Supponendo che un firewall sia configurato correttamente, consentendo solo il traffico determinato e rilasciando tutto il resto, quali informazioni rilevanti (se presenti) posso ottenere dal registro delle regole accettate?
Dal log dei pacchetti ignorati posso identificare il traffico non legittimo, ma non so se c'è qualche uso del log dei pacchetti accettati.
La tracciabilità delle connessioni accettate può essere utilizzata per la tracciabilità. Questo è spesso usato quando è stata rilevata un'intrusione per verificare se l'host offendente si è connesso ad altri host all'interno della rete. Questo è in realtà più utile in un ambiente di rete più grande in cui ci sono più punti di ingresso in una rete.
Il tuo obiettivo è comprendere meglio il tuo traffico di rete rispetto al tuo avversario. La registrazione del traffico accettato può dirti
Quali servizi sono in uso. Se si verifica un'improvvisa ondata in un dato servizio che non è legato ad alcuna iniziativa commerciale, ciò potrebbe significare che il tuo avversario ha scoperto e sta sfruttando la tua rete.
Quali sono i tuoi normali destinatari del traffico. Se all'improvviso si verifica un'impennata del 100% nelle comunicazioni da un paese / una regione che non è legato a un'iniziativa commerciale, potrebbe trattarsi di un problema di sicurezza o potrebbe essere un'opportunità di business.
Limiti di avvicinamento. Se il tuo traffico accettato supera l'85% della larghezza di banda della tua rete, avrai un rifiuto di servizio. Potrebbe essere contraddittorio, potrebbe essere auto-inflitto. Non importa.
Se si dispone di un insider che sta esfiltrando informazioni, è possibile scoprirlo attraverso la registrazione del traffico accettato.
Se scopri un problema, una revisione del traffico accettato potrebbe rivelare quando il problema è iniziato e quali informazioni sono state compromesse. Questo può essere fondamentale per il recupero.