[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)
Fernando Gont
fernando en gont.com.ar
Sab Jun 9 19:07:36 BRT 2007
At 04:52 p.m. 08/06/2007, you wrote:
> > Llevalo a otro ambito: En un ambito de combate
> > belico, vos crees que un ejercito revelaria sus posicion, etc., etc., etc.?
>
>El simil no es correcto. Es como decir que en un ámbito de conflicto
>bélico un ejercito se tomaria el trabajo de no utilizar los nombres
>reales de su personal, y en su lugar utilizaria nombres ficticios. O
>peor aún, que dentro del cuartel todos usan sus nombres reales, pero al
>salir de la puerta del cuartel, todos se llaman "Pedro Perez".
Ambas cosas son utilizads en la practica, sin la
necesidad de llegar a ejemplos extremos como "ambito de conflicto".
En Defensa, la ley es simple: No se te va a dar
mas informacion de la que realmente necesitas
saber para poder realizar tu trabajo.
>Y vuelvo a preguntar, que beneficios trae el "oscurecer" los nombres
>reales de tu personal? Es realmente útil el que todos se llamen "Pedro
>Perez"?
El punto no es que todos tengan el mismo, sino
que sea dificultoso llegar al objetivo con la
informacion que es publicamente disponible.
> > Y que es lo que te hace pensar que, en el caso de
> > la defensa de una red de computadoras, la
> > situacion es tan diametralmente opuesta como para
> > que brindar informacion sobre la red
> libremente sea algo de poca relevancia?
>
>Sip. Porque me hace concentrar en lo que realmente es importante: en
>poder detener un ataque, y no confiar en que no va a haber un ataque
>porque mis equipos son inalcanzables.
Eso asume una gran cantidad de cosas que, o bien
nadie las argumento en la lista, o son imposibles de saber. Ejemplo:
* No recuerdo que nadie haya argumentado que por
poner un NAT, se tenian que olvidar de la seguridad de sus sistemas.
* "Poder denter un ataque"??? - Eso asume que vos
puedas saber qué te van a atacar, cómo lo harán,
y asume *aparte* que el ataque en si es
defendible. Esta es una situacion un tanto.... irreal. :-)
Lease: Yo no tengo fanatismo ni a favor ni en
contra de los NATs/PATs. Simplemente me parece
que tienen algunas caracteristicas interesantes.
Y algunas de ellas pueden ser utiles para la
seguridad de mi red. Bajo ningun punto de vista
*baso* la seguridad de mi red en NATs/PATs. Es un elemento adicional.
Para que la gente saque a sus NATs va a haber que
darle un motivo *real* para hacerlo. Generar
temor con "nos quedamos sin direcciones IP" (que,
si, ha dado algo de resultado al momento),
generar mitos sobre "la calidad de servicio que
obtendremos con IPv6", como se solucionaran
nuestros problemas de seguridad con IPv6, etc....
no parecen ser los mejores motivadores.
Si el esfuerzo de implantar IPv6 se hubiera hecho
diez años atras, estimo que la situacion seria
otra. Hoy por hoy, con las tecnologias que la
industria ha producido (por ej., NAT/PAT)
mientras la IETF trabajaba en "nuevos"
protocolos, muchos sienten que no hay motivacion
suficiente para dejar de utilizar las tecnologias que actualmente utilizan.
Saludos,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad