Suponiendo que el firewall esté correctamente configurado, solo permita el tráfico determinado y elimine todo lo demás, ¿qué información relevante (si existe) podría obtener del registro de las reglas aceptadas?
Desde el registro de paquetes descartados puedo identificar el tráfico no legítimo, pero no sé si hay algún uso del registro de paquetes aceptados.
El registro de las conexiones aceptadas se puede utilizar para la trazabilidad. Esto se usa a menudo cuando se detecta una intrusión para verificar si el host infractor se ha conectado a otros hosts dentro de su red. En realidad, esto es más útil en un entorno de red más grande donde hay varios puntos de entrada en una red.
Tu objetivo es entender el tráfico de tu red mejor que tu adversario. El registro de tráfico aceptado puede indicarle
Qué servicios están en uso. Si hay un aumento repentino en un servicio dado que no está vinculado a ninguna iniciativa comercial, esto podría significar que su adversario ha descubierto y está explotando su red.
Cuáles son sus destinatarios de tráfico normales. Si de repente experimenta un aumento del 100% en las comunicaciones de un país / región que no está vinculado a una iniciativa empresarial, esto podría ser un problema de seguridad, o podría ser una oportunidad comercial.
Límites de aproximación. Si su tráfico aceptado supera el 85% del ancho de banda de su red, tendrá una denegación de servicio. Podría ser contradictorio, podría ser autoinfligido. No importa.
Si tiene información privilegiada que está filtrando información, puede descubrirla a través del registro de tráfico aceptado.
Si descubre un problema, una revisión del tráfico aceptado puede revelar cuándo se inició el problema y qué información se ha comprometido. Esto puede ser crítico para la recuperación.