>> To: seguridad en lacnic.net
>> Sent: Thursday, June 7, 2007 3:51:24 PM
>> Subject: Re: [LACNIC/Seguridad] El NAT y la seguridad (Cross-post de
>> la lista de NANOG)
>>
>> Hola, espero andes bien.
>>
>> Me parece interesante el punto y creo que tenemos que ver algunos
>> puntos buenos también del NAT/PAT. Creo que el argumento más sólido
>> para mantener el NAT es el de poder ocultar mi red interna a un
>> observador remoto (posiblemente hostil).
>> Está muy bien el usar firewalls y estoy de acuerdo que la simplicidad
>> no es motivo para tomar decisiones de diseño, pero realmente el
>> natting oculta muchos aspectos de las redes. Tiene overhead y costo,
>> pero te permite aislar tu topología interna y anonimizar al usuario.
>> Sabés de qué empresa es, pero no tenés idea de dónde ni quien. Ese
>> factor de privacidad considero que debería ser salvado.
>> Antes que me manden leer el RFC 3041, les digo que si soy responsable
>> de una red y tengo que aplicar la política de "anonimizar" a los
>> usuarios, prefiero hacerlo centralmente, a hacerlo desde el cliente.
>> Realmente, no me interesa que terceros sepan si conecto 1, 5, 100 o
>> 1000 dispositivos.
>> Si conocen otra forma de lograr esto, bueno, cambio de opinión. Si no,
>> por ahora mi voto es + NAT
>>
>> Ariel
>>
>> Carlos M. Martinez escribió:
>>> Hola a todos,
>>>
>>> queria compartir con uds un post que hice en la lista de NANOG.
>>> Disculpas por que esta en Inglés. Mi interés es motivar la discusión
>>> sobre NAT y seguridad, discusión que cobra mucha fuerza con el
>>> advenimiento de IPv6
>>>
>>>   
>>>> Hi,

- --
A: Because it destroys the flow of conversation.
Q: Why is top posting dumb?
- --
Juan Nicolás Ruiz    | Corporación Parque Tecnológico de Mérida
                     | Centro de Cálculo Cientifico ULA
nicolas en ula.ve       | Avenida 4, Edif. Gral Masini, Ofic. B-32
+58-(0)274-252-4192  | Mérida - Edo. Mérida. Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGaFYXmjsZS9ZBxv8RAkezAJ9OyQThXB4+Cq4OoYEoHXt9s2WlOwCcC7df
FcYLdB2Os7DMm3nPbsq0Bb0=
=DMEJ
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Seguridad