[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)
Fernando Gont
fernando en gont.com.ar
Vie Jun 8 05:26:20 BRT 2007
Carlos,
>En particular usar el término hack sobre el protocolo TCP/IP me parece
>demasiado despectivo y hasta irrespetuoso con quienes lo diseñaron, aunque
>pueda ser que se sientan halagados por el hecho de ser considerados
>"hackers".
Para nada es despectivo. O al menos, no intenta serlo.
Los protocolos TCP e IP vienen dando vuelta desde
hace mas de 25 años. Me parece que es bastante
obvio que en estos ultimos 25 años "algo" se a
aprendido en el campo de las redes. Y siendo que
mantenemos los mismos protocolos, dichos
"avances" o tecnicas se han volcado a los protocolos existentes como hacks.
SACK (en TCP) es un ejemplo. Agrega la capacidad
de ACKear paquetes (a la practica) a TCP. El tema
de ACKear bytes era valido hace veinte años
atras, cuando el hardware tenia mucha menor
capacidad que el actual, y habia gran trafico de
telnet. Pero no hoy en dia. SACK "emparcha" eso, por ejemplo.
En lo que respecta al merito de los diseñadores
de los protocolos, es simple: revolucionaron la
forma en que la gente se comunica, y la vida
diaria de una gran cantidad de personas. Esto es
indiscutible, e imposible de opacar por cualquier
comentario tecnico acerca de los protocolos.
>Que una opinion de un sector de las telecomunicaciones sea que el
>direccionamiento de nodos es indispensable y que no deben todos los
>elementos de una red contar con una direccion publica es hasta donde llega
>mi conocimiento: una opinion.
Una opinion, y un esquema mas flexible.
>O existe una demostración matemática de que
>así debe ser?
Podes leer los papers (de mas de 20 años de
antigüedad) de Saltzer, por ejemplo.
>(nota al margen:Podria una persona independiente unirse a una red donde el
>direccionamiento de nodos existiese y compartir sus bases de conocimiento
>con cualquier persona del mundo a un costo muy bajo?)
No entiendo tu pregunta.
>NAT nació para suplir la escasez de direcciones IPv4, por lo que la
>afirmación de que gracias a NAT se ha descubierto que tan mal estaban
>diseñados los protocolos me hace ver que no conozco literatura que sustente
>dichas afirmaciones y que obviamente me gustaría leer.
A ver... a vos te parece correcto que un
protocolo de aplicacion para transferencia de
archivos maneje como objetos direcciones de
interfaz de red? Te parece justificable que el
cambio de un protocolo de red (v4 -> v6) implique
la modificacion de un protocolo de aplicacion para transferencia de archivos?
Por si vale la aclaracion, nuevamente: FTP tiene
mas de 30 años de antiguedad. Originalmente, era
el protocolo que se utilizaba para el envio de
correo electronico. Y se diseño en un momento en
que las redes eran un simple experimento de
laboratorio. Por ello, sea cual sea su diseño, el
mismo no mancha la reputacion de los creadores.
Sin embargo, de ahi a decir que el diseño es
correcto... mm... hay un largo trecho.
En cuanto a la literatura....si esperas leer
estas cosas de libros, creo que vas muerto (dudo que lo vayas a encontrar).
>Por ahora mejor me despido viendo como los bits de este mensaje son
>"hackeados" para llegar a su destino.
Si. Convengamos que es mas simple aceptar lo
usual como correcto, que intentar abstraerse e
intentar imaginar de que otra manera podrian
hacerse las cosas. (cuando lo unico que tienes a
mano es un martillo, todo te parece un clavo).
"Free your mind, Neo."
Saludos,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad