[LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)

Fernando Gont fernando en gont.com.ar
Sab Jun 9 20:27:34 BRT 2007 

At 07:39 p.m. 09/06/2007, you wrote:

>Igual tu eres uno de los que promociona la mejor calidad de servicio y mejor
>seguridad de IPv6 :-)

Por?


>Yo desde luego empiezo todos mis seminarios explicando a la gente que IPv6
>no tiene mejor calidad de servicio ni mejor seguridad,

Eso es ciertamente algo positivo.



>sino que preporcionar
>ciertas "herramientas" que ayudan en esos campos, pero que hay que continuar
>"asegurando" nuestras redes igual que con IPv4.

IPsec esta tambien presente en v4. Si, en v6 es 
mandatario, pero... a menos que el "requisito" 
implique que al utilizar cualquier servicio 
automaticamente se establece una Asociacion de 
Seguridad de IPsec, y todo "anda perfectamente", 
se trata simplemente de un formalismo.

Una gran cantidad de mecanismos del protocolo 
IPv6 son analogos a los correspondientes a IPv4. 
Por ej., la vulnerabilidad que recientemente se 
publicito sobre el rthdr0 no es mas que la 
version IPv6 del uso malicioso del Source Routing 
de IPv4... (bastante peor en IPv6, de 
hecho).  Los ICMP redirects son la misma historia, etc.

Yo seguramente estaria entre los primeros en 
propulsar el reemplazo de IPv4 por algo nuevo. 
Pero me gustaria que ese nuevo protocolo tuviera 
nativamente algunas caracteristicas que, por 
motivos mas politicos que tecnicos, no se incluyeron nativamente en IPv6.



>Sin embargo, se diga lo que se diga, NAT no oculta la red, ni ofrece
>privacidad, ni seguridad, y mas bien la dificulta, aparte de todo lo ya
>mencinoado hasta ahora.

Digamos que dificulta la tarea del atacante. Esta 
clarisimo que el NAT no es una "solucion de 
seguridad", ni nada por el estilo. E incluso 
aquellos beneficios que supone proporcionar no 
son para nada perfectos. Por ej., desde un punto 
teorico, al menos, hay forma de identificar los 
sistemas detras de un NAT (ver, por ej., el paper 
de S. Bellovin sobre "contar sistemas detras de NATs", etc.)

Mi punto es simplemente que al NAT se le suelen 
criticar mas cosas de las que se le deberian 
criticar, y que, a veces no se le reconocen 
ciertas caracteristicas que son de utilidad.



>De todos modos creo que este es un debate de sordos, al menos para algunos,
>asi que quizas es mejor que lo dejemos ya, porque como decia en mi primer
>email, estamos perdiendo el tiempo en algo harto discutido y que lo unico
>que demuestra es talibanismos de algunos.

Yo creo que es positivo que se tiren distintas 
visiones sobre la mesa. Yo he leido y escuchado 
mil veces "que tan malo es el NAT, que rompe 
protocolos como FTP". Pero he leido de una sola 
persona el hecho de que "FTP se rompe gracias al 
propio diseņo de FTP" (y, por si vale la aclaracion,esa persona no soy yo).

Y si de implantar IPv6 se trata, mi 
expectativa/deseo es que, de implantarse, se haga 
teniendo en IPv6 al menos la misma confidencia 
que hoy se tiene en IPv4, y con implemetaciones 
que tengan una madurez similar a la que tienen las implementaciones de IPv4.

A modo de ejemplo, OpenBSD tenia una historia de, 
en 10 aņos, un sola vulnerabilidad explotable 
remotamente. La segunda aparecio hace algunos 
meses, en el codigo de ICMPv6. - Habla mal esto 
de IPv6? - No. Simplemente es una cuestion de 
que, por una simple cuestion de antiguedad, las 
implementaciones de IPv4 son mas maduras.

Saludos cordiales,

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución Seguridad