[LACNIC/Seguridad] NAT o no NAT esa es la cuestion

[Nicolás Antoniello]

asabig >Bueno, en el ejemplo anterior se supo la IP del Director por el
asabig >encabezado de su e-mail.... tengo que instalar también un SMTP local
asabig >para anonimizar el e-mail? Tengo que poner un proxy por cada protocolo?
asabig >También otro para anonimizar los torrents?
asabig >Ese equipo va a estar complicado de administar... y lleno de
asabig >vulnerabilidades en el software, pues todos esos proxies realmente van a
asabig >tener que estar emparchados en cada revisión de software...
asabig >El ejemplo de WEB era simplemente uno, pero podríamos utilizarlo para
asabig >"anonimizar" cualquier protocolo X. Si dispongo de NAT/PAT como
asabig >"servicio" me ahorro de programarlo en mis aplicaciones y no preciso un
asabig >proxy-X o gateway-X para todo protocolo posible.

Si tenes suficientes direcciones IP (de forma que no sea necesario NAT por 
ese motivo), podes (por ejemplo) usar DHCP para asignar dinamicamente las 
direcciones "internas" y tenes tambien anonimato... y ahi si puede que 
simplifiques bastante mas la gestion.


asabig >Creo que nunca se habló de reemplazar un firewall (realmente no lo
asabig >recuerdo en la lista) por solamente un "nat device". Creo que se habla
asabig >solamente de utilizar NAT como algo con valor agregado al resto de las
asabig >políticas de seguridad.

Justamente, creo que no agrega valor a las politicas de seguridad (en 
ocaciones complica).


asabig >Asumiendo que tenés suficientes direcciones y no estás aplicando NAT
asabig >porque te faltan, el motivo que se me ocurre (y he usado) para hacer
asabig >"NAT reverso" es para esconder un poco mi topología en caso de un
asabig >ataque. Para simplificar la cosa, digamos que "ofrezco" servicios de
asabig >HTTP y SMTP en una misma IP, y poruq me comí un parche de PHP o porque
asabig >aun nadie publicó una vulnerabilidad y un cracker muy bueno la explotó y
asabig >consiguió acceso a mi server HTTP, solamente tiene la mitad de mis
asabig >servicios, y no la totalidad. Por otra parte, como E.Cota dijo, le va a
asabig >insumir un tiempo darse cuenta de mi topología. Probablemente poco, pero
asabig >seguramente algo más le va a llevar. Aumenta mis chances de detectarlo.
asabig >De todas formas, espero que no pueda esquivar el chroot-jail donde corre
asabig >el servicio, y además, que mi IDS detecte algo de tráfico "inesperado"
asabig >en ese equipo, etc.

Si tenes suficientes direcciones IP, para que queres tener ambos servicios 
en la misma IP? Justamente, si entendes que ambos servicios pueden ser 
vulnerados creo que es mejor separarlos.

De hecho, que sucede en tu esquema si te vulneran el equipo que hace el 
NAT? O si alguien te hace un ataque del tipo spoofing de IP enviado spam a 
servidores de correos para que incluyan tu IP en la lista negra de ellos.
Es decir, creo que ataques y vulnerabilidades hay muchas, pero sigo 
pensando que no consideraria el NAT para el tema seguridad (aunque si para 
otras soluciones que ya se mencionaron).


asabig >Mirale el valor que tiene a no dar más info de la necesaria. Per se, eso
asabig >ya es importante.

La seguridad basada en desconocimiento creo que no es seguridad (eso 
tambien creo que se dijo antes), es cierto que podes "ganar tiempo"... 
pero creo que el tiempo que ganas en ese caso, es frente a atacantes nivel 
medio digamos... y para esos, en la mayoria de los casos el firewall sera 
suficiente.

asabig >Cuando hacés turismo, ¿te ponés un gorro que dice "turista" y colgás una
asabig >cámara de fotos bien cara en la mitad del pecho, a la vista de todo el
asabig >mundo o te mimetizás todo lo que podés para pasar lo más inadvertido
asabig >posible?
asabig >Eso también es seguridad y dar la menor información posible ;-)

En mi caso ando regalado en el tema turismo porque soy aficionado a la 
fotografia asi que de hecho, en ocaciones ando con camara aca en UY 
tambien ;).