El mito de la traducción de direcciones de red como seguridad

En las redes de proveedores de servicios, el mayor uso de la traducción de direcciones de red (NAT) tiende a estar en el punto del extremo de Internet del suscriptor, pero lamentablemente este punto es también la mayor superficie de ataque, que conlleva las mayores amenazas, dentro de la red de proveedores de servicios. En las redes móviles, este lugar se denomina con varios términos, como Gi LAN, SGi LAN y extremo móvil. En términos más generales, es la ubicación donde la conectividad pura a Internet se encuentra con una puerta de enlace que gestiona una tecnología de acceso específica (como la inalámbrica, el cable o la fibra). Las puertas de enlace son excelentes para gestionar la conectividad de los suscriptores en una red de acceso específica, pero no son adecuadas para aplicar controles de seguridad o traducción de direcciones debido a su limitada funcionalidad de seguridad o a su excesivo coste.

En el pasado, los proveedores de servicios han trabajado bajo la suposición errónea de que la NAT puede proporcionar tanto la traducción de direcciones como la seguridad en el extremo de Internet del suscriptor. La comunidad de seguridad ha tratado de disipar este mito, pero persiste, y los proveedores de servicios móviles y fijos, en el entorno actual donde cada vez hay más ataques, tienen que comprender porqué la NAT es insuficiente. Esta comprensión comienza por reconocer que hay muchos tipos diferentes de servicios de seguridad en el punto de agregación del suscriptor, además de la denegación del tráfico entrante.

Una solución de arquitectura común consiste en un sistema de estado entre la puerta de enlace e Internet que pueda proporcionar varios servicios a los suscriptores y a la red. Entre los tipos más comunes de servicios de seguridad se encuentran:

• Protección DDoS. La mitigación de los ataques de denegación de servicio distribuidos (DDoS), que suele proteger contra los ataques a gran escala procedentes de Internet, consiste en eliminar los paquetes que no tienen un propósito legítimo y limitar los paquetes que se desvían de los patrones de comportamiento típicos.
• Limitación de puertos y protocolos. Hace más de una década, los proveedores de servicios proporcionaban un acceso muy abierto a y desde todos los suscriptores. Aunque esto facilitaba la conectividad para muchas aplicaciones, también facilitaba un entorno estupendo para la propagación de virus y gusanos, que consumían excesivamente los recursos de la red. Hoy en día, la mayoría de los proveedores de servicios impiden algunos protocolos en sus redes y limitan el uso de otros en un esfuerzo por minimizar el riesgo de que emerja el malware.
• Protección de la infraestructura. La belleza de la conectividad IP reside en permitir a cualquier persona con una dirección IP comunicarse en potencia con cualquier otra dirección IP del planeta. Sin embargo, esto también facilita a los suscriptores la conexión potencial a sistemas de la red del proveedor de servicios sin ninguna razón legítima. La implementación de controles para proteger la infraestructura en el punto de agregación de los suscriptores es bastante importante.
• Mitigación de las redes de robots. Si tomamos cualquier momento en el tiempo, son muchos los suscriptores que tienen sistemas infectados con virus y malware que se comunican con sistemas de mando y control (C&C) en algún lugar de Internet. La limitación de esta comunicación beneficia tanto al suscriptor como a la red al reducir el uso de los dispositivos de suscriptor en los ataques de las redes de robots.
• Tipos de aplicación del servicio. Muchos proveedores de servicios tienen varias ofertas de servicios que permiten a los suscriptores llevar a cabo diferentes tipos de conectividad. Por ejemplo, los clientes empresariales pueden requerir direcciones IP estáticas con uso ilimitado de protocolos y la capacidad de alojar servidores. Sin embargo, un nivel inferior de servicio al consumidor puede limitar la ejecución de servidores en los dispositivos móviles. O tal vez un tipo especializado de clase de dirección IP podría utilizarse para la conectividad administrativa con el objetivo de actualizar el firmware y el software del CPE. Cuando los proveedores de servicios móviles implementen la voz sobre LTE (VoLTE), utilizarán un APN exclusivo que debe tener una conectividad limitada, o el riesgo de fuga de ingresos aumenta considerablemente.

Estos cinco ejemplos de controles de seguridad no son exhaustivos, pero representan un conjunto básico de funciones que se requieren en las redes modernas en el punto de agregación del suscriptor. Teniendo esto en cuenta, las soluciones NAT no ofrecen suficiente funcionalidad para asegurar y proteger las redes modernas. (Tenga en cuenta que si una empresa ofrece una solución NAT de grado de operador [CGNAT] que realiza cualquiera de las funciones anteriores, es como admitir que la NAT por sí sola es insuficiente para proteger el producto más valioso de un proveedor de servicios: la capacidad de conectar personas y cosas.) La solución adecuada para proteger el extremo de Internet del suscriptor a través de servicios como los anteriores no es la NAT, sino un cortafuegos de red de clase de operador como F5® BIG-IP® Advanced Firewall Manager™ (AFM).

Habiendo establecido que hay muchas otras amenazas a la seguridad contra las que la NAT no puede hacer nada por proteger, vamos a disipar los mitos técnicos y empresariales del uso de la NAT como servicio de seguridad, incluso para una mínima denegación de tráfico no solicitado.

Aunque se creó para facilitar la comunicación entre hosts en un espacio de direcciones privadas que se solapaban, la NAT se ha visto ampliamente implementada con el propósito principal de ofrecer conectividad a más hosts en una red que direcciones IP individuales hay disponibles. Los problemas de seguridad asociados a la NAT se han documentado desde hace tiempo. (Consulte las secciones de consideraciones de seguridad RFC2663 y RFC2993 del IETF [grupo de tareas de ingeniería de Internet]). Estas consideraciones fueron grandes impulsoras para la creación de IPv6. Ahora que el mundo lleva un tiempo moviéndose hacia IPv6, la NAT ya no será necesaria para los hosts que utilicen IPv6. Por lo tanto, no estará disponible para ofrecer ninguna protección a los hosts IPv6.

Se podría argumentar que una puerta de enlace NAT46 o NAT64 con estado puede proporcionar cierta seguridad. Sin embargo, esta seguridad solo sería parcial y de corta duración. La CGNAT está diseñada principalmente para traducir el tráfico entre hosts cuando una de las partes no se ha convertido a IPv6, lo que significa que el objetivo final es eliminar el dispositivo CGNAT y permitir el tráfico IPv6 nativo sin traducción. Sin un cortafuegos de red de clase de operador, el dispositivo NAT se convierte en el obstáculo para la migración completa a IPv6 para el operador.

Además, muchas redes de proveedores de servicios ofrecen ahora configuraciones de doble pila IPv4/IPv6. En este caso, incluso si el proveedor de servicios tiene NAT44 habilitada, la interfaz IPv6 no la tiene, lo que significa que la organización ha decidido que NAT es suficiente para la seguridad en las interfaces IPv4, pero el mismo host permanece completamente abierto en la interfaz IPv6, lo que es incoherente desde el punto de vista lógico. ¿Por qué un arquitecto de red cree que la protección es necesaria en IPv4 y no en IPv6 cuando las mismas amenazas acechan a ambos?

Los cortafuegos de red de clase de operador deben posicionarse como soluciones ya, puesto que los operadores no aceptarán la falta de seguridad como obstáculo hacia la conversión a IPv6. Implantar hoy un producto puntual de CGNAT, obligará al operador a volver a comprar en el futuro equipos y software, así como a rediseñar la red, lo que supondrá unos costes mucho mayores puesto que los cambios en una red de proveedor de servicios constituyen un proceso difícil. Por el contrario, la implementación de la funcionalidad CGNAT en un cortafuegos de red de clase de operador garantizará una transición sin problemas a IPv6 en términos de paridad de características de seguridad y capacidad.

En general, la NAT sin estado es un caso de uso poco frecuente, pero puede emplearse en determinadas situaciones. Los dispositivos sin estado permiten todo el tráfico, independientemente de la solicitud del dispositivo del suscriptor, a los puertos permitidos para la NAT inversa. Como no tienen estado, no saben qué tráfico proviene del host que requirió la NAT; por lo tanto, deben permitir todo el tráfico de retorno. Debería resultar evidente que la NAT sin estado no es adecuada ni siquiera para la mayoría de los casos de uso de la NAT, y es completamente inadecuada para cualquier caso de uso de seguridad.

La NAT de IPv4 de salida con estado ofrece al operador la posibilidad de proteger parcialmente los hosts internos del tráfico iniciado externamente en la mayoría de los casos. Sin embargo, no proporciona protección a los hosts internos, ni permite la posibilidad de responder a los ataques desde esos hosts internos hacia otros recursos de red conectados al dispositivo NAT. En un gran número de casos, muchos hosts internos que se verán comprometidos pueden acceder a Internet para el comando y control de redes de robots. En un número de casos raros pero más graves, estos hosts comprometidos se utilizan como plataformas de lanzamiento para ataques avanzados en la red interna del proveedor de servicios o ataques dirigidos externamente hacia objetivos corporativos o gubernamentales de alto nivel que atraerán publicidad no deseada. Los costes asociados a la limpieza de este tipo de incidentes superan con creces el coste de la solución.

El tráfico IPv4 de entrada con estado es el único tipo de tráfico para el que cualquiera podría argumentar razonablemente que la protección de seguridad la proporciona la NAT, y aún así bajo ciertas condiciones. Este es un mito que persiste pero, tal y como las explicaciones anteriores clarifican, ese tráfico IPv4 es solo una fracción de la superficie de ataque que presentan los hosts en red. Además, la NAT con estado no proporciona mucha protección ni siquiera para la entrada de IPv4, dado que las técnicas de ataque modernas asumen que habrá un dispositivo NAT en la ruta, uno que se debe sabotear. La traducción estática y de destino de los hosts no proporciona ninguna seguridad.

Parte de la supuesta seguridad de la NAT se basa en la ofuscación, que la comunidad de seguridad no considera una solución real. La ofuscación únicamente hace más difícil encontrar información que puede obtenerse de otras maneras, por lo que no evita nada. El otro componente del mito de la seguridad de la NAT de entrada con estado es que se cree que proporciona una «vía de sentido único»; sin embargo, en realidad no es así. Aunque es cierto que la NAT IPv4 de entrada con estado rechazará el tráfico TCP iniciado externamente, eso no significa que un host externo no pueda, en determinadas situaciones, enviar tráfico a hosts internos o utilizar otros métodos para burlar la NAT. De hecho, la mayoría de los ataques basados en la red asumen esto como un requisito para comprometer el host.

Existen varias formas de lograr esta elusión o burla, todas las cuales se pueden evitar con un cortafuegos. En primer lugar, un atacante puede utilizar un ataque dirigido o de barrido para enviar tráfico a los puertos que están abiertos en la tabla de estado del dispositivo NAT. El propósito de este ataque podría ser crear una denegación de servicio (DoS), invalidando una sesión existente en el host o en la tabla de estado del dispositivo NAT, para entrar en una red interna, o para inyectar una carga útil de malware en la sesión existente de un tercero en un esfuerzo por comprometer el host interno. Las implicaciones más graves se observan en el tráfico UDP, que por su diseño no tiene estado; sin embargo, lo mismo podría lograrse (dada la susceptibilidad del host) en TCP u otros protocolos. Además, la NAT no puede ofrecer el cumplimiento del protocolo, la comprobación del número de secuencia o cualquier otra medida de seguridad DoS de capa 2 o 3 que los cortafuegos o los dispositivos de seguridad avanzados proporcionan inherentemente. La NAT tampoco proporciona herramientas para responder en caso de que se produzcan fallos de seguridad.

Los argumentos comerciales para colocar un cortafuegos de red de clase de operador son simples: en primer lugar, ningún proveedor de servicios puede permitirse los perjudiciales y, a menudo, notorios compromisos de seguridad actuales. Por eso, los servicios de cortafuegos y de traducción de direcciones de red suelen venir de la mano. Los daños económicos que pueden producirse en una red móvil moderna pueden superar fácilmente los millones de dólares, y algunos ataques pueden paralizar marcas enteras.

En segundo lugar, en el caso de que únicamente haya un dispositivo NAT, el proveedor de servicios no tiene herramientas para responder al ataque y debe soportarlo sin poder hacer nada hasta encontrar soluciones ad hoc.

Por último, los proveedores de servicios inteligentes que utilizan un dispositivo de cortafuegos avanzado pueden aportar servicios de seguridad adicionales a la oferta que hacen a los clientes. Tradicionalmente, estas aportaciones atraen a clientes empresariales con una clara necesidad de proteger sus activos comerciales. Sin un dispositivo de cortafuegos con estas capacidades, el proveedor de servicios nunca tendrá la oportunidad de obtener esos ingresos. De hecho, si no demuestra que tiene una solución combinada de NAT y cortafuegos con funciones de seguridad avanzadas, el proveedor de servicios permite a sus clientes suponer que existe un vacío en la línea de productos o en la experiencia del proveedor de servicios.

Hay que acabar con el mito de que la NAT proporciona una seguridad notable dados los sofisticados ataques de hoy en día. Desde un punto de vista técnico, de hecho, la NAT:

• No proporciona ninguna seguridad para los hosts IPv6, ya que la NAT no es necesaria para ellos.
• No proporciona ninguna seguridad para los hosts de NAT sin estado.
• No proporciona ninguna seguridad para los ataques de salida del host de NAT con estado.
• Proporciona una protección mínima para los ataques de entrada al host de NAT con estado, ya que los ataques modernos asumen la presencia de un dispositivo NAT y fácilmente comprometen o eluden esos dispositivos.
• No proporciona ninguna herramienta para responder a los ataques de seguridad que se producen habitualmente.

En términos comerciales, no implementar un cortafuegos de red de clase de operador, como BIG-IP AFM, como parte de una solución de seguridad y NAT de extremo, supone un riesgo de pérdida de ingresos grave y perjudicial, y muestra la falta de innovación de un proveedor de servicios.

Por el contrario, los proveedores de servicios que implementan un cortafuegos adecuado y con muchas funciones, como los disponibles en F5, adquieren una confianza realista de la seguridad de su red, mitigan los riesgos financieros y de reputación asociados a los ataques y pueden aprovechar la oportunidad para ofrecer a sus clientes servicios de seguridad de vanguardia y de valor añadido que aumenten sus ingresos.