Bug en el 3Com OCR812 (Aclaracion de A. Martos)

El gran guru Antonio Martos nos ha enviado el siguiente post al grupo de news: “terra adsl”:

Unas aclaraciones más, puesto que veo que se esta extendiendo la paranoia en

otros foros y paginas web y está apareciendo como algo nuevo
Primero: Sea lo que sea no es nuevo, ya hablamos en este grupo varias veces del tema de iNAT, NAT y sus peligros inherentes, o mejor dicho, porque no es peligroso en si, sino la falsa sensacion de seguridad que produce que algunos piensan que NAT equivale a un firewall y como aparentemente los puertos aparecen cerrados, se confian pensando que tienen un firewall.Lo explique hace algún tiempo aqui:

Asi que no tiene sentido alarmarse ahora, no es nada nuevo (ni es un bug)

Cuando el fabricante dice que el 3com 812 actua como firewall se refiere mas

bien a que se le pueden poner filtros, como a cualquier router.

Lo he dicho muchas veces: NAT NO ES un mecanismo de seguridad, esta diseñado

para dejar pasar conexiones, no para impedirlas.

NAT (Inteligent NAT) es solo una version de las multiples implementaciones de NAT que hay, que toma sus propias decisiones sobre dejar pasar conexiones entrantes. En particular si le llega una conexion y se puede suponer a quien va dirigida (porque ha habido una previa en otro puerto), la redirije al ordenador que crea conveniente.

En particular con iNAT si un ordenador A de la red local conecta con un ordenador B de internet, a traves del router, por ejemplo, visitando una pagina web alojada en este, si B intenta conectar con A o le lanza un

ataque, el router considera todas las conexiones que vengan de B como

destinadas a A, salvo que tenga explicitamente indicado algo al respecto, y

las reenvia, logicamente, a A. Como se evita esto? Con un firewall en el ordenador y no confiando equivocamente en que el router nos protege a menos que se le configuren reglas de filtrado especificas. Este es el comportamiento normal y correcto

de un router, y de NAT, dejar pasar conexiones, y futuras versiones de NAT

dejaran pasar aun mas cosas, y gracias a eso funcionan algunos programas que

sin iNAT no funcionan o necesitan una configuracion especial.

Estoy leyendo recomendaciones de desactivar iNAT (por supuesto todo esto es

en multipuesto, no en monopuesto). Bien, pero es un poco peregrino salvo en

casos muy especiales, porque precisamente es una caracteristica muy util, y ademas no soluciona gran cosa. Lo que hay que hacer es, si uno quiere seguridad, poner un firewall por software en el ordenador u ordenadores, o un firewall por hardware intermedio, o bien configurar las reglas de filtrado (limitadas) del router,

pero nunca confiar en que NAT va a filtrar conexiones.

Por favor, corred la voz o referid estos mensaje si veis algun sitio donde

se habla del “nuevo bug” del 812, yo ya he dado parte a Bugtraq, asi que espero que se anule pronto el rumor.

Categorias: Gadgets

Etiquetas:

4s Comentarios

  1. Pues nada estoy completamente de acuerdo con la opinion de Don Antonio, porque reconozco que este es un tío que sabe en cantidad, aunque tiene cada faq que menudo ladrillo para principiantes como yo. Sinceramente yo no me voy a complicar la vida aunque lea que hay bugs, pero mucho mejor si leo que no es nada nuevo 🙂 Un saludo para todos y gracias Tami por la información tan privilegiada que nos has ofrecido ya que no todos tenemos acceso a las news de Terra
  2. Bien pues nada como dice Antonio he corrido la voz publicando en adslnet y BA un comentario con el notición de Tami, y bueno para los que tenéis 3com pues ya sabéis ;))
  3. Aquí dejo el comentario del señor Luke en BA donde afirma que no tenemos las ideas clara aquí en adslayuda. Vean porque demuestra unas grandes dotes de conocimientos sobre NAT y ciertos protocolos y parece que está incluso a la altura del mismisimo Antonio Martos. La cosa se remonta a que por lógica el posible bug podría afectar a los routers en multi pero como esta persona es muy lista dice lo siguiente:

    en monopuesto nada 1

    por Luke, el Miércoles, 29/05 14:48 h.

    el comportamiento del Intelligent NAT es redirigir más puertos de los que debería, con el router en monopuesto los redirecciona directamente todos xD así que por eso se necesita firewall.

    (Que persona más inteligente Dios Mío)

    ………y después de leer la noticia de Tami dice lo siguiente:

    joder, este tema empieza a ser pesado, a ver si ese Antonio Martos es capaz de explicarme para qué cojones sirve un firewall cuando tienes NAT activado y iNAT desactivado… el NAT no deja pasar NINGUNA CONEXIÓN DESDE FUERA a no ser que lo hayamos configurado en el router, y estando iNAT desactivado claro. Yo lo he tenido asi un huevo de tiempo, con firewall activado, y NO HA PASADO NI UN PUÑETERO ESCANEO A MI RED LOCAL. Al final he quitado el firewall, en mi opinión es que cuando tienes NAT activado para lo unico que sirve es para ralentizar el ordenador comiendo recursos. Es una tontería en conclusión…

    y he estado viendo esa adslayuda.com…. las ideas que tienen no son muy claras que digamos..

    (al loro que no tenemos las cosas claras)

    Venga os invito a contestarle porquie no tiene desperdicio, yo ya lo hice

    http://www.bandaancha.st/weblogart.php?artid=1221

    Ultimos mensajes

  4. Gente que deberia tener la boca cerra en vez de abrir el buzon para decir tonterias hay en todos lados, ya sea en BA o en cualquier otro lado. Creo que de todos es sabido el "aire de superioridad" que se da mucha gente por escribir alli asi que …

    En definitiva, no hay mayor desprecio ke no hacer aprecio, el solo echo de citar sus palabras ya es darle una importancia inmerecida un Ignore the lamer estaria mejor.

    A seguir con el trabajo bien hecho, animo.

    ^WarLock^