[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Sab Jun 9 19:07:36 BRT 2007

At 04:52 p.m. 08/06/2007, you wrote:

> > Llevalo a otro ambito: En un ambito de combate
> > belico, vos crees que un ejercito revelaria sus posicion, etc., etc., etc.?
>
>El simil no es correcto. Es como decir que en un ámbito de conflicto
>bélico un ejercito se tomaria el trabajo de no utilizar los nombres
>reales de su personal, y en su lugar utilizaria nombres ficticios. O
>peor aún, que dentro del cuartel todos usan sus nombres reales, pero al
>salir de la puerta del cuartel, todos se llaman "Pedro Perez".

Ambas cosas son utilizads en la practica, sin la 
necesidad de llegar a ejemplos extremos como "ambito de conflicto".
En Defensa, la ley es simple: No se te va a dar 
mas informacion de la que realmente necesitas 
saber para poder realizar tu trabajo.

>Y vuelvo a preguntar, que beneficios trae el "oscurecer" los nombres
>reales de tu personal? Es realmente útil el que todos se llamen "Pedro
>Perez"?

El punto no es que todos tengan el mismo, sino 
que sea dificultoso llegar al objetivo con la 
informacion que es publicamente disponible.

> > Y que es lo que te hace pensar que, en el caso de
> > la defensa de una red de computadoras, la
> > situacion es tan diametralmente opuesta como para
> > que brindar informacion sobre la red 
> libremente sea algo de poca relevancia?
>
>Sip. Porque me hace concentrar en lo que realmente es importante: en
>poder detener un ataque, y no confiar en que no va a haber un ataque
>porque mis equipos son inalcanzables.

Eso asume una gran cantidad de cosas que, o bien 
nadie las argumento en la lista, o son imposibles de saber. Ejemplo:

* No recuerdo que nadie haya argumentado que por 
poner un NAT, se tenian que olvidar de la seguridad de sus sistemas.
* "Poder denter un ataque"??? - Eso asume que vos 
puedas saber qué te van a atacar, cómo lo harán, 
y asume *aparte* que el ataque en si es 
defendible. Esta es una situacion un tanto.... irreal. :-)

Lease: Yo no tengo fanatismo ni a favor ni en 
contra de los NATs/PATs. Simplemente me parece 
que tienen algunas caracteristicas interesantes. 
Y algunas de ellas pueden ser utiles para la 
seguridad de mi red. Bajo ningun punto de vista 
*baso* la seguridad de mi red en NATs/PATs. Es un elemento adicional.

Para que la gente saque a sus NATs va a haber que 
darle un motivo *real* para hacerlo. Generar 
temor con "nos quedamos sin direcciones IP" (que, 
si, ha dado algo de resultado al momento), 
generar mitos sobre "la calidad de servicio que 
obtendremos con IPv6", como se solucionaran 
nuestros problemas de seguridad con IPv6, etc.... 
no parecen ser los mejores motivadores.

Si el esfuerzo de implantar IPv6 se hubiera hecho 
diez años atras, estimo que la situacion seria 
otra. Hoy por hoy, con las tecnologias que la 
industria ha producido (por ej., NAT/PAT) 
mientras la IETF trabajaba en "nuevos" 
protocolos, muchos sienten que no hay motivacion 
suficiente para dejar de utilizar las tecnologias que actualmente utilizan.

Saludos,

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1