[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)
Fernando Gont
fernando en gont.com.ar
Sab Jun 9 20:27:34 BRT 2007
At 07:39 p.m. 09/06/2007, you wrote:
>Igual tu eres uno de los que promociona la mejor calidad de servicio y mejor
>seguridad de IPv6 :-)
Por?
>Yo desde luego empiezo todos mis seminarios explicando a la gente que IPv6
>no tiene mejor calidad de servicio ni mejor seguridad,
Eso es ciertamente algo positivo.
>sino que preporcionar
>ciertas "herramientas" que ayudan en esos campos, pero que hay que continuar
>"asegurando" nuestras redes igual que con IPv4.
IPsec esta tambien presente en v4. Si, en v6 es
mandatario, pero... a menos que el "requisito"
implique que al utilizar cualquier servicio
automaticamente se establece una Asociacion de
Seguridad de IPsec, y todo "anda perfectamente",
se trata simplemente de un formalismo.
Una gran cantidad de mecanismos del protocolo
IPv6 son analogos a los correspondientes a IPv4.
Por ej., la vulnerabilidad que recientemente se
publicito sobre el rthdr0 no es mas que la
version IPv6 del uso malicioso del Source Routing
de IPv4... (bastante peor en IPv6, de
hecho). Los ICMP redirects son la misma historia, etc.
Yo seguramente estaria entre los primeros en
propulsar el reemplazo de IPv4 por algo nuevo.
Pero me gustaria que ese nuevo protocolo tuviera
nativamente algunas caracteristicas que, por
motivos mas politicos que tecnicos, no se incluyeron nativamente en IPv6.
>Sin embargo, se diga lo que se diga, NAT no oculta la red, ni ofrece
>privacidad, ni seguridad, y mas bien la dificulta, aparte de todo lo ya
>mencinoado hasta ahora.
Digamos que dificulta la tarea del atacante. Esta
clarisimo que el NAT no es una "solucion de
seguridad", ni nada por el estilo. E incluso
aquellos beneficios que supone proporcionar no
son para nada perfectos. Por ej., desde un punto
teorico, al menos, hay forma de identificar los
sistemas detras de un NAT (ver, por ej., el paper
de S. Bellovin sobre "contar sistemas detras de NATs", etc.)
Mi punto es simplemente que al NAT se le suelen
criticar mas cosas de las que se le deberian
criticar, y que, a veces no se le reconocen
ciertas caracteristicas que son de utilidad.
>De todos modos creo que este es un debate de sordos, al menos para algunos,
>asi que quizas es mejor que lo dejemos ya, porque como decia en mi primer
>email, estamos perdiendo el tiempo en algo harto discutido y que lo unico
>que demuestra es talibanismos de algunos.
Yo creo que es positivo que se tiren distintas
visiones sobre la mesa. Yo he leido y escuchado
mil veces "que tan malo es el NAT, que rompe
protocolos como FTP". Pero he leido de una sola
persona el hecho de que "FTP se rompe gracias al
propio diseņo de FTP" (y, por si vale la aclaracion,esa persona no soy yo).
Y si de implantar IPv6 se trata, mi
expectativa/deseo es que, de implantarse, se haga
teniendo en IPv6 al menos la misma confidencia
que hoy se tiene en IPv4, y con implemetaciones
que tengan una madurez similar a la que tienen las implementaciones de IPv4.
A modo de ejemplo, OpenBSD tenia una historia de,
en 10 aņos, un sola vulnerabilidad explotable
remotamente. La segunda aparecio hace algunos
meses, en el codigo de ICMPv6. - Habla mal esto
de IPv6? - No. Simplemente es una cuestion de
que, por una simple cuestion de antiguedad, las
implementaciones de IPv4 son mas maduras.
Saludos cordiales,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad