[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)
Anatoly A. Pedemonte Ku
apedemonte en gmail.com
Vie Jun 8 05:36:57 BRT 2007
Hola a todos, discutir sobre el NAT, tenemos para rato, creo que seguro
para todo no es, todo depende del escenario y que cosa deseas hacer...
hay muchas soluciones para utilizar dichas opciones de ocultar,
restringir, privar, asegurar, etc, etc una red o un segmente de red...
Utilizar dicho feature del protocolo esta dado según el impacto que
deseen dentro de tu infraestructura tecnológica de comunicaciones, ya
sea para data, voz, etc,etc...
Pero saliéndome del tema del NAT, y complementado los comentarios de por
que el TCP trae sorpresas....
Bueno también hay que entender que las cosas nunca se hacen o se
inventan para las situaciones de una época a futuro no se sabe a cierta
medida quien inventa algo para que en 10 años, funcione o cumpla las
necesidades al futuro... no hay desarrollo alguno que a futuro sea 95%
perfecto...
Solo sucede en la teorías... Pero nos damos cuenta que tal como se
predijo que las direcciones IP nunca se acabarían, se están acabando,
por que son una parte esencial en las redes...
Muchos predijeron que las PC y los sistemas operativos de punto flotante
tenían un final, en esta década que viene, pero vemos que así como va
seguirá sobreviviviendo con el TCP-IP, de lado y como eje central en las
comunicaciones, y gracias a internet también, del cual depende
Sabemos que muchas arquitecturas de hardware, como i386, AMD, PowerPC,
SPARC, DEC, apostaron por TCP-IP, y las plataformas informaticas, Mac,
MSX, Spectrum, etc, se ajustaron a TCP-IP, inclusive vemos celulares,
PDA, consolas de juego apostando por TCP-IP... Quizas veamos Microwave,
neveras, televisores, con TCP-IP
Entonces no se puede decir que TCP-IP es la maldición por ponernos estas
piedritas en el camino... Pues inventar la pólvora o hacer todo el
conjunto de protocolos, es una cosa de locos.. pues creo que las
experiencias como los protocoles propietarios, que en paz descansen no
pudieron con el TCP-IP...
Mientras exista TCP-IP, estaremos desarrollando mas tecnología, y
desarrollando mas dispositivos inimaginables, creo que hablar mal de
TCP-IP en este momento es como estar insultando a la columna vertebral
de las comunicaciones, y que por ahora con sus problemas hay que
convivir,.... a no ser que google haga la ingeniería al protocolo.... O
que la plataforma informática mas utilizada en el mundo, osea las
IBM-PC, sean desplazados por las Mac, que sinceramente esta tan cercana
esta afirmación... si no veamos no más como windows se parece e innova
con respecto a Mac por ser propietario con respecto a GNU/Linux que
tampoco se queda atrás en el rubro y además soportas varias
arquitecturas, por que si seguía con sus ventanas toscas, y sabiendo que
Apple se pasaba a la fila del arquitectura i386, perdía terreno....
Un saludos a todos
PD. Agradeciendo su comprensión, pido disculpas, si nota Ud. errores de ortografía y gramática en esta misiva.
-----------------------------------------------------------
Anatoly Alexei Pedemonte Ku
RAGE SYSTEMS S.A.C.
http://www.ragesys.net
Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
LIMA - PERU
Nextel: 511.98252347
Móvil: 511.97167435
-----------------------------------------------------------
Este correo y su contenido son confidenciales y exclusivos para su destinatario. Si usted recibe este mensaje por error o no es el destinatario del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y reflexiones expresadas en esta comunicación corresponden al originador del correo y NO representa la posición oficial de su empleador.
--------------------------------------------------------------------------------------------------------------------------------------
This email is intended only for the addresse(s) and contains information which may be confidential, legally privileged. If you are not intended recipient please do not save, forward, disclose or copy the content of this email. Please delete it completely from your system and notify originator.Finally, all ideas expressed in this communication are personal comments and NOT represent official position of his employer.
--------------------------------------------------------------------------------------------------------------------------------------
******** ESP: Esta sección no es virus, sino es la Llave publica de Firma Digital *********
******** ENG: This section do not a virus, really is the Public Key of Digital Sign *********
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.3 (MingW32)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=GD85
-----END PGP PUBLIC KEY BLOCK-----
Carlos Quevedo escribió:
> No concuerdo con lo de hack por todos lados, TCP/IP es una familia de
> protocolos y como tal tiene virtudes y defectos en mi opinion.
>
> No se si exista un protocolo publico al que nunca le hayan encontrado fallas
> de seguridad, pero me extrañaría mucho que existiese uno de esas
> características por el simple hecho de que los protocolos son diseñados
> pensando en un conjunto predeterminado de situaciones, o es que se puede
> diseñar un protocolo teniendo en cuenta todas las situaciones posibles?
>
> En particular usar el término hack sobre el protocolo TCP/IP me parece
> demasiado despectivo y hasta irrespetuoso con quienes lo diseñaron, aunque
> pueda ser que se sientan halagados por el hecho de ser considerados
> "hackers".
>
> Que una opinion de un sector de las telecomunicaciones sea que el
> direccionamiento de nodos es indispensable y que no deben todos los
> elementos de una red contar con una direccion publica es hasta donde llega
> mi conocimiento: una opinion. O existe una demostración matemática de que
> así debe ser?
>
> (nota al margen:Podria una persona independiente unirse a una red donde el
> direccionamiento de nodos existiese y compartir sus bases de conocimiento
> con cualquier persona del mundo a un costo muy bajo?)
>
> NAT nació para suplir la escasez de direcciones IPv4, por lo que la
> afirmación de que gracias a NAT se ha descubierto que tan mal estaban
> diseñados los protocolos me hace ver que no conozco literatura que sustente
> dichas afirmaciones y que obviamente me gustaría leer.
>
> Por ahora mejor me despido viendo como los bits de este mensaje son
> "hackeados" para llegar a su destino.
>
> Carlos Quevedo
> Asesor Técnico CCIT
>
> ----- Original Message -----
> From: "Fernando Gont" <fernando en gont.com.ar>
> To: <seguridad en lacnic.net>
> Sent: Thursday, June 07, 2007 10:33 PM
> Subject: Re: [LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la
> lista de NANOG)
>
>
> Carlos,
>
> Mis respuestas/comentarios van entre lineas....
>
>
>
>>> Not 5 or 6, but in my company I could show
>>>
>> you paths with 4 NATs. Many of them. And no
>> acquisitions, just different Divisions of the same company.
>>
>>> I once spent three days trying to get the
>>>
>> four administrators to talk among themselves
>> and determine where a SYN flood was coming from.
>>
>
> Cuando se aplica con alguna motivacion de
> seguridad, el NAT justamente apunta a "ocultar"
> los sistemas que estan detras del NAT. Ese esa
> propia caracteristica la que, en escenarios como
> el que describis, puede dificultar el rastreo de ataques.
>
> Nosotros (en UTN/FRH) haciamos NAT+stateful
> filtering. Por ello, ataques como el SYN flood
> podian ser evitados simplemente limitando las
> conexiones activas que un sistema podia mantener.
> Tambien es de notar que el NAT lo haciamos justo
> antes de salir a Internet. Tanto la red interna,
> como el acceso de nuestros clientes a los
> servidores publicos, se realizaba utilizando direcciones privadas.
>
>
>
>
>>> Whatever people say, NAT is a hack. NAT was
>>>
>> intended to extend IPv4's lifetime (togher with
>> CIDR they were pretty successful at that) and nothing else.
>>
>
> TCP/IP es un hack en si... por donde lo mires.
>
> Por ej., en IP el esquema de direccionamiento
> esta incompleto (tanto en v4, como en v6).
>
> En TCP, se agrego control de congestion (!)
> cuando Internet colapso a mitad de los 80. SACK
> es un parche para ackear paquetes. El
> pseudoheader de TCP es algo poco limpio. :-)
>
> Los well-known ports (por ej., "el puerto 80 es
> la web") no es mas que un hack ante la carencia de un servicio de
> directorio.
>
> etc., etc., etc.
>
>
>
>
>>> And as someone said it earlier, instead of
>>>
>> promoting layer separation NAT it has promoted "protocol hacking hell".
>>
>>> Please, even the related PIX commands are named after they hackish
>>> nature:
>>>
>>> "fixup protocol dns"
>>> "fixup protocol ftp"
>>>
>
> Yo discrepo con esta observacion. En la gran
> mayoria de los casos, NAT simplemente hizo
> evidente que numerosos protocolos estan mal diseñados.
>
> Pensa el caso de FTP. De donde proviene la
> dificulta principal de usar FTP a traves de
> NATs/middle-boxes? - Basicamente, el problema
> radica que en el protocolo de *aplicacion* TCP se
> transfieren direcciones IP y numeros de puerto
> TCP. Y esta clarisimo que un protocolo de
> aplicacion no tendria que trabajar con tales objetos de tan bajo nivel.
>
> (Como puede ser que haya que modificar FTP para que pueda andar con v6?????)
>
> La gente pro-v6 usa como uno de sus argumentos de
> marketing que todos los sistemas que accedan a
> Internet tienen que ser directamente
> direccionables ("end to end argument"). Esto es
> un error. El hecho de que un sistema quiera
> acceder a Internet no tiene porque implicar,
> desde un punto de vista teorico
> (direccionamiento) que tenga un punto de conexion
> (direccion IP, en este caso) publico.
>
> El problema aca es que la arquitectura de
> direccionamiento de Internet esta incompleta. No
> hay direcciones de "nodos". Entocnes las
> direcciones IP tienen doble significado: tanto
> "punto de conexion", como "nodo". Y eso es loq ue
> usualmente motiva a pensar que todo el mundo (es
> decir, cada nodo) tendria que tener una direccion IP propia.
>
> Saludos,
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20070608/679eeb24/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 187 bytes
Desc: OpenPGP digital signature
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20070608/679eeb24/attachment.sig>
Más información sobre la lista de distribución Seguridad