[LACNIC/Seguridad] [LAC-TF] Fwd: Re: Is NAT can provide some kind of protection?

Fernando Gont fernando en gont.com.ar
Vie Ene 14 04:51:27 BRST 2011


On 13/01/2011 08:03 p.m., Nicolas Antoniello wrote:

> Otro aspecto importante que se puede mencionar/discutir y que fuera
> mencionado en LACNOG 2010, es el de la conveniencia o no (costo
> beneficio) de utilizar NAT en IPv4 como mencanismo para "ganar tiempo"
> en servicios masivos de acceso a internet (accesos DSL, accesos de 3G,
> etc...)

El tema es que, de todos modos, en muchisimos casos vas a necesitar
implementar NAT (cualquiera de sus variantes... desde CGN hasta A+P o lo
que sea), ya que necesitas seguir dandole conectividad v4 a tus
clientes... y de hecho, hay cantidad de aplicaciones que no soportan v6
(por lo cual el uso de NAT64 no es siquiera aplicable).


> mientras se despliega IPv6... será conveniente, o la relación
> costo beneficio (incluyendo especialmente en esto los aspectos de
> seguridad) de ello es peor que pensar directamente en mecanismos de
> transición + despliegue de IPv6 ??

El punto es que la gran mayoria de los contenidos siguen estando en v4.
Por tal motivo, incluso si desplegaste v6, vas a tener que optar por:
* Algun tipo de NAT para dar acceso v4 nativo
* Algun tipo de proxy (e.g., tus clientes acceden al proxy con v6, y el
proxy es dual-stack) -- obviamente esto es inaplicable a muchas
aplicaciones (e.g., Skype)
* Usar NAT64, con las limitaciones del item anterior


> 2- Si bien es cierto que NAT != seguridad, también es cierto que el
> "ocultar" (por mas simplista que sea el ocular utilizando NAT) la
> topología, es suficiente para desalentar la gran mayoría de los

Aparte, el NAT termina funcionando como un firewall stateful en el que
se permiten unicamente las comunicaciones que "fueron iniciadas desde la
red interna".


> atacantes ocasionales (léase, los que podríamos llamar "atacantes
> amateur"). Algo así como el mismo nivel de seguridad que provee la
> autenticación de dir. MAC en una red WiFi.  :)

O no publicar el SSID ;-)


> Para mi y muchos otros, NAT no es seguridad, pero para algunos aporta. No?

Para mi, es una herramienta que aporta algo. Desde mi perspectiva, uno
termina implementando seguridad con una variedad de herramientas, cada
una de las cuales aporta un poco, y en un area distinta.



> 3- Para muchos, el tener una topología y estructura basada en NAT para
> IPv4 y pensar en doble stack IPv4-IPv6 con direccionamiento público en
> IPv6, podría resultar en un cambio en la forma de "gestionar" y de
> "pensar" la red, que no estén dispuestos a afrontar... es decir, si uso
> NAT en IPv6, puedo seguir pensando las cosas mas o menos como lo vengo
> haciendo hasta ahora, total, solo son direcciones mas largas... por otro
> lado, si en v4 tengo NAT pero en v6 es todo público, coexisten 2 mundos
> un tanto diferentes en la red... para estas personas, el disponer de NAT
> en IPv6 puede ser la diferencia entre desplegar y no desplegar IPv6. No
> se si me explico? Que opinan?

Comparto. Y esto de hecho es la mentalidad que ha frenado a muchos de
desplegar IPv6. He hablado con mucha gente a la cual la idea de exponer
toda una red le resultaba, basicamente, inadmisible. :-)


El problema (que es basicamente algo que se plantea en muchas aspectos
de v6) es: que gana, concretamente, quien se presta al cambio?

Un abrazo,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución Seguridad