[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Fernando Gont fernando en gont.com.ar
Sab Jun 9 18:05:12 BRT 2007


At 01:53 p.m. 09/06/2007, Jose Enrique Diaz Jolly wrote:

>Creo que hacia mucho que no me entretenia tanto como con esta 
>discusion, de hecho es un tema que algunos "gurues" de seguridad en 
>algunas instituciones pretenden es la solucion a los riesgos, tan es 
>asi, que se han dado a la tarea de erradicar los proxies porque esos 
>si son riesgos de seguridad. Aunque no lo crean es un caso veridico 
>y su mejor solucion es NAT/NAT/NAT porque asi se ocultan sus redes y 
>su infraestructura.

No recuerdo haber leido una sola persona en esta lista argumentando 
esto. Quienes tuvieron una postura (de algun modo) en favor de 
NAT/PAT, argumentaron simplemente que dichos dispositivos tienen 
aspectos que que colaboran positivamente a la seguridad de sus redes. Punto.



>Por supuesto es un administrador de seguridad (o de riesgos) 
>verdadera y desinteresadamente comprometido con el lado oscuro, 
>perdon, quise decir con la seguridad por ofuscamiento (o seguridad 
>por oscuridad).

Me parece que confundis conceptos.

En primer lugar, "seguridad por ocultamiento" es cuando vos *basas* 
la seguridad de tus sistemas ocultando informacion acerca de las 
tecnicas o tecnologias que utilizas.

En segundo lugar, si utilizas "obfuscamiento" como traduccion del 
ingles de "obfuscation", y "oscuridad" como traduccion del ingles de 
"oscurity", volves a mezclar conceptos.

Ejemplo:
La gran mayoria de las implementaciones TCP utilizan/utilizaban un 
algoritmo de seleccion de puertos efimeros que hacia que los puertos 
efimeros utilizados por futuras conexiones fueran 
previsibles/adivinables. Esto es innecesario, y malo, ya que brinda a 
un atacante informacion mas que valiosa para la realizacion de ataques.

Nosotros (Larsen y yo) hicimos una propuesta en el ambito de la IETF 
(lease: vos podes leer nuestro documento, y analizar los algoritmos 
utilizados) para incrementar la resistencia de TCP a ataques 
"ciegos", mediante "obfuscacion".

Bajo tus conceptos de "oscuridad" y "obfuscacion", esta es una 
propuesta de "seguridad a traves del oscuridad", cuando es todo lo contrario.



>Yo en lo personal creo que la eleccion de usar NAT o PAT es 
>solamente dependiente del numero de recursos disponibles (lease 
>deirecciones) en la parte publica contra el numero de recursos 
>necesarios de dirigirse al exterior de la organizacion.

Discrepo. En la decision de usar NAT/PAT juega tambien la necesidad 
(o no) de que determinados sistemas sean accesibles desde la 
Internet. A modo de ejemplo, no tengo motivo alguno para darle a la 
maquina de la secretaria un punto de acceso publico, por ejemplo.



>Y... por cierto, es bastante desafortunada la analogia con el combate belico.

Sobre este ejemplo en particular, no me interesa dedicar mucha mas 
energia. Tomalo, o dejalo.

Bajo tu misma filosofia, supongo que tus servidores DNS deben 
pertimir la transferencia de zonas desde cualquier sistema, no? - De 
no permitirlo, habilitarias la transferencia de zona para todos nosotros?


  7. The general who is skilled in defense hides in the
     most secret recesses of the earth; he who is skilled in
     attack flashes forth from the topmost heights of heaven.
     Thus on the one hand we have ability to protect ourselves;
     on the other, a victory that is complete.

  8. Hence that general is skillful in attack whose
     opponent does not know what to defend; and he is skillful
     in defense whose opponent does not know what to attack.

  9. O divine art of subtlety and secrecy!  Through you
     we learn to be invisible, through you inaudible;
     and hence we can hold the enemy's fate in our hands.

13. By discovering the enemy's dispositions and remaining
     invisible ourselves, we can keep our forces concentrated,
     while the enemy's must be divided.

25. In making tactical dispositions, the highest pitch
     you can attain is to conceal them; conceal your dispositions,
     and you will be safe from the prying of the subtlest spies,
     from the machinations of the wisest brains.

(Sun Tzu)

Saludos,

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución Seguridad