Bug en el 3Com OCR812 (Aclaracion de A. Martos)

El gran guru Antonio Martos nos ha enviado el siguiente post al grupo de news: “terra adsl”:

Unas aclaraciones más, puesto que veo que se esta extendiendo la paranoia en

otros foros y paginas web y está apareciendo como algo nuevo
Primero: Sea lo que sea no es nuevo, ya hablamos en este grupo varias veces del tema de iNAT, NAT y sus peligros inherentes, o mejor dicho, porque no es peligroso en si, sino la falsa sensacion de seguridad que produce que algunos piensan que NAT equivale a un firewall y como aparentemente los puertos aparecen cerrados, se confian pensando que tienen un firewall.Lo explique hace algún tiempo aqui:

Asi que no tiene sentido alarmarse ahora, no es nada nuevo (ni es un bug)

Cuando el fabricante dice que el 3com 812 actua como firewall se refiere mas

bien a que se le pueden poner filtros, como a cualquier router.

Lo he dicho muchas veces: NAT NO ES un mecanismo de seguridad, esta diseñado

para dejar pasar conexiones, no para impedirlas.

NAT (Inteligent NAT) es solo una version de las multiples implementaciones de NAT que hay, que toma sus propias decisiones sobre dejar pasar conexiones entrantes. En particular si le llega una conexion y se puede suponer a quien va dirigida (porque ha habido una previa en otro puerto), la redirije al ordenador que crea conveniente.

En particular con iNAT si un ordenador A de la red local conecta con un ordenador B de internet, a traves del router, por ejemplo, visitando una pagina web alojada en este, si B intenta conectar con A o le lanza un

ataque, el router considera todas las conexiones que vengan de B como

destinadas a A, salvo que tenga explicitamente indicado algo al respecto, y

las reenvia, logicamente, a A. Como se evita esto? Con un firewall en el ordenador y no confiando equivocamente en que el router nos protege a menos que se le configuren reglas de filtrado especificas. Este es el comportamiento normal y correcto

de un router, y de NAT, dejar pasar conexiones, y futuras versiones de NAT

dejaran pasar aun mas cosas, y gracias a eso funcionan algunos programas que

sin iNAT no funcionan o necesitan una configuracion especial.

Estoy leyendo recomendaciones de desactivar iNAT (por supuesto todo esto es

en multipuesto, no en monopuesto). Bien, pero es un poco peregrino salvo en

casos muy especiales, porque precisamente es una caracteristica muy util, y ademas no soluciona gran cosa. Lo que hay que hacer es, si uno quiere seguridad, poner un firewall por software en el ordenador u ordenadores, o un firewall por hardware intermedio, o bien configurar las reglas de filtrado (limitadas) del router,

pero nunca confiar en que NAT va a filtrar conexiones.

Por favor, corred la voz o referid estos mensaje si veis algun sitio donde

se habla del “nuevo bug” del 812, yo ya he dado parte a Bugtraq, asi que espero que se anule pronto el rumor.

Cargando...

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que estás de acuerdo, pero puedes optar por no seguir si lo deseas. Aceptar Leer más