teora-masquerade: (0.01)
	Nociones de enmascaramiento de IP necesarias para el filtrado de
	paquetes


Resumen de contenido:
--------------------

  Enmascaramiento de IP
    Riesgo: Nos pueden aprovechar para conseguir anonimato
    Problemas:
      Parte del trfico con Internet no se puede "ver"
      No se asegura el protocolo enmascarado
      No queda registro del trfico que mueven los clientes
      ->*POR PROBAR* Utilizar el sniffer/logger "snort"
    Alternativas:
      Usar proxys en lugar del enmascaramiento




  Enmascaramiento de IP

	El enmascaramiento de IP permite el acceso a Internet a muchos PC con
	una sola conexin (una sola IP vlida en Internet)

	Los paquetes se enmascaran como si estuvieran originados desde el
	host local (con la IP vlida en Internet). Los paquetes devueltos
	sern reconocidos y desenmascarados automticamente y pasados al
	PC que los origin
			  
	Esto se consigue asignando un puerto de salida distinto para cada
	conexin enmascarada (IP_local:puerto). As cuando el kernel recibe un
	paquete	de respuesta a un puerto enmascarado sabe a que cliente debe
	enviar ese paquete


    Riesgo: Nos pueden aprovechar para conseguir anonimato

	Asegurate de enmascara solo los paquetes de la red interna.

	Alguien puede querer utilizarnos como retransmisor enmascarando su
	identidad IP (tunneling) con nuestro masquerade, y realizar actos
	con nuestra IP.

	Es un error comn activar el enmascaramiento de paquetes para permitir
	a cualquier IP acceder a Internet sin impedir que lo aprovechen desde
	fuera para obtener anonimato.


    Problemas:

      Parte del trfico con Internet no se puede "ver"

	Un problema con el enmascaramiento de IP es que en ocasiones nos
	puede interesar "ver" el trfico que estamos generando, hacia ppp0
	por ejemplo y esto no es posible.
	Me parece que un sniffer en ppp0 solo ve el trfico no enmascarado

	Esto no tiene solucin segn mis conocimientos :-(


      No se asegura el protocolo enmascarado

	El enmascaramiento (al igual que el filtrado de paquetes) no sabe nada
	del protocolo utilizado.
	
	Un cliente que tiene acceso http se puede bajar cualquier archivo (y
	un troyano) y nosotros no nos enteramos.


      No queda registro del trfico que mueven los clientes

	El enmascaramiento de IP no hace ningn tipo de logging (que yo sepa).
	Esto es interesante para detectar el trfico que podran generar un
	troyano instalado en un cliente (AUN NO LO HE PROBADO)


      ->*POR PROBAR* Utilizar el sniffer/logger "snort"

	An no he podido profundizar en l, pero Potato trae el paquete "snort"
	que es un sniffer/logger que se puede utilizar como sistema ligero de
	deteccin de intrusiones, y genera un mail/informe diario.

	Quizs esto podra servir para saber cuantos paquetes mueven nuestros
	clientes (paquetes de clientes al servidor) ya que ese trfico (creo
	recordar) que no queda afectado por el enmascaramiento



    Alternativas:

      Usar proxys en lugar del enmascaramiento

	Un proxy adecuado podra solucionar el tema del control	de protocolo,
	y del logging


