[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Fernando Gont fernando en gont.com.ar
Vie Jun 8 05:26:20 BRT 2007 

Carlos,

>En particular usar el término hack sobre el protocolo TCP/IP me parece
>demasiado despectivo y hasta irrespetuoso con quienes lo diseñaron, aunque
>pueda ser que se sientan halagados por el hecho de ser considerados
>"hackers".

Para nada es despectivo. O al menos, no intenta serlo.

Los protocolos TCP e IP vienen dando vuelta desde 
hace mas de 25 años. Me parece que es bastante 
obvio que en estos ultimos 25 años "algo" se a 
aprendido en el campo de las redes. Y siendo que 
mantenemos los mismos protocolos, dichos 
"avances" o tecnicas se han volcado a los protocolos existentes como hacks.

SACK (en TCP) es un ejemplo. Agrega la capacidad 
de ACKear paquetes (a la practica) a TCP. El tema 
de ACKear bytes era valido hace veinte años 
atras, cuando el hardware tenia mucha menor 
capacidad que el actual, y habia gran trafico de 
telnet. Pero no hoy en dia. SACK "emparcha" eso, por ejemplo.

En lo que respecta al merito de los diseñadores 
de los protocolos, es simple: revolucionaron la 
forma en que la gente se comunica, y la vida 
diaria de una gran cantidad de personas. Esto es 
indiscutible, e imposible de opacar por cualquier 
comentario tecnico acerca de los protocolos.



>Que una opinion de un sector de las telecomunicaciones sea que el
>direccionamiento de nodos es indispensable y que no deben todos los
>elementos de una red contar con una direccion publica es hasta donde llega
>mi conocimiento: una opinion.

Una opinion, y un esquema mas flexible.



>O existe una demostración matemática de que
>así debe ser?

Podes leer los papers (de mas de 20 años de 
antigüedad) de Saltzer, por ejemplo.



>(nota al margen:Podria una persona independiente unirse a una red donde el
>direccionamiento de nodos existiese y compartir sus bases de conocimiento
>con cualquier persona del mundo a un costo muy bajo?)

No entiendo tu pregunta.



>NAT nació para suplir la escasez de direcciones IPv4, por lo que la
>afirmación de que gracias a NAT se ha descubierto que tan mal estaban
>diseñados los protocolos me hace ver que no conozco literatura que sustente
>dichas afirmaciones y que obviamente me gustaría leer.

A ver... a vos te parece correcto que un 
protocolo de aplicacion para transferencia de 
archivos maneje como objetos direcciones de 
interfaz de red? Te parece justificable que el 
cambio de un protocolo de red (v4 -> v6) implique 
la modificacion de un protocolo de aplicacion para transferencia de archivos?

Por si vale la aclaracion, nuevamente: FTP tiene 
mas de 30 años de antiguedad. Originalmente, era 
el protocolo que se utilizaba para el envio de 
correo electronico. Y se diseño en un momento en 
que las redes eran un simple experimento de 
laboratorio. Por ello, sea cual sea su diseño, el 
mismo no mancha la reputacion de los creadores. 
Sin embargo, de ahi a decir que el diseño es 
correcto... mm... hay un largo trecho.

En cuanto a la literatura....si esperas leer 
estas cosas de libros, creo que vas muerto (dudo que lo vayas a encontrar).



>Por ahora mejor me despido viendo como los bits de este mensaje son
>"hackeados" para llegar a su destino.

Si. Convengamos que es mas simple aceptar lo 
usual como correcto, que intentar abstraerse e 
intentar imaginar de que otra manera podrian 
hacerse las cosas. (cuando lo unico que tienes a 
mano es un martillo, todo te parece un clavo).

"Free your mind, Neo."

Saludos,

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución Seguridad