Borg wrote:

> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*

No dobra zakladamy ze jest NAT. Jak jest NAT to musi byc jakis
connection-tracking. Jezeli jest to w zasadzie mozna zalozyc ze kazde nowe
polaczenie TCP o fladze innej niz TCP_SYN bedzie dropniete. Wiec odpadaja
NULL|XMAS|FIN-skany itd.

Dwa: NAT ma pelno wad, i jakos nie wyobrazam sobie zeby jakikolwiek wiekszy
operator dawal prywatne IP, bo istnieja setki protokolow ktore z NATem zbyt
dobrze(czytac: wcale) nie wspolpracuja. NAT jest fajny dla
firm/organizacji.

Trzy: Logowanie wszystkiego to jakas mrzonka, o ile jeszcze logowanie
src_ip(przed natem), src_port(przed i po nacie), dst_port, dst_ip + czas
jest do zrealizowania, to jakos sobie nie wyobrazam technicznie zeby
jakikolwiek router agregujacy DSLAMy robil to na jakimkolwiek zadawalajacym
poziomie (ASIC ?)

Cztery: identd sie nie sprawdza bo malo ktora app. z tego korzysta ( chyba
juz tylko irc ? ).

Biorac teraz pod uwage cos takiego ze ma miejsce wlamanie z natowanego
komputera i projektant aplikacji sobie tylko zaloguje
$_SERVER['REMOTE_ADDR'] bez portu to takie cale logowanie mozna wyslac
do /dev/null.

Przyklad ?? Apache:
81.219.XXX.XX - - [21/Aug/2006:00:18:32 +0200] [...]
i gdzie tutaj src_port ?

--
Jakub Wartak
http://vnull.pcnet.com.pl/