Transcribimos un comunicado de 3Com que responde a la notica pulicada el pasado dÃa 4 que atribuÃa a sus routers una vulnerabilidad que permitÃa el escaneo de puertos.
Noticia aparecida en Vnunet.es
El pasado dÃa 4 de junio de 2002 en VNUNET.es apareció una noticia sobre el router ADSL 812 de 3Com en la que se apuntaba a que dicho equipo presentaba vulnerabilidades utilizando PAT (Port Address Traslation).
En este sentido queremos aclarar que en ningún caso el equipo presenta fallos o bug de seguridad como puede interpretarse una vez leido el citado artÃculo. Las funciones PAT o Intelligent NAT (iNAT) como se denomina en el caso del router 3Com ADSL 812 Router están diseñadas para facilitar comunicaciones entre dispositivos y usuarios y no para restringirlas. Es más, algunas aplicaciones no funcionan correctamente si no disponemos de iNAT o bien requieren de una configuración compleja.
Dicho de otra forma las funciones tipo PAT no tienen nada que ver con aspectos de seguridad, sino todo lo contrario, pretender abrir comunicaciones. El modo de funcionamiento de iNAT es sencillo, imaginemos que un PC de nuestra LAN (PC L1) con su dirección IP privada, se conecta mediante el router 3Com ADSL 812 con otro equipo remoto (PC R1) a través de una red con direccionamiento IP público.
Cuando R1 desee conectarse con nuestro PC L1, el router interpretará y encaminará de forma inteligente todas esas conexiones (tráfico IP -puertos-) hacia PCL1. También conviene decir que una vez entendido cómo funciona iNAT, el router de 3Com ADSL 812 Router permite que el usuario deshabilite dicha funcionalidad mediante un simple comando. Como puede apreciar el lector, iNAT (o cualquier otro nombre que quieran darle los distintos fabricantes de este tipo de soluciones), no es un mecanismo de seguridad ni lo pretende ser, de hacerlo, pretenderÃa todo lo contrario.
Es importante que los usuarios tengan esto en cuenta para no calificar de vulnerable algo que no lo es, porque como ha quedado explicado anteriormente ese calificativo no refleja la realidad de la función PAT / iNAT y sin embargo puede ocasionar confusión y alarma innecesaria entre los lectores y usuarios de estas tecnologÃas.
Por último queremos insistir nuevamente que PAT / iNAT o cualquiera de sus derivados no son un mecanismo de seguridad en sà mismos, sino una facilidad avanzada para el establecimiento de comunicaciones entre dispositivos/usuarios, aquellos usuarios que quieran disponer de seguridad han de recurrir a sistemas de firewalling establecidos y creados para dicha función.
Anónimo
en todo router decente existe la funcion de NAT i de PAT, la de PAT sirve para enmascarar un IP privada sobre una Pública utilizando una multiplexación de puertos y eso añade seguridad extra, ya que el puerto inicial se transforma en otro para acceder al destino, por tanto el PAT és intrinsecamente seguro, excepto parace ser, en el 3c812.
Anónimo
Creo que andas un poco equivodaco con lo de PAT/iNAt.
No es lo mismo.
Yo estoy haciendo PAT (redirigiendo puertos a un ordenador de mi red privada desde el router) y al mismo tiempo he deshabilitado la funcion intelligent NAT en el correspondiente vc, con lo que gano en seguridad ya que el router me hace de firewall.
Puedes comprobar lo peligroso del asunto si escaneas tu direccion desde fuera sin deshabilitar esa función:
¡TODOS los paquetes llegan a la máquina donde has redirigido puertos.! O tienes un firewall en esa maquina o estas en pelotas.
Anónimo
Creo que andas un poco equivodaco con lo de PAT/iNAt.
No es lo mismo.
Yo estoy haciendo PAT (redirigiendo puertos a un ordenador de mi red privada desde el router) y al mismo tiempo he deshabilitado la funcion intelligent NAT en el correspondiente vc, con lo que gano en seguridad ya que el router me hace de firewall.
Puedes comprobar lo peligroso del asunto si escaneas tu direccion desde fuera sin deshabilitar esa función:
¡TODOS los paquetes llegan a la máquina donde has redirigido puertos.! O tienes un firewall en esa maquina o estas en pelotas.
Anónimo
NAT y PAT están pensados como solución a corto/medio plazo para ahorrar IP’s y asà retrasar el paso a la versión 6 de IP, que será una gran movida.
NAT/PAT pueden ser aprovechados para aumentar la seguridad si se usan adecuadamente pero, usados inadecuadamente, perjudicarán la seguridad.
Cuando usamos PAT, como se supone que usamos varios ordenadores, conviene indicar una IP por defecto para PAT a la cual irán las conexiones que el router no sabe donde enviar.
Entonces aparece una cuestión clave: ¿no podrÃa haber varias IP’s por defecto? Según las circunstancias.
Si llega una petición de conexión desde fuera, ¿no podrÃa el router mirar y, si ya hay un ordenador conectado con esa IP por algún otro puerto, pués, ¡hombre!, lo lógico es que intente conectar con ese mismo ordenador por un nuevo puerto, ¿si ya están dialogando entre ellos …? Eso es lo que hace iNAT.
El problema aparece cuando se da más prioridad a iNAT que a los filtros y demás mecanismos de defensa. Si se da más prioridad a los filtros que a iNAT, el problema ya no es tan grave.
Hacer lo uno o lo otro depende del programa que gobierna el router: el firmware.
Cada versión de firmware aporta algo respecto de las anteriores.
Anónimo
Quiero rectificar mi post anónimo.
Después de leer un post de Antonio Martos que ha publicado el administrador, queda claro que el OCR 812 da más prioridad a los filtros que al iNAT, es decir, aunque iNAT intentara facilitar una conexión, lo cual es su fin, si algún filtro debe impedirla, la conexión no será establecida.
Por eso, mi opinión es que no se use iNAT si no es imprescindible. Vale la pena molestarse un poco y abrir los puertos necesarios y editar unos filtros, y prescindir de iNAT.
Anónimo
Leyendo el RFC 1631, a mà me parece que NAT ha sido pensado, en origen, para ahorrar direcciones IP (asà lo escribà en mi respuesta y re-respuesta, off line, del 17 y el 26).
Indudablemente, cuando se hace un buen uso de NAT y, sobre todo, de su variante multipuesto PAT, se puede ganar en seguridad. Yo, de hecho, asà lo hago.
En cuanto al tema más técnico, en otra parte de esta web, respondiendo a un post que hablaba del supuesto bug, expliqué como crear vÃas muertas con direcciones estáticas sin puesto fÃsico. Mi intención era demostrar, en la práctica, que con PAT se puede ganar seguridad.
Yo soy de la idea de que, aún dándole un poquito trabajo extra a la CPU del OCR 812, conviene implantar en el OCR todas las medidas de seguridad que sean factibles. Entre ellas, los cuatro filtros y un PAT usado con inteligencia, pero humana.
Con iNAT pasa como con casi todas las cosas: es cómodo pero no es seguro. No esperes que te lo den todo hecho. Para ganar seguridad, hay que trabajar.