[LACNIC/Seguridad] [LAC-TF] Netfilter developers working on NAT for ip6tables

Fernando Gont fgont en si6networks.com
Mie Nov 30 11:16:42 BRST 2011 

On 11/30/2011 06:40 AM, Arturo Servin wrote:

>>> Veo a NAT como el peor enemigo de las comunicaciones de extremo a
>>> extremo, sino preguntenle al Usuario Final X que ha intentado
>>> compartir una carpeta con el Usuario Final Y,  y sencillamente
>>> por la complejida que supone para el esto, sencillamente lo
>>> olvida y se vale de otros medios.
>> 
>> En tal sentido, un firewall stateful en el borde de la red
>> basicamente provocaría el mismo "problema".
> 
> No necesariamente.
> 
> El firewall inspecciona el contenido, si éste aprueba la regla
> simplemente lo pasa. Con NAT se tiene que hacer translación de
> direcciones y es ahí donde empieza el problema.

Claro, pero se trata de un problema diferente. A loq ue me refería es
que si uno pone un fw stateful en el borde de la red, la conectividad
"extremo a extremo" se rompe (de hecho, esa es la razon de ser del
firewall).

Esta claro que el NAT, aparte de ese efecto colateral de "stateful
firewall" traduce direcciones, y eso rompe algunas aplicaciones (o hace
evidente que algunas aplicaciones tienen un diseño bastante "broken" ;-) ).



>> Como yo lo he mencionado en algunas oportunidades/presentaciones,
>> es cuestionable cuan deseable es la conectividad "extremo a
>> extremo" en el caso general.
> 
> Eso es independiente y es decisión del usuario final (residencial,
> etc.) o de la organización (enterprises). El problema con NAT e IPv4
> es que impone una restricción obligatoria. Con IPv6 la restricción es
> opcional.

Estamos de acuerdo.



>> En el caso tipico, los usuarios consumen información, por lo que
>> esa conectividad "extremo a extremo" basicamente incrementa la
>> exposicion a ataques innecesariamente.
> 
> Define extremo a extremo.

Slide 19 de
<http://www.si6networks.com/presentations/unam2011/fgont-unam2011-seguridad-ipv6.pdf>.

Basicamente, "conectividad extremo a extremo" implica que cualquier
sistema conectado a la red puede comunicarse con cualquier otro sistema
conectado a la red.



> Para mi extremo a extremo es IP-Global a IP-Global. Si existe un FW
> en medio (sea de red o de host) es independiente.

Ver slide 20 de las diapositivas anteriores. :-)

Que tengas direcciones globales no implica que tengas conectividad
extremo a extremo. Podes tener direcciones globales, y asi y todo las
aplicaciones P2P pueden "fallar" (ya que ninguno de los extremos tiene
"permitido" conectarse con el otro.

En su forma mas general, el principio de "extremo a extremo" (e2e)
basicamente argumenta en favor de una red tonta, y extremos
inteligentes. Y la red, al ser tonta, obviamente no filtra paquetes, ni
aplica politicas, ni nada.


>> Y voy a citar un ejemplo concreto, de otros tantos que podría: Mi
>> madre comenzó a usar computadoras hace menos de un año. Actividad
>> tipica: e-mail y web. Hay algun motivo para que su sistema sea
>> "contactable" desde cualquier punto de la red por parte de
>> cualquier sistema? - no. En muchisimos casos, se aplica la misma
>> logica.
> 
> La mia usa Skype para hablar y ver a mis hijas. Dado que existe NAT
> dependo de software complejo para realizar una VC

Bueno, pero eso no necesariamente va a mejorar... porque asi y todo se
desplegara IPv6 de manera masiva, ahora Skype fue comprado por
Microsoft. (broma) :-)


> , cuando si tuviera
> IP Global + FW (local de host o de red en mi CPE -o ambos-) un
> sistema de directorio y una aplicación p2p harían el truco de tener
> video + voz end-to-end sin sacrificar seguridad

SI tuvieras un firewall en el borde, tendrias que agregar una excepcion
manualmente... sino estarias en la misma. Y en ese punto tal vez quede
justificado el "software complejo", ya que no todo el mundo esta en
condiciones de administrar un firewall.



>> Lo que *si* todavia podemos hacer es evitar que todo el mundo tenga
>> como unica opcion estar detras de un CGN ad-infinitum. De ahi que
>> IPv6 nos da la posibilidad que en el mediano o largo plazo esa
>> complejidad pueda ir disminuyendo.
> 
> Si, pero entre más CGN metamos más nos vamos a tardar en deshacernos
> de IPv4 e IPv6.

Completamente de acuerdo. Yo no argumento en favor del CGN como
*alternativa* a IPv6. Solo digo que como las direcciones IPv4 siguen
siendo necesarias, termina siendo necesario "cierto" despliegue de CGN
(en adición al despliegue de IPv6).



>> Los nodos IPv6 en gral. no se van a contactar de manera directa 
>> simplemente porque en la mayoría de los casos, y para los usos que 
>> hacemos de la red actualmente, eso no es necesario.
> 
> De nuevo, definamos extremo-a-extremo.
> 
> Además, definir que "no es necesario" lo considero "patronizing" (no
> encontré traducción). Si esa hubiera sido la actitud en 1990 nos
> hubiéramos quedado con x.25 e ISDN.

Simple: que aplicaciones utilizan la mayoria de los usuarios? dependen
esas aplicaciones de conectividad extremo a extremo? -- De no ser asi,
nadie va a dejar una red abierta "por defecto".



>> Ejemplo: Comcast despliega IPv6 con un firewall stateful habilitado
>> por default en el CPE.
> 
> Eso no quiere decir que no haya comunicación extremo a extremo (de
> acuerdo a mi definición).

Con IPv6+fw tenes *direccionamiento* extremo a extremo, pero no
*conectividad* extremo a extremo.

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad