[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers
Alejandro Acosta
alejandroacostaalamo en gmail.com
Mie Mar 27 11:34:40 -03 2019
Hola Fer, abajo:
El 27/3/19 a las 15:01, Fernando Gont escribió:
> On 27/3/19 13:31, Alejandro Acosta wrote:
>> Hola Fer,
>>
>> El 27/3/19 a las 11:17, Fernando Gont escribió:
>>> On 27/3/19 10:34, Alejandro Acosta wrote:
>>>> Hola Fernando,
>>>>
>>>> El 26/3/19 a las 19:53, Fernando Gont escribió:
>>>>> On 25/3/19 22:42, Henri Alves de Godoy wrote:
>>>>>> Hola Fernando,
>>>>>>
>>>>>> Voy a traducir este texto para que sea más cómodo la lectura para todos.
>>>>>>
>>>>>> Gracias por compartir este documento. Estoy encaminando hacia los
>>>>>> administradores de red de la Universidad, ya que es un asunto que
>>>>>> que se ha discutido mucho, ya que al contrario de lo que quería y de mis
>>>>>> esfuerzos en implementar IPv6 en toda la Universidad, debido a la falta
>>>>>> de IPv4, algunos administradores están utilizando la red 100.64.0.0/10
>>>>>> para hacer NAT en la red inalámbrica dentro de la Universidad y
>>>>>> seguramente algunos no están interesados en hacer el registro de la
>>>>>> puerta de origen o olvidarse. :-(((
>>>>>>
>>>>>> Cuando todo un día tiene sólo IPv6, sólo debemos hacer el registro de IP
>>>>>> y nada más, ya que no será necesario el registro de puertas, creo yo.
>>>>> "solo" == 4 bytes (direccion IP) + 2 bytes (puerto) en IPv4 vs 16 bytes
>>>>> (direccion IPv6). Es decir, 6 bytes vs 16 bytes.
>>>> En está matemática tienes razón a medias. Tomaste solo una v4 + solo
>>>> puertos.., en NAT almacenas x 2, igualmente dirás que son 2 x 6 bytes <
>>>> 16 bytes. Pero el problema no es almacenarlo una vez..., el problema es
>>>> almacenarlo en el tiempo por cada traducción que ocurra..., es una
>>>> locura, te puede consumir varios megas de cualquier enlace, de disco una
>>>> barbaridad + mil cosas extras (DB, switches, routing, etc). Es un dolor
>>>> de cabeza.
>>> Las direcciones IPv6, y muchas veces tambien los prefijos, suelen ser
>>> dinamicas.
>>>
>>> Pensar, por ejemplo, RFC4941 y RFC7934.
>>
>> Fer..., ni en el más remoto escenario se loguea más por cambio de
>> direcciones IPv6 que por NAT.
>>
>> Haz esta prueba: Favor instala al menos un pequeñisimo, nano escenario y
>> pon a loguear el NAT.
> Depende de como hagas NAT. Si NATeas asignando rangos de puertos a los
> clientes, NATeas menos. Mucho menos.
Fer, puedes hacer el más pequeño NAT existente, con la mínima
información necesaria, si quieres hasta comprimela 1000:N y no lograrás
compararlo con la mayor rotación posible de IPv6s, VLAN con muchos
prefijos, flapping, super seguridad automatizada de rotación de IPv6,
IID, prefijo, incluso sumale 3 scripts que cambien el IP constantemente
en el host. etc, etc.
>
Más información sobre la lista de distribución LACNOG