[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Nicolás Ruiz nicolas en ula.ve
Vie Jun 8 16:10:10 BRT 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Arturo Servin wrote:
> ----- Original Message ----
> From: Nicolás Ruiz <nicolas en ula.ve>
> To: seguridad en lacnic.net
> Sent: Thursday, June 7, 2007 5:52:43 PM
> Subject: Re: [LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la
> lista de NANOG)
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Ariel Sabiguero Yawelak wrote:
>> Me parece interesante el punto y creo que tenemos que ver algunos puntos
>> buenos también del NAT/PAT. Creo que el argumento más sólido para
>> mantener el NAT es el de poder ocultar mi red interna a un observador
>> remoto (posiblemente hostil).
> 
>>>Que ventaja tiene el poder ocultar tu red interna?
> 
> Seguridad? Privacidad?

nuevamente, especificamente que ventajas desde el punto de seguridad te
ofrece el ocultar tu red interna. Puedes nombrar un escenario donde un
tipo de ataque pueda ser detenido por oscurecer tu red que no pueda ser
detenido con firewalls estáticos?

> Si alguien te quiere hackear lo va a hacer, pero nada mas no los ayudes. =)

Sigo sin ver como es una ayuda mayor a los atacantes que a los defensores.

> Creo que ocultar tu red es parte de la seguridad basica. No anuncies lo
> innecesario.

No. Ocultar tu red es parte del curso _barato_ de seguridad. Conocer tu
red (o tu aplicación) y hacerla facilmente auditable es parte de
seguridad básica.

>> Está muy bien el usar firewalls y estoy de acuerdo que la simplicidad no
>> es motivo para tomar decisiones de diseño, pero realmente el natting
>> oculta muchos aspectos de las redes. Tiene overhead y costo, pero te
>> permite aislar tu topología interna y anonimizar al usuario. Sabés de
>> qué empresa es, pero no tenés idea de dónde ni quien. Ese factor de
>> privacidad considero que debería ser salvado.
>> Antes que me manden leer el RFC 3041, les digo que si soy responsable de
>> una red y tengo que aplicar la política de "anonimizar" a los usuarios,
>> prefiero hacerlo centralmente, a hacerlo desde el cliente.
>> Realmente, no me interesa que terceros sepan si conecto 1, 5, 100 o 1000
>> dispositivos.
> 
>>>Es un punto interesante. Que ventaja tiene el que terceros no sepan si
>>>conectas 1, 5, 100 o 1000 dispositivos?
> 
> Igual que el punto anterior. Aunque el ocultar informacion no es un
> principio adecuado para conseguir seguridad, el aplicarlo creo que tiene
> mas ventajas que desventajas en este caso.
> 
>> Si conocen otra forma de lograr esto, bueno, cambio de opinión. Si no,
>> por ahora mi voto es + NAT
> 
> Firewalls.
> 
> -as
> 
> 
> ------------------------------------------------------------------------
> Take the Internet to Go: Yahoo!Go puts the Internet in your pocket:
> <http://us.rd.yahoo.com/evt=48253/*http://mobile.yahoo.com/go?refer=1GNXIC>
> mail, news, photos & more.
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

- --
A: Because it destroys the flow of conversation.
Q: Why is top posting dumb?
- --
Juan Nicolás Ruiz    | Corporación Parque Tecnológico de Mérida
                     | Centro de Cálculo Cientifico ULA
nicolas en ula.ve       | Avenida 4, Edif. Gral Masini, Ofic. B-32
+58-(0)274-252-4192  | Mérida - Edo. Mérida. Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGaamSmjsZS9ZBxv8RArchAKCKYFDRS7uPq+1oVpK85wwPC1M1rgCeMx9s
2Pei1Gebtx84XqEu59CqiFU=
=JdF2
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Seguridad