Finora ho sempre loggato le catene INPUT e OUTPUT perché ho usato solo iptables come firewall host.
Ora sto configurando il firewall di rete che usa iptables, ma non so se dovrei registrare un'altra catena come FORWARD, PREROUTING o POSTROUTING.
Quali benefici per la sicurezza otterrei attivando quei log?
FORWARD :
Può essere utile registrare la catena FORWARD in modo da ricontrollare che le decisioni di routing agiscono come previsto o controllare che i buchi logici delle regole che si conoscono esistano. Spesso, la registrazione della catena FORWARD è molto mirata.
PREROUTING :
Non c'è molto valore qui da registrare perché verrai inondato di rumore. A meno che non siano in atto processi per risolvere il rapporto segnale / rumore, c'è poco beneficio.
POSTROUTING :
Poiché ciò accade dopo che tutte le regole sono state attivate, dovresti già sapere cosa ci sarà in questo registro. Se vuoi sapere quali sono le cose negative che potrebbero essere passate, sarebbe meglio utilizzare i sistemi IDS dopo il firewall per darti questa intelligenza. Il rapporto segnale-rumore è anche "spento" a questo punto, ma nella direzione opposta: se si sa come identificare correttamente il rumore nel segnale, allora si sarebbe anche in grado di elaborare correttamente le regole. Quindi, non un grande vantaggio reale.
Potrebbero esserci altri vantaggi nel logging in questi punti, ma da una "prospettiva di sicurezza del firewall" mi attengo alle catene di valore più alte.