[HACK] Logs en Firewalls

[Falcifer]

hola a todos, tengo un preguntilla.

¿en que se suelen basar los firewalls para guardar el log de una
conexion?? En general me refiero a los firewalls fisicos que se suelen
vender para PYMES estaba pensando concretamente en el 3Com OfficeConnect
25, pero cualquier otro similar valdria (supongo que seran mas o menos
similares, teniendo en cuenta que no son grandes firewalls)

concretando la pregunta: 
Cuando yo le indico, por ejemplo a un firewall (el caso del protocolo
HTTP es interesante) que registre los accesoss a un web concreto, ¿lo
hace verificando toda la conexion o solamente con el GET de un paquete
valdria?

Si registra toda la conexion debe mantener buffers para reensablar el
trafico TCP si es que viene fragmentado y para ir complentando las
conexiones segun se forman (SYN, SYN-ACK, ACK...etc hasta aparecer el
GET y la respuesta). Esto haria que el funcionamiento del firewall sea
mas complejo y que reserve parte de su memoria en el seguimiento de la
conexion. por lo tanto ¿sería susceptible de un DoS por llenado de los
buffers si dejo rapidamente muchas conexiones abiertas (aunque sea solo
con el SYN inicial)?

Por otro lado si el firewall solo necesita registrar el GET de la
conexion para ver si debe loggear la conexion podria mandar un monton de
paquetes GET falsos con direcciones que ya sepa que va loggear y asi
saturar la memoria o el mail del admin de logs falsos. incluso si
estuviese en el mismo segmento sin conmutar del firewall podria llenar
los logs simulando que provienen de otro usuario de la red.

Vaya paja mental, todo esto viene pq en mi oficina siempre salia como
"ganador" en el mas loggeado del firewall y se me ocurrio que podria
hacer que me ganase otro usuario o el jefe. :-P



Saludos