La defensa estándar contra el ataque de Kaminsky es utilizar la asignación aleatoria del puerto de origen para todas las solicitudes de DNS.
¿NAT rompe los beneficios de seguridad de la aleatorización de puertos de origen?
En más detalle, considere un cliente que se sienta detrás de un NAT. Supongamos que el cliente utiliza la asignación aleatoria de puertos de origen para todas las solicitudes de DNS y emite una solicitud. Cuando la solicitud atraviesa el NAT, el NAT puede traducir el número de puerto de origen a un nuevo puerto de origen dentro del conjunto de números de puertos locales del NAT.
Me preocupa que, si el NAT utiliza una estrategia de asignación de puertos predecible, esto puede desasignar el puerto de origen en el paquete, dejando al cliente abierto a un ataque de Kaminsky. ¿Esto sucede en la práctica? ¿Los NAT traducen el puerto de origen en las solicitudes de DNS? ¿Usan puertos de origen predecibles? Si este es un problema para algunos NAT, ¿alguien sabe qué tan frecuente es el problema? ¿Los NAT en estos días toman alguna medida para evitar arruinar la aleatorización del puerto de origen? ¿Hay algo que uno deba hacer, al configurar un NAT, para garantizar que el NAT no lo haga más vulnerable a los ataques de Kaminsky?