Hasta ahora siempre he estado registrando las cadenas INPUT y OUTPUT porque solo usaba iptables como servidor de seguridad del host.
Ahora estoy configurando un firewall de red que usa iptables, pero no sé si debería estar registrando otras cadenas como FORWARD, PREROUTING o POSTROUTING.
¿Qué beneficios de seguridad obtendré al habilitar esos registros?
ADELANTE :
Puede ser beneficioso registrar la cadena FORWARD para verificar dos veces que las decisiones de enrutamiento actúan según lo previsto o para verificar que los agujeros lógicos en las reglas que usted sabe que están cubiertos. A menudo, el registro de la cadena FORWARD es muy específico.
PREROUTING :
Aquí no hay mucho valor para iniciar sesión porque se inundará de ruido. A menos que tenga procesos establecidos para ordenar la relación señal-ruido, hay pocos beneficios.
POSTROUTING :
Debido a que esto sucede después de que se hayan activado todas las reglas, ya debería saber qué habrá en este registro. Si quiere saber qué cosas malas podrían haber pasado, sería mejor que ejecutara sistemas IDS después del firewall para brindarle esta información. La relación señal / ruido también está "desactivada" en este punto, pero en la dirección opuesta: si sabe cómo identificar correctamente el ruido en la señal, también podrá elaborar las reglas correctamente. Por lo tanto, no hay mucho beneficio real.
Puede haber otros beneficios para el registro en estos puntos, pero desde una "perspectiva de seguridad de firewall" me atendría a las cadenas de valor más altas.