[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers
Fernando Gont
fgont en si6networks.com
Sab Mar 23 09:16:16 -03 2019
On 23/3/19 08:54, Carlos M. Martinez wrote:
> Hola
>
> On 23 Mar 2019, at 12:39, Fernando Gont wrote:
>
>> Si el atacante atacara mejor, la pregunta de "quien usaba X puerto a tal
>> hora" no tendria beneficio alguno.
>
> Es un “what if” que no tiene demasiado sentido considerar.
SI. Y aparentemente hay muchos que *si* atacan desde la casa, asi que....
> También si el
> atacante no atacara, no precisaríamos loguear nada. O también si vos
> supieras que el origen no usa CGN podrías no loguear puerto de origen.
YO creo que el que en todo caso debe loguear es quien hace el CGN.
> El tema es que, independientemente de los atacantes, creo que es
> prácticamente obligatorio que los operadores de sitios y aplicaciones
> hagan logging de puerto de origen.
Obligatorio bajo que punto de vista...?
Por otro lado... si llegado al caso mi sitio seria *victima* y *no*
victimario, cual es el argumento bajo el cual mi sitio deberia loggear esto?
>> A eso iba....
>>
>> Hacer un ataque desde la casa es bastante cuestionable. Para cualquier
>> cosa mas o menos redituable, el atacante mas bien ira a un cyber, y/o
>> dejaria un raspberry en algun lado con conexion, para usarlo como
>> plataforma de ataque...
>
> Si, está claro. Pero la realidad con la que por un lado los operadores
> tienen una obligación independientemente de que tan imaginativo es el
> atacante, y por otro lado, en realidad la mayoría de los atacantes no
> son tan imaginativos.
Si, es muy triste :-)
> Por otro lado (ya se, use mucho esta expresión) existen las botnets,
> incluso las botnets “as a service” como Luminati. Esto se traduce en que
> en realidad si son “gente atacando desde la casa” (aunque ellos en si no
> lo saben).
Asi es. Pero estaria bueno que los bogas tengan eso en claro. No sea
cosa que entren a salir ayanamientos por el simple hecho de tener una
maquina infectada....
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG