[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Jose Enrique Diaz Jolly ediaz en ironport.com
Sab Jun 9 13:53:14 BRT 2007 

Creo que hacia mucho que no me entretenia tanto como con esta discusion, de hecho es un tema que algunos "gurues" de seguridad en algunas instituciones pretenden es la solucion a los riesgos, tan es asi, que se han dado a la tarea de erradicar los proxies porque esos si son riesgos de seguridad. Aunque no lo crean es un caso veridico y su mejor solucion es NAT/NAT/NAT porque asi se ocultan sus redes y su infraestructura. 

Por supuesto es un administrador de seguridad (o de riesgos) verdadera y desinteresadamente comprometido con el lado oscuro, perdon, quise decir con la seguridad por ofuscamiento (o seguridad por oscuridad). Tal vez uno de sus proximos proyectos sea la erradicacion de firewalls, IDS, IPS ya que pueden causar riesgo y evitar que el camino sea suficientemente complicado.

Aunque suena a broma, la ultima parte es lo unico que es de mi cosecha. La primera completamente veridica. Peor aun, no solo nat a nat sino que en las zonas internas en vez de cumplir con el RFC1918 usa un bloque "Clase A" que corresponde a una empresa de equipo de computo que si aun no lo han adivinado...... si efectivamente, la mayor parte del hardware que tienen es de dicha marca. Se imaginan lo que tiene que hacer un administrador de servidor para reportar un problemita a sus proveedores?

NAT. Por si mismo no es malo, pero definitvamente no es una solucion de seguridad; es una solucion de... ruteo? direccionamiento? 

PAT. Ibid ( o menos aun ) Me ha tocado ver cada aberracion! Y pensar que hay fabricantes de firewalls que lo ofrecen como la solucion ...... si, solucion a todos los problemas de red! 


Creo que muchos de los argumentos que se han manifestado en este thread defienden posiciones que algunos administradores de red creen erroneamente son "la solucion".
Yo en lo personal creo que la eleccion de usar NAT o PAT es solamente dependiente del numero de recursos disponibles (lease deirecciones) en la parte publica contra el numero de recursos necesarios de dirigirse al exterior de la organizacion. Sin embargo, la justa administracion de los (escasos) recursos publicos (IP publicas) en algunos casos lamentables pero que las economias de nuestra region han orillado, aquellas corporaciones (si, leyeron bien) que utilizan un enlace ADSL para soportar su trafico y los buenos carrier proporcionan un servicio barato y tyal vez buenamente una IP estatica. Tal ve, hasta puede ser NATEADA

Y... por cierto, es bastante desafortunada la analogia con el combate belico. Me imagino en tiempos de la guerra fria a la URSS escondiendose en otro lado? Haciendo SWAP con CHINA? Para que los estadounidenses no los encontraran en el mapa de la guerra global? Crqo que hay mucho material que leer...

---

 José Enrique Díaz Jolly			Aristóteles 81-202
   Systems Engineer				Chapultepec Polanco
   IronPort Systems, México			México, D.F., 11560
   Cisco Acquired
						
   Ph: +52(1)55-2300-5458 (Mobile)

   www.ironport.com - The Leader in E-Mail Security


---
 IronPort Systems Customer Support Portal:	www.ironport.com/support

 IronPort Systems Toll-Free Customer Support Numbers:

    Mexico: 001-866-296-5992
      U.S.: 1-877-641-IRON (4766)
    Int'l : www.ironport.com/support/contact_support.html

 IronPort Systems Customer Support: customersupport en ironport.com
  

> -----Original Message-----
> From: seguridad-bounces en lacnic.net 
> [mailto:seguridad-bounces en lacnic.net] On Behalf Of Fernando Gont
> Sent: Friday, June 08, 2007 2:27 PM
> To: seguridad en lacnic.net
> Subject: Re: [LACNIC/Seguridad] El NAT y la seguridad 
> (Cross-post de la lista de NANOG)
> 
> At 04:10 p.m. 08/06/2007, you wrote:
> 
> > > Seguridad? Privacidad?
> >
> >nuevamente, especificamente que ventajas desde el punto de 
> seguridad te 
> >ofrece el ocultar tu red interna. Puedes nombrar un 
> escenario donde un 
> >tipo de ataque pueda ser detenido por oscurecer tu red que 
> no pueda ser 
> >detenido con firewalls estáticos?
> 
> No es que pueda ser detenido. Pero previo a realizar un 
> ataque suele ser extremadamenet util tener informacion sobre 
> la red en cuestion.
> 
> Si esta informacion la das libremente, le evitas (o 
> simplificas) un paso al atacante.
> 
> Llevalo a otro ambito: En un ambito de combate belico, vos 
> crees que un ejercito revelaria sus posicion, etc., etc., etc.?
> 
> Y que es lo que te hace pensar que, en el caso de la defensa 
> de una red de computadoras, la situacion es tan 
> diametralmente opuesta como para que brindar informacion 
> sobre la red libremente sea algo de poca relevancia?
> 
> Saludos,
> 
> --
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en acm.org PGP 
> Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 
> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>

Más información sobre la lista de distribución Seguridad