[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers
Roque Gagliano
rgaglian en gmail.com
Mie Mar 27 08:16:54 -03 2019
Ferne,
Al operador, la justicia pregunta que cliente usa una IP en un timestamp.
Esa es la pregunta a responder. Si luego sirve para algo, es problema de
otro.
Roque
On Sat, Mar 23, 2019, 13:26 Fernando Gont <fgont en si6networks.com> wrote:
> On 23/3/19 08:54, Carlos M. Martinez wrote:
> > Hola
> >
> > On 23 Mar 2019, at 12:39, Fernando Gont wrote:
> >
> >> Si el atacante atacara mejor, la pregunta de "quien usaba X puerto a tal
> >> hora" no tendria beneficio alguno.
> >
> > Es un “what if” que no tiene demasiado sentido considerar.
>
> SI. Y aparentemente hay muchos que *si* atacan desde la casa, asi que....
>
>
> > También si el
> > atacante no atacara, no precisaríamos loguear nada. O también si vos
> > supieras que el origen no usa CGN podrías no loguear puerto de origen.
>
> YO creo que el que en todo caso debe loguear es quien hace el CGN.
>
>
>
>
> > El tema es que, independientemente de los atacantes, creo que es
> > prácticamente obligatorio que los operadores de sitios y aplicaciones
> > hagan logging de puerto de origen.
>
> Obligatorio bajo que punto de vista...?
>
> Por otro lado... si llegado al caso mi sitio seria *victima* y *no*
> victimario, cual es el argumento bajo el cual mi sitio deberia loggear
> esto?
>
>
>
>
>
> >> A eso iba....
> >>
> >> Hacer un ataque desde la casa es bastante cuestionable. Para cualquier
> >> cosa mas o menos redituable, el atacante mas bien ira a un cyber, y/o
> >> dejaria un raspberry en algun lado con conexion, para usarlo como
> >> plataforma de ataque...
> >
> > Si, está claro. Pero la realidad con la que por un lado los operadores
> > tienen una obligación independientemente de que tan imaginativo es el
> > atacante, y por otro lado, en realidad la mayoría de los atacantes no
> > son tan imaginativos.
>
> Si, es muy triste :-)
>
>
>
>
> > Por otro lado (ya se, use mucho esta expresión) existen las botnets,
> > incluso las botnets “as a service” como Luminati. Esto se traduce en que
> > en realidad si son “gente atacando desde la casa” (aunque ellos en si no
> > lo saben).
>
> Asi es. Pero estaria bueno que los bogas tengan eso en claro. No sea
> cosa que entren a salir ayanamientos por el simple hecho de tener una
> maquina infectada....
>
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20190327/9fa7fb48/attachment-0001.html>
Más información sobre la lista de distribución LACNOG