El gran guru Antonio Martos nos ha enviado el siguiente post al grupo de news: «terra adsl»:
Unas aclaraciones más, puesto que veo que se esta extendiendo la paranoia en
otros foros y paginas web y está apareciendo como algo nuevo…Primero: Sea lo que sea no es nuevo, ya hablamos en este grupo varias veces del tema de iNAT, NAT y sus peligros inherentes, o mejor dicho, porque no es peligroso en si, sino la falsa sensacion de seguridad que produce que algunos piensan que NAT equivale a un firewall y como aparentemente los puertos aparecen cerrados, se confian pensando que tienen un firewall.Lo explique hace algún tiempo aqui:
Asi que no tiene sentido alarmarse ahora, no es nada nuevo (ni es un bug)
Cuando el fabricante dice que el 3com 812 actua como firewall se refiere mas
bien a que se le pueden poner filtros, como a cualquier router.
Lo he dicho muchas veces: NAT NO ES un mecanismo de seguridad, esta diseñado
para dejar pasar conexiones, no para impedirlas.
NAT (Inteligent NAT) es solo una version de las multiples implementaciones de NAT que hay, que toma sus propias decisiones sobre dejar pasar conexiones entrantes. En particular si le llega una conexion y se puede suponer a quien va dirigida (porque ha habido una previa en otro puerto), la redirije al ordenador que crea conveniente.
En particular con iNAT si un ordenador A de la red local conecta con un ordenador B de internet, a traves del router, por ejemplo, visitando una pagina web alojada en este, si B intenta conectar con A o le lanza un
ataque, el router considera todas las conexiones que vengan de B como
destinadas a A, salvo que tenga explicitamente indicado algo al respecto, y
las reenvia, logicamente, a A. Como se evita esto? Con un firewall en el ordenador y no confiando equivocamente en que el router nos protege a menos que se le configuren reglas de filtrado especificas. Este es el comportamiento normal y correcto
de un router, y de NAT, dejar pasar conexiones, y futuras versiones de NAT
dejaran pasar aun mas cosas, y gracias a eso funcionan algunos programas que
sin iNAT no funcionan o necesitan una configuracion especial.
Estoy leyendo recomendaciones de desactivar iNAT (por supuesto todo esto es
en multipuesto, no en monopuesto). Bien, pero es un poco peregrino salvo en
casos muy especiales, porque precisamente es una caracteristica muy util, y ademas no soluciona gran cosa. Lo que hay que hacer es, si uno quiere seguridad, poner un firewall por software en el ordenador u ordenadores, o un firewall por hardware intermedio, o bien configurar las reglas de filtrado (limitadas) del router,
pero nunca confiar en que NAT va a filtrar conexiones.
Por favor, corred la voz o referid estos mensaje si veis algun sitio donde
se habla del «nuevo bug» del 812, yo ya he dado parte a Bugtraq, asi que espero que se anule pronto el rumor.
Noticia Anterior
Siguiente Noticia
- Comentarios de Facebook
- Comentarios4