[LACNIC/Seguridad] [LAC-TF] Netfilter developers working on NAT for ip6tables

Arturo Servin aservin en lacnic.net
Mie Nov 30 10:40:08 BRST 2011


On 30 Nov 2011, at 09:15, Fernando Gont wrote:

> On 11/29/2011 10:13 PM, Juan Ant. Matos wrote:
>> NAT en muchos casos ha hecho de las redes un espacio complejo. 
> 
> Las redes son complejas básicamente porque utilizamos la misma
> tecnologia que hace casi 30 años, en un contexto completamente diferente.
> 
> Los NATs contribuyen, pero a eso podés agregar NIDS, IPS, pakcet
> scrubbers, firewalls, proxies transparentes, etc., etc.
> 
> 
>> Veo a
>> NAT como el peor enemigo de las comunicaciones de extremo a extremo,
>> sino preguntenle al Usuario Final X que ha intentado compartir una
>> carpeta con el Usuario Final Y,  y sencillamente por la complejida
>> que supone para el esto, sencillamente lo olvida y se vale de otros
>> medios.
> 
> En tal sentido, un firewall stateful en el borde de la red basicamente
> provocaría el mismo "problema".

	No necesariamente.

	El firewall inspecciona el contenido, si éste aprueba la regla simplemente lo pasa. Con NAT se tiene que hacer translación de direcciones y es ahí donde empieza el problema.


> 
> Como yo lo he mencionado en algunas oportunidades/presentaciones, es
> cuestionable cuan deseable es la conectividad "extremo a extremo" en el
> caso general.

	Eso es independiente y es decisión del usuario final (residencial, etc.) o de la organización (enterprises). El problema con NAT e IPv4 es que impone una restricción obligatoria. Con IPv6 la restricción es opcional.

> 
> En el caso tipico, los usuarios consumen información, por lo que esa
> conectividad "extremo a extremo" basicamente incrementa la exposicion a
> ataques innecesariamente.

	Define extremo a extremo.

	Para mi extremo a extremo es IP-Global a IP-Global. Si existe un FW en medio (sea de red o de host) es independiente.

> 
> Y voy a citar un ejemplo concreto, de otros tantos que podría: Mi madre
> comenzó a usar computadoras hace menos de un año. Actividad tipica:
> e-mail y web. Hay algun motivo para que su sistema sea "contactable"
> desde cualquier punto de la red por parte de cualquier sistema? - no. En
> muchisimos casos, se aplica la misma logica.

	La mia usa Skype para hablar y ver a mis hijas. Dado que existe NAT dependo de software complejo para realizar una VC, cuando si tuviera IP Global + FW (local de host o de red en mi CPE -o ambos-) un sistema de directorio y una aplicación p2p harían el truco de tener video + voz end-to-end sin sacrificar seguridad

> 
> 
>> Considero, que en la medida que se implementen diferentes variantes
>> de NAT en las redes, estas se iran volviendo mas complejas, 
> 
> La red se va a volver compleja de todos modos, simplemente porque no
> hicimos lo que deberíamos ahber hecho, a tiempo.
> 
> Va a hacer falta compartir direcciones IPv4, por lo cual va a haber
> despliegue de CGN. Van a haber usuarios con IPv6-only, por lo cual
> también va a haber NAT64. Y en el medio tendremos una variedad de
> tuneles... de los ya conocidos, y tal vez de algunos otros por conocer.
> 
> *Esta* complejidad es inevitable.
> 
> Lo que *si* todavia podemos hacer es evitar que todo el mundo tenga como
> unica opcion estar detras de un CGN ad-infinitum. De ahi que IPv6 nos da
> la posibilidad que en el mediano o largo plazo esa complejidad pueda ir
> disminuyendo.

	Si, pero entre más CGN metamos más nos vamos a tardar en deshacernos de IPv4 e IPv6.

> 
> 
>> talvez
>> hasta llegar al punto de que los nodos con IPv6 no se puedan
>> comunicar de manera transparente, quizas si esto pasara correriamos
>> el riezgo de caer en donde estamos con relacion a NAT en IPv4.
> 
> Los nodos IPv6 en gral. no se van a contactar de manera directa
> simplemente porque en la mayoría de los casos, y para los usos que
> hacemos de la red actualmente, eso no es necesario.

	De nuevo, definamos extremo-a-extremo.

	Además, definir que "no es necesario" lo considero "patronizing" (no encontré traducción). Si esa hubiera sido la actitud en 1990 nos hubiéramos quedado con x.25 e ISDN.


> 
> Ejemplo: Comcast despliega IPv6 con un firewall stateful habilitado por
> default en el CPE.

	Eso no quiere decir que no haya comunicación extremo a extremo (de acuerdo a mi definición).


> 
> Saludos,
> -- 
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 

Saludos,
.as

> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad




Más información sobre la lista de distribución Seguridad