[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers

Alejandro Acosta alejandroacostaalamo en gmail.com
Mie Mar 27 09:46:38 -03 2019


Hola Fer,

El 27/3/19 a las 11:31, Fernando Gont escribió:
> La discusion sobre mejor vs peor igual no tiene mucho sentido. Ya que a
> la practica, si decidis loggear, vas a necesitar loggear para ambos
> casos, asi que....


Si tiene sentido, de hecho bastante sentido.  Tienes que ponerte del
lado de la justicia y ver que te solicitan.

Te dirán:  Señores ISP $NAME, favor indicarme quien accedió a tal hora,
tal día, desde tal IP, a tal IP desde tal puerto a tal puerto.

Si la persona utiliza una v6 global, no necesitas el logueo de los
puertos. Das el IP y los puertos logicamente corresponden a él. Listo.

Que la IPv6 cambia cada 2,3,4,5 horas. No problem.


Ahora mira en v4:


Cada linea de un logging de NAT consume..., depende lo que uno guarde
consume 661 bytes (en v4). Hay al menos media docena de lineas por
segundo en una red chica (imagina todos los puertos tcp/udp que se
levantan, dropbox, google drive, maps, antivirus, navegación, youtube,
whatsapp, skype, etc, etc)

Es normal que un log de NAT por 24 horas se consumo decenas de GB de
disco, ahora lleva esto a meses y años.., uff, adios CAPEX.

En enlaces WAN de bajo ancho de banda (ej: satelite) ni intentes ni
enviar el syslog de NAT porque "explota" el enlace.


Saludos,


Alejandro,


>
>
> On 27/3/19 10:34, Alejandro Acosta wrote:
>> Hola Fernando,
>>
>> El 26/3/19 a las 19:53, Fernando Gont escribió:
>>> On 25/3/19 22:42, Henri Alves de Godoy wrote:
>>>> Hola Fernando,
>>>>
>>>> Voy a traducir este texto para que sea más cómodo la lectura para todos.
>>>>
>>>> Gracias por compartir este documento. Estoy encaminando hacia los
>>>> administradores de red de la Universidad, ya que es un asunto que
>>>> que se ha discutido mucho, ya que al contrario de lo que quería y de mis
>>>> esfuerzos en implementar IPv6 en toda la Universidad, debido a la falta
>>>> de IPv4, algunos administradores están utilizando la red 100.64.0.0/10
>>>> para hacer NAT en la red inalámbrica dentro de la Universidad y
>>>> seguramente algunos no están interesados en hacer el registro de la
>>>> puerta de origen o olvidarse. :-(((
>>>>
>>>> Cuando todo un día tiene sólo IPv6, sólo debemos hacer el registro de IP
>>>> y nada más, ya que no será necesario el registro de puertas, creo yo.
>>> "solo" == 4 bytes (direccion IP) + 2 bytes (puerto) en IPv4 vs 16 bytes
>>> (direccion IPv6). Es decir, 6 bytes vs 16 bytes.
>> En está matemática tienes razón a medias. Tomaste solo una v4 + solo
>> puertos.., en NAT almacenas x 2, igualmente dirás que son 2 x 6 bytes <
>> 16 bytes. Pero el problema no es almacenarlo una vez..., el problema es
>> almacenarlo en el tiempo por cada traducción que ocurra..., es una
>> locura, te puede consumir varios megas de cualquier enlace, de disco una
>> barbaridad + mil cosas extras (DB, switches, routing, etc). Es un dolor
>> de cabeza.
>>
>>
>> Saludos,
>>
>>
>> Alejandro,
>>
>>
>>>
>>> Dicho de otra forma, "en IPv4 solo almacenamos la direccion y el puerto" ;-)
>>>
>>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>


Más información sobre la lista de distribución LACNOG