teoría-masquerade: (0.01)
	Nociones de enmascaramiento de IP necesarias para el filtrado de
	paquetes


Resumen de contenido:
--------------------

  Enmascaramiento de IP
    Riesgo: Nos pueden aprovechar para conseguir anonimato
    Problemas:
      Parte del tráfico con Internet no se puede "ver"
      No se asegura el protocolo enmascarado
      No queda registro del tráfico que mueven los clientes
      ->*POR PROBAR* Utilizar el sniffer/logger "snort"
    Alternativas:
      Usar proxys en lugar del enmascaramiento




  Enmascaramiento de IP

	El enmascaramiento de IP permite el acceso a Internet a muchos PC con
	una sola conexión (una sola IP válida en Internet)

	Los paquetes se enmascaran como si estuvieran originados desde el
	host local (con la IP válida en Internet). Los paquetes devueltos
	serán reconocidos y desenmascarados automáticamente y pasados al
	PC que los originó
			  
	Esto se consigue asignando un puerto de salida distinto para cada
	conexión enmascarada (IP_local:puerto). Así cuando el kernel recibe un
	paquete	de respuesta a un puerto enmascarado sabe a que cliente debe
	enviar ese paquete


    Riesgo: Nos pueden aprovechar para conseguir anonimato

	Asegurate de enmascara solo los paquetes de la red interna.

	Alguien puede querer utilizarnos como retransmisor enmascarando su
	identidad IP (tunneling) con nuestro masquerade, y realizar actos
	con nuestra IP.

	Es un error común activar el enmascaramiento de paquetes para permitir
	a cualquier IP acceder a Internet sin impedir que lo aprovechen desde
	fuera para obtener anonimato.


    Problemas:

      Parte del tráfico con Internet no se puede "ver"

	Un problema con el enmascaramiento de IP es que en ocasiones nos
	puede interesar "ver" el tráfico que estamos generando, hacia ppp0
	por ejemplo y esto no es posible.
	Me parece que un sniffer en ppp0 solo ve el tráfico no enmascarado

	Esto no tiene solución según mis conocimientos :-(


      No se asegura el protocolo enmascarado

	El enmascaramiento (al igual que el filtrado de paquetes) no sabe nada
	del protocolo utilizado.
	
	Un cliente que tiene acceso http se puede bajar cualquier archivo (y
	un troyano) y nosotros no nos enteramos.


      No queda registro del tráfico que mueven los clientes

	El enmascaramiento de IP no hace ningún tipo de logging (que yo sepa).
	Esto es interesante para detectar el tráfico que podrían generar un
	troyano instalado en un cliente (AUN NO LO HE PROBADO)


      ->*POR PROBAR* Utilizar el sniffer/logger "snort"

	Aún no he podido profundizar en él, pero Potato trae el paquete "snort"
	que es un sniffer/logger que se puede utilizar como sistema ligero de
	detección de intrusiones, y genera un mail/informe diario.

	Quizás esto podría servir para saber cuantos paquetes mueven nuestros
	clientes (paquetes de clientes al servidor) ya que ese tráfico (creo
	recordar) que no queda afectado por el enmascaramiento



    Alternativas:

      Usar proxys en lugar del enmascaramiento

	Un proxy adecuado podría solucionar el tema del control	de protocolo,
	y del logging