[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers

[Fernando Gont]

On 27/3/19 13:46, Alejandro Acosta wrote:
> Hola Fer,
> 
> El 27/3/19 a las 11:31, Fernando Gont escribió:
>> La discusion sobre mejor vs peor igual no tiene mucho sentido. Ya que a
>> la practica, si decidis loggear, vas a necesitar loggear para ambos
>> casos, asi que....
> 
> 
> Si tiene sentido, de hecho bastante sentido.

Lo que digo es: vas a tener que loggear en ambos casos. Y vas a tener
que despleagar IPv6.

La discusion sobre que es mejor que que, con cual se logea mas que con
cual no creo que cambie mucho... AL final del dia, si necesitas logear,
vas a tener que loggear tanto en v4 como en v6, ya que vas a tener que
usar tanto v4 como v6. A eso iba.




>  Tienes que ponerte del
> lado de la justicia y ver que te solicitan.
> 
> Te dirán:  Señores ISP $NAME, favor indicarme quien accedió a tal hora,
> tal día, desde tal IP, a tal IP desde tal puerto a tal puerto.
> 
> Si la persona utiliza una v6 global, no necesitas el logueo de los
> puertos. Das el IP y los puertos logicamente corresponden a él. Listo.
> 
> Que la IPv6 cambia cada 2,3,4,5 horas.

FUll disclosure: Yo uso en mi red una direccion IPv6 por conexion TCP,
para evitar que me hagan rate limit.



> Cada linea de un logging de NAT consume..., depende lo que uno guarde
> consume 661 bytes (en v4). Hay al menos media docena de lineas por
> segundo en una red chica (imagina todos los puertos tcp/udp que se
> levantan, dropbox, google drive, maps, antivirus, navegación, youtube,
> whatsapp, skype, etc, etc)
> 
> Es normal que un log de NAT por 24 horas se consumo decenas de GB de
> disco, ahora lleva esto a meses y años.., uff, adios CAPEX.

Barbaro. La pregunta es: vas a dejar de soportar IPv4?

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492