[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers

Carlos M. Martinez carlosm3011 en gmail.com
Sab Mar 23 08:54:48 -03 2019


Hola

On 23 Mar 2019, at 12:39, Fernando Gont wrote:

> Si el atacante atacara mejor, la pregunta de "quien usaba X puerto a 
> tal
> hora" no tendria beneficio alguno.

Es un “what if” que no tiene demasiado sentido considerar. También 
si el atacante no atacara, no precisaríamos loguear nada. O también si 
vos supieras que el origen no usa CGN podrías no loguear puerto de 
origen.

El tema es que, independientemente de los atacantes, creo que es 
prácticamente obligatorio que los operadores de sitios y aplicaciones 
hagan logging de puerto de origen.

>
> A eso iba....
>
> Hacer un ataque desde la casa es bastante cuestionable. Para cualquier
> cosa mas o menos redituable, el atacante mas bien ira a un cyber, y/o
> dejaria un raspberry en algun lado con conexion, para usarlo como
> plataforma de ataque...

Si, está claro. Pero la realidad con la que por un lado los operadores 
tienen una obligación independientemente de que tan imaginativo es el 
atacante, y por otro lado, en realidad la mayoría de los atacantes no 
son tan imaginativos.

Por otro lado (ya se, use mucho esta expresión) existen las botnets, 
incluso las botnets “as a service” como Luminati. Esto se traduce en 
que en realidad si son “gente atacando desde la casa” (aunque ellos 
en si no lo saben).

s2

Carlos


Más información sobre la lista de distribución LACNOG