<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<font face="Verdana">Hola a todos, discutir sobre el NAT, tenemos para
rato, creo que seguro para todo no es, todo depende del escenario y que
cosa deseas hacer... hay muchas soluciones para utilizar dichas
opciones de ocultar, restringir, privar, asegurar, etc, etc una red o
un segmente de red...<br>
<br>
Utilizar dicho feature del protocolo esta dado según el impacto que
deseen dentro de tu infraestructura tecnológica de comunicaciones, ya
sea para data, voz, etc,etc...<br>
<br>
</font><font face="Verdana">Pero saliéndome del tema del NAT, y
complementado los comentarios de</font><font face="Verdana"> por que el
TCP trae sorpresas....<br>
<br>
Bueno también hay que entender que las cosas nunca se hacen o se
inventan para las situaciones de una época a futuro no se sabe a cierta
medida quien inventa algo para que en 10 años, funcione o cumpla las
necesidades al futuro... no hay desarrollo alguno que a futuro sea 95%
perfecto...<br>
<br>
Solo sucede en la teorías... Pero nos damos cuenta que tal como se
predijo que las direcciones IP nunca se acabarían, se están acabando,
por que son una parte esencial en las redes...<br>
<br>
Muchos predijeron que las PC y los sistemas operativos de punto
flotante tenían un final, en esta década que viene, pero vemos que así
como va seguirá sobreviviviendo con el TCP-IP, de lado y como eje
central en las comunicaciones, y gracias a internet también, del cual
depende<br>
<br>
Sabemos que muchas arquitecturas de hardware, como i386, AMD, PowerPC,
SPARC, DEC, apostaron por TCP-IP, y las plataformas informaticas, Mac,
MSX, Spectrum, etc, se ajustaron a TCP-IP, inclusive vemos celulares,
PDA,  consolas de juego apostando por TCP-IP... Quizas veamos
Microwave, neveras, televisores, con TCP-IP<br>
<br>
Entonces no se puede decir que TCP-IP es la maldición por ponernos
estas piedritas en el camino... Pues inventar la pólvora o hacer todo
el conjunto de protocolos, es una cosa de locos.. pues creo que las
experiencias como los protocoles propietarios, que en paz descansen no
pudieron con el TCP-IP...<br>
<br>
Mientras exista TCP-IP, estaremos desarrollando mas tecnología, y
desarrollando mas dispositivos inimaginables, creo que hablar mal de
TCP-IP en este momento es como estar insultando a la columna vertebral
de las comunicaciones, y que por ahora con sus problemas hay que
convivir,.... a no ser que google haga la ingeniería al protocolo.... O
que la plataforma informática mas utilizada en el mundo, osea las
IBM-PC, sean desplazados por las Mac, que sinceramente esta tan cercana
esta afirmación... si no veamos no más como windows se parece e innova
con respecto a Mac por ser propietario con respecto a GNU/Linux que
tampoco se queda atrás en el rubro y además soportas varias
arquitecturas, por que si seguía con sus ventanas toscas, y sabiendo
que Apple se pasaba a la fila del arquitectura i386, perdía terreno....<br>
<br>
Un  saludos a todos<br>
</font>
<pre class="moz-signature" cols="72">PD. Agradeciendo su comprensión, pido disculpas, si nota Ud. errores de ortografía y gramática en esta misiva. 
-----------------------------------------------------------
 Anatoly Alexei Pedemonte Ku 
 RAGE SYSTEMS S.A.C.
 <a class="moz-txt-link-freetext" href="http://www.ragesys.net">http://www.ragesys.net</a>
 Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
 LIMA - PERU
 Nextel: 511.98252347 
 Móvil: 511.97167435 
-----------------------------------------------------------
Este correo y su contenido son confidenciales y exclusivos para su destinatario. Si usted recibe este mensaje por error o no es el destinatario del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y reflexiones expresadas en esta comunicación corresponden al originador del correo y NO representa la posición oficial de su empleador.
--------------------------------------------------------------------------------------------------------------------------------------
This email is intended only for the addresse(s) and contains information which may be confidential, legally privileged. If you are not intended recipient please do not save, forward, disclose or copy the content of this email. Please delete it completely from your system and notify originator.Finally, all ideas expressed in this communication are personal comments and NOT represent official position of his employer.
--------------------------------------------------------------------------------------------------------------------------------------

******** ESP: Esta sección no es virus, sino es la Llave publica de Firma Digital   *********
******** ENG: This section do not a virus, really is the Public Key of Digital Sign   *********

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.3 (MingW32)
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=GD85
-----END PGP PUBLIC KEY BLOCK-----
</pre>
<br>
<br>
Carlos Quevedo escribió:
<blockquote cite="mid:001e01c7a9a0$7003b0a0$0a00a8c0@amd16" type="cite">
  <pre wrap="">No concuerdo con lo de hack por todos lados, TCP/IP es una familia de 
protocolos y como tal tiene virtudes y defectos en mi opinion.

No se si exista un protocolo publico al que nunca le hayan encontrado fallas 
de seguridad, pero me extrañaría mucho que existiese uno de esas 
características por el simple hecho de que los protocolos son diseñados 
pensando en un conjunto predeterminado de situaciones, o es que se puede 
diseñar un protocolo teniendo en cuenta todas las situaciones posibles?

En particular usar el término hack sobre el protocolo TCP/IP me parece 
demasiado despectivo y hasta irrespetuoso con quienes lo diseñaron, aunque 
pueda ser que se sientan halagados por el hecho de ser considerados 
"hackers".

Que una opinion de un sector de las telecomunicaciones sea que el 
direccionamiento de nodos es indispensable y que no deben todos los 
elementos de una red contar con una direccion publica es hasta donde llega 
mi conocimiento: una opinion.  O existe una demostración matemática de que 
así debe ser?

(nota al margen:Podria una persona independiente unirse a una red donde el 
direccionamiento de nodos existiese y compartir sus bases de conocimiento 
con cualquier persona del mundo a un costo muy bajo?)

NAT nació para suplir la escasez de direcciones IPv4, por lo que la 
afirmación de que gracias a NAT se ha descubierto que tan mal estaban 
diseñados los protocolos me hace ver que no conozco literatura que sustente 
dichas afirmaciones y que obviamente me gustaría leer.

Por ahora mejor me despido viendo como los bits de este mensaje son 
"hackeados" para llegar a su destino.

Carlos Quevedo
Asesor Técnico CCIT

----- Original Message ----- 
From: "Fernando Gont" <a class="moz-txt-link-rfc2396E" href="mailto:fernando@gont.com.ar"><fernando@gont.com.ar></a>
To: <a class="moz-txt-link-rfc2396E" href="mailto:seguridad@lacnic.net"><seguridad@lacnic.net></a>
Sent: Thursday, June 07, 2007 10:33 PM
Subject: Re: [LACNIC/Seguridad] El NAT y la seguridad (Cross-post de la 
lista de NANOG)


Carlos,

Mis respuestas/comentarios van entre lineas....


  </pre>
  <blockquote type="cite">
    <blockquote type="cite">
      <pre wrap="">Not 5 or 6, but in my company I could show
      </pre>
    </blockquote>
    <pre wrap="">you paths with 4 NATs. Many of them. And no
acquisitions, just different Divisions of the same company.
    </pre>
    <blockquote type="cite">
      <pre wrap="">I once spent three days trying to get the
      </pre>
    </blockquote>
    <pre wrap="">four administrators to talk among themselves
and determine where a SYN flood was coming from.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Cuando se aplica con alguna motivacion de
seguridad, el NAT justamente apunta a "ocultar"
los sistemas que estan detras del NAT. Ese esa
propia caracteristica la que, en escenarios como
el que describis, puede dificultar el rastreo de ataques.

Nosotros (en UTN/FRH) haciamos NAT+stateful
filtering. Por ello, ataques como el SYN flood
podian ser evitados simplemente limitando las
conexiones activas que un sistema podia mantener.
Tambien es de notar que el NAT lo haciamos justo
antes de salir a Internet. Tanto la red interna,
como el acceso de nuestros clientes a los
servidores publicos, se realizaba utilizando direcciones privadas.



  </pre>
  <blockquote type="cite">
    <blockquote type="cite">
      <pre wrap="">Whatever people say, NAT is a hack. NAT was
      </pre>
    </blockquote>
    <pre wrap="">intended to extend IPv4's lifetime (togher with
CIDR they were pretty successful at that) and nothing else.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
TCP/IP es un hack en si... por donde lo mires.

Por ej., en IP el esquema de direccionamiento
esta incompleto (tanto en v4, como en v6).

En TCP, se agrego control de congestion (!)
cuando Internet colapso a mitad de los 80. SACK
es un parche para ackear paquetes. El
pseudoheader de TCP es algo poco limpio. :-)

Los well-known ports (por ej., "el puerto 80 es
la web") no es mas que un hack ante la carencia de un servicio de 
directorio.

etc., etc., etc.



  </pre>
  <blockquote type="cite">
    <blockquote type="cite">
      <pre wrap="">And as someone said it earlier, instead of
      </pre>
    </blockquote>
    <pre wrap="">promoting layer separation NAT it has promoted "protocol hacking hell".
    </pre>
    <blockquote type="cite">
      <pre wrap="">Please, even the related PIX commands are named after they hackish 
nature:

"fixup protocol dns"
"fixup protocol ftp"
      </pre>
    </blockquote>
  </blockquote>
  <pre wrap=""><!---->
Yo discrepo con esta observacion. En la gran
mayoria de los casos, NAT simplemente hizo
evidente que numerosos protocolos estan mal diseñados.

Pensa el caso de FTP. De donde proviene la
dificulta principal de usar FTP a traves de
NATs/middle-boxes? - Basicamente, el problema
radica que en el protocolo de *aplicacion* TCP se
transfieren direcciones IP y numeros de puerto
TCP. Y esta clarisimo que un protocolo de
aplicacion no tendria que trabajar con tales objetos de tan bajo nivel.

(Como puede ser que haya que modificar FTP para que pueda andar con v6?????)

La gente pro-v6 usa como uno de sus argumentos de
marketing que todos los sistemas que accedan a
Internet tienen que ser directamente
direccionables ("end to end argument"). Esto es
un error. El hecho de que un sistema quiera
acceder a Internet no tiene porque implicar,
desde un punto de vista teorico
(direccionamiento) que tenga un punto de conexion
(direccion IP, en este caso) publico.

El problema aca es que la arquitectura de
direccionamiento de Internet esta incompleta. No
hay direcciones de "nodos". Entocnes las
direcciones IP tienen doble significado: tanto
"punto de conexion", como "nodo". Y eso es loq ue
usualmente motiva a pensar que todo el mundo (es
decir, cada nodo) tendria que tener una direccion IP propia.

Saludos,

  </pre>
</blockquote>
</body>
</html>