<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;"><br>   Si bien es cierto que el uso de NAT rompe con muchas apliaciones, tambien es cierto que este "feature" o daño colateral ha sido usado por muchos (me incluyo con el home router de mi casa) para negar el acceso del mundo a tus nodos/hosts/computadoras. Si bien el NAT no fue hecho para seguridad, funciona muy bien para este proposito (claro, con sus restricciones). <br><br>   Al implementar IPv6 la funcionalidad del NAT para translacion de direcciones se vuelve inutil ya que no necesitaremos ahorrar direcciones de IP. con IPv6 podré solicitar mi /48 y hacer el subneteo que quiera dentro de mi casa. Sin embargo, ahora todas mis direcciones serán públicas y podrían ser accesadas por cualquiera. Aquí el truco será
 en poner un dispositivo (que creo que sería un firewall) para permitir la entrada y salida del tráfico de mi red. <br><br>   Al final del día no creo que la ausencia del NAT en las redes caseras y corporativas sea un problema. Simplemente va a ser sustituido por un disposivo especifico para permitir la entrada y salida de tráfico usando las reglas apropiadas de seguridad. Si va a ser más complicado, pero al final creo que es lo correcto.<br><br>Saludos,<br>-asn<br><br><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">----- Original Message ----<br>From: Carlos M. Martinez <carlos.martinez@csirt-antel.com.uy><br>To: seguridad@lacnic.net<br>Sent: Thursday, June 7, 2007 3:58:59 PM<br>Subject: [LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la lista de NANOG)<br><br><div>Hola a todos,<br><br>queria compartir con uds un post que hice en la lista de NANOG.<br>Disculpas por que esta en Inglés. Mi interés es motivar la
 discusión<br>sobre NAT y seguridad, discusión que cobra mucha fuerza con el<br>advenimiento de IPv6<br><br>> Hi,<br>> <br>> Valdis.Kletnieks@vt.edu wrote:<br>>> <br>>> I think somebody on this list mentioned that due to corporate acquisitions,<br>>> there were legitimate paths between machines that traversed 5 or 6 NATs.<br>>> <br>> <br>> Not 5 or 6, but in my company I could show you paths with 4 NATs. Many of them. And no acquisitions, just different Divisions of the same company.<br>> <br>> I once spent three days trying to get the four administrators to talk among themselves and determine where a SYN flood was coming from. <br>> <br>> Whatever people say, NAT is a hack. NAT was intended to extend IPv4's lifetime (togher with CIDR they were pretty successful at that) and nothing else.<br>> <br>> And as someone said it earlier, instead of promoting layer separation NAT it has promoted "protocol hacking hell".
 <br>> <br>> Please, even the related PIX commands are named after they hackish nature:<br>> <br>> "fixup protocol dns"<br>> "fixup protocol ftp"<br>> <br>> This completely destroys the end-to-end nature of application protocols! If someone wants to improve FTP or anything that requires a "fixup", it doesn't suffice to code a server and a client. No, you need to talk to 1.000sh firewall manufacturers so they correct their "fixups".<br>> <br>> Which they might or might not do, of course, depending on how they feel that particular day. Talk about vendor lock-in.<br>> <br>> In my view, this ossifies the whole Internet development cycle. <br>> <br>> And the argument that NAT is easier to administer than a full SI firewall is pretty thin, even if it was true, about what I have my doubts. Moreover, not everything in life should be conditioned to the "easier to administer" argument. <br>> <br>> Sorry about the rant :-)<br>> <br>>
 Carlos M.<br>> ANTEL Uruguay<br>> <br>>> But yeah, "Sure, very easily".  Whatever you say...<br>_______________________________________________<br>Seguridad mailing list<br>Seguridad@lacnic.net<br><a target="_blank" href="https://mail.lacnic.net/mailman/listinfo/seguridad">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br></div></div><br></div></div><br>

<hr size=1>
Don't get soaked.  Take a<a href="
http://tools.search.yahoo.com/shortcuts/?fr=oni_on_mail&#news"> quick peak at the forecast </a><br> with the<a href="
http://tools.search.yahoo.com/shortcuts/?fr=oni_on_mail&#news">Yahoo! Search weather shortcut.</a></body></html>