[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

[Luis León Cárdenas Graide]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 6/7/07, Eduardo Cota  wrote:
[...]
> Como comenta Jordi en otro correo (disculpas si interpreté mal), lo único
> que puede volver a permitir la conectividad total "end to end" es alguna
> arquitectura de red, donde el equipo final tenga el control de qué puertos
> se abren o cierran en la "frontera" (ya sea perímetro, ya sea protección
> en cada host), ya que son las aplicaciones corriendo en el host las que
> saben qué precisan.
[...]

Eso pone en entredicho el sentido que tiene hablar de "frontera" y por
eso IPv6 las hace transparentes al punto de hacerlas desaparecer y
volver al esquema anterior end-to-end. Si el cliente interno puede
decirle al firewall qué abrir, entonces de poco sirve que el firewall
proteja la salida. Ídem con la entrada. Para ello ya es más útil un
firewall personal para filtrar escaneos y potenciales inyecciones de
paquetes para tomar control remotamente.

- --
Luis León Cárdenas Graide
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org

iD8DBQFGaJ6k69jb0y7OWCkRAjD4AJ9Ij/vIaLcpMMeZxhiGZmK0hm/bdwCgol+f
oXjWrTwfoK9Q4UO3F361zR8=
=T6GD
-----END PGP SIGNATURE-----