[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers

Fernando Frediani fhfrediani en gmail.com
Mie Mar 27 07:42:24 -03 2019 

Bueno, el registro de acceso a cualquier servidor web es casi siempre 
automático desde su instalación.
Aunque no sea para propósitos de CGNAT creo que prácticamente todo 
servidor Web registra las conexiones que se establecen con su servicio 
por múltiples propósitos, sea de estadísticas sea de identificar quién 
accede.
La propuesta es sólo agregar un nuevo e pequeño campo (Puerto de origen) 
además de todos los datos que ya se registrarían de cualquier forma.

Por otro lado desde el punto de vista del proveedor de acceso la 
cantidad de registro necesaria depende de la estrategia adoptada por el 
proveedor.
Por ejemplo en un proveedor que eligió hacer CGNAT determinista la 
cantidad de registro es mínima, es decir, sólo el IP que se entregó al 
usuario cuando se autentificó pues en este caso el rango de puertos es 
siempre fijo.
Si la estrategia es de Bulk Port Allocation entonces la cantidad puede 
ser media y se requiere algún sistema de registro, nada muy avanzado. 
Algunos sistemas que hacen este modo ya pueden poseer esta funcionalidad 
ya implementada como parte de la plataforma.
Ya en 4646XLAT tiene sus beneficios pero puede requerir una cantidad mayor.

Es importante destacar que en un proveedor de acceso **no es necesario 
grabar todas las nuevas conexiones**  abiertas, pero sólo el mínimo 
necesario para hacer la identificación del usuario que utilizó el 
recurso asignado temporalmente por el proveedor.

La legislación puede no hablar específicamente en "Puerta de Origen", 
sino en "mecanismos necesarios para la identificación del usuario".

Independiente del método elegido por el proveedor creo que esta 
actividad es del tipo que es parte del negocio y ocurre en la mayoría de 
las situaciones, como he dicho anteriormente, si el propósito principal 
no es identificación puede ser estadística o de trobleshooting y cuanto 
mayor sea el proveedor, mayor su complejidad, el costo y también mayor 
el budget para tratar estos tipos de situaciones.

Saludos
Fernando

On 27/03/2019 06:47, JORDI PALET MARTINEZ via LACNOG wrote:
> Habitualmente puede llegar a ser igual o incluso mucho mas costoso, en un ISP, el sistema de almacenamiento de los logs que el propio CGN.
>
> Obviamente, depende de que datos pide la legislación del país, de cómo se asignan puertos y direcciones, de las licencias de software de los fabricantes, e incluso de cuantos meses exige la legislación, etc.
>
> He visto casos en los que el sistema de logs vale 5 veces mas.
>
> Esta claro que se puede hacer "barato" con OpenSource, pero hay muchos ISPs que por decisión corporativa NO permiten OpenSource. Sin ir mas lejos, hace 3 semanas he vivido el caso con un cliente que además tiene el 65% aprox. del market share de celular e Internet de todo un país.
>
> En muchas ocasiones esto se debe a que los "ejecutivos" del ISP no confían en que si tienen un problema con OpenSource, sus propios ingenieros (o compañías externas) se lo puedan resolver, y un fabricante "se supone" que si ...
>
> Saludos,
> Jordi
>   
>   
>
> El 27/3/19 10:35, "LACNOG en nombre de Alejandro Acosta" <lacnog-bounces en lacnic.net en nombre de alejandroacostaalamo en gmail.com> escribió:
>
>      Hola Fernando,
>      
>      El 26/3/19 a las 19:53, Fernando Gont escribió:
>      > On 25/3/19 22:42, Henri Alves de Godoy wrote:
>      >> Hola Fernando,
>      >>
>      >> Voy a traducir este texto para que sea más cómodo la lectura para todos.
>      >>
>      >> Gracias por compartir este documento. Estoy encaminando hacia los
>      >> administradores de red de la Universidad, ya que es un asunto que
>      >> que se ha discutido mucho, ya que al contrario de lo que quería y de mis
>      >> esfuerzos en implementar IPv6 en toda la Universidad, debido a la falta
>      >> de IPv4, algunos administradores están utilizando la red 100.64.0.0/10
>      >> para hacer NAT en la red inalámbrica dentro de la Universidad y
>      >> seguramente algunos no están interesados en hacer el registro de la
>      >> puerta de origen o olvidarse. :-(((
>      >>
>      >> Cuando todo un día tiene sólo IPv6, sólo debemos hacer el registro de IP
>      >> y nada más, ya que no será necesario el registro de puertas, creo yo.
>      > "solo" == 4 bytes (direccion IP) + 2 bytes (puerto) en IPv4 vs 16 bytes
>      > (direccion IPv6). Es decir, 6 bytes vs 16 bytes.
>      
>      En está matemática tienes razón a medias. Tomaste solo una v4 + solo
>      puertos.., en NAT almacenas x 2, igualmente dirás que son 2 x 6 bytes <
>      16 bytes. Pero el problema no es almacenarlo una vez..., el problema es
>      almacenarlo en el tiempo por cada traducción que ocurra..., es una
>      locura, te puede consumir varios megas de cualquier enlace, de disco una
>      barbaridad + mil cosas extras (DB, switches, routing, etc). Es un dolor
>      de cabeza.
>      
>      
>      Saludos,
>      
>      
>      Alejandro,
>      
>      
>      >
>      >
>      > Dicho de otra forma, "en IPv4 solo almacenamos la direccion y el puerto" ;-)
>      >
>      >
>      _______________________________________________
>      LACNOG mailing list
>      LACNOG en lacnic.net
>      https://mail.lacnic.net/mailman/listinfo/lacnog
>      Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>      
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

Más información sobre la lista de distribución LACNOG