[LACNIC/Seguridad] [LAC-TF] Netfilter developers working on NAT for ip6tables

Ivan Arce ivan.arce en coresecurity.com
Mie Nov 30 15:11:22 BRST 2011 

On 11/30/11 9:40 AM, Arturo Servin wrote:
> 
> On 30 Nov 2011, at 09:15, Fernando Gont wrote:
> 
>> On 11/29/2011 10:13 PM, Juan Ant. Matos wrote:
>>> NAT en muchos casos ha hecho de las redes un espacio complejo.
>> 
>> Las redes son complejas básicamente porque utilizamos la misma 
>> tecnologia que hace casi 30 años, en un contexto completamente
>> diferente.
>> 
>> Los NATs contribuyen, pero a eso podés agregar NIDS, IPS, pakcet 
>> scrubbers, firewalls, proxies transparentes, etc., etc.
>> 
>> 
>>> Veo a NAT como el peor enemigo de las comunicaciones de extremo a
>>> extremo, sino preguntenle al Usuario Final X que ha intentado
>>> compartir una carpeta con el Usuario Final Y,  y sencillamente
>>> por la complejida que supone para el esto, sencillamente lo
>>> olvida y se vale de otros medios.
>> 
>> En tal sentido, un firewall stateful en el borde de la red
>> basicamente provocaría el mismo "problema".
> 
> No necesariamente.
> 

Necesariamente!

La presencia de un firewall implica por definición que la conectividad
extremo a extremo esta restringida de alguna manera. Un firewall que
deja pasar todo no cumple ninguna función de firewall, es simplemente un
router.

> El firewall inspecciona el contenido, si éste aprueba la regla
> simplemente lo pasa. Con NAT se tiene que hacer translación de
> direcciones y es ahí donde empieza el problema.
> 
> 
>> 
>> Como yo lo he mencionado en algunas oportunidades/presentaciones,
>> es cuestionable cuan deseable es la conectividad "extremo a
>> extremo" en el caso general.
> 
> Eso es independiente y es decisión del usuario final (residencial,
> etc.) o de la organización (enterprises). 

Es poco realista pensar que el usuario final tiene esa opción. En el
caso de usuarios individuales la elección es impuesta por el proveedor
de acceso o por el proveedor del sistema operativo.

En el caso de de las empresas la elección casi siempre es evitar la
conectividad extremo a extremo salvo para servicios específicos.

>> Y voy a citar un ejemplo concreto, de otros tantos que podría: Mi
>> madre comenzó a usar computadoras hace menos de un año. Actividad
>> tipica: e-mail y web. Hay algun motivo para que su sistema sea
>> "contactable" desde cualquier punto de la red por parte de
>> cualquier sistema? - no. En muchisimos casos, se aplica la misma
>> logica.
> 
> La mia usa Skype para hablar y ver a mis hijas. Dado que existe NAT
> dependo de software complejo para realizar una VC, cuando si tuviera
> IP Global + FW (local de host o de red en mi CPE -o ambos-) un
> sistema de directorio y una aplicación p2p harían el truco de tener
> video + voz end-to-end sin sacrificar seguridad

Su argumento parecería suponer que el stack IPv6 no es ni complejo ni
esta plagado de fallas. Quienes han implementado IPv6 en un sistema
operativo con foco en la seguridad tienen opiniones muy distintas.

>>> talvez hasta llegar al punto de que los nodos con IPv6 no se
>>> puedan comunicar de manera transparente, quizas si esto pasara
>>> correriamos el riezgo de caer en donde estamos con relacion a NAT
>>> en IPv4.
>> 
>> Los nodos IPv6 en gral. no se van a contactar de manera directa 
>> simplemente porque en la mayoría de los casos, y para los usos que 
>> hacemos de la red actualmente, eso no es necesario.
> 
> De nuevo, definamos extremo-a-extremo.

Me parece que es una demanda superflua en el contexto de esta lista pero
con la intención de darle mejor contexto a la discusión aca va mi intento:

"Que cualquier host que cumpla con los requerimientos del RFC 1122
(STD3) pueda comunicarse directamente usando protocolos standard de
Internet  con cualquier otro host que cumple con los mismos requerimientos"

> 
> Además, definir que "no es necesario" lo considero "patronizing" (no
> encontré traducción).

"condescendiente" ?

> Si esa hubiera sido la actitud en 1990 nos
> hubiéramos quedado con x.25 e ISDN.

Ese es un argumento contrafáctico e incontrastable. De la misma manera
se podría argumentar que si la conectividad extremo a extremo fuera tan
importante o necesaria sería mucho mas frecuente entre hosts IPv4 de lo
que es y el ritmo de adopción de IPv6 hubiera sido mucho mayor en los
últimos 13 años.

Mi opinión personal es que IPv6 es el típico producto de diseño de
comité, donde los intereses particulares y el peso político primaron
sobre la sencillez y elegancia técnica para resolver problemas generales
puntuales. Como resultado se termino con algo que intenta atender mil
problemas e intereses distintos y cuya implementación  agrega un
altísimo grado de complejidad que era totalmente innecesario para
atender el problema puntual de "falta de direcciones IP". En ese
sentido, no me sorprende ni me preocupa tanto el bajo ritmo de adopción
de IPv6. Tampoco soy partidario ni mucho menos fanático de esquemas NAT.
Para atender la problemática de falta de direcciones IPv4 se podría
haber planteado soluciones menos ambiciosas, mas sencillas y ya
contempladas por los protocolos existentes (pe. usar para algo util las
IP options)

De todas forma me parece que lo que hasta el momento escapa a esta
discusión es el escenario de uso de IPv6 que yo considero mucho mas
probable que el de los "hosts tradicionales": Teléfonos celulares y
otros dispositivos móviles donde la comunicación "extremo a extremo"
pude ser algo mas esperable y deseable.


-ivan


-- 
Ivan Arce
CTO - Core Security Technologies

Más información sobre la lista de distribución Seguridad