[lacnog] rfc 6561

Ricardo Patara patara en registro.br
Mie Mayo 16 10:23:53 BRT 2012 

Hola.

De la presentación en el jueves pasado durante el LACNIC XVII (sesión
del LACNOG), hable de la rfc6165 informational "Recommendations for the
Remediation of Bots in ISP Networks"

La idea, tal cual comentado, era presentar la idea y ver el interese de
la comunidad en discutir más el tema y hacer presentaciones relacionadas
en el LACNOG en octubre.

Básicamente, la RFC indica mecanismos para intentar solucionar problemas
de computadoras infectadas y utilizadas como robots en acciones
perjudiciales.

Como motivación, indica que los "bots" traen prejuicio al consumir el
ancho de banda del ISP.

Para el usuario es importante ser avisado del problema para que pueda
solucionar y evitar prejuicios como robo de sus datos, entre otros.

La acción de los ISPs puede reducir los ataques y crímenes en la
Internet en general.

El documento se divide en tres partes:

Detección

Mecanismos que pueden ser utilizados por los ISPs para detectar posibles
"bots" en sus clientes, y que van desde "scan" en el rango de IPs de los
clientes, uso de netflow, IDS, verificación de consultas DNS
(posiblemente para resolución de nombres utilizados en redes de bots),
subscripción a servicios de informes, informes de redes de "honeynets",
quejas de abuso que reciba, información compartida en colaboración con
otros ISPs, etc.


Notificación

Posibilidades de notificación que un ISP puede adoptar para con sus
usuarios en el caso de detectado un bot en su red. Y los mecanismos van
desde envio de correos, SMS, IM, web browser notification, llamadas
telefónicas hasta algo más factible y interesante como nos "walled garden".


"Remediation"

Y finalmente, viene la parte que habla de intentar solucionar el
problema. Y capaz que es una de las partes más complicadas. Eso a que
muchas veces el usuario no sabe qué hacer. Y en nuestra región puede
pasar (bastante común) que el usuario este utilizado productos no
licenciados.
Pero la RFC indica algunos métodos que el ISP puede adoptar para esa
etapa del proceso con un guía/paso a paso


La idea de ese mensaje es, además de escribir lo que expuse en el foro,
invitar a interesados a presentar temas relacionados.

Y no seria presentar acerca de todo en conjunto sino que capaz que
alguno esté trabajando/estudiando por ejemplo el tema de detección y lo
quiera exponer.
Durante el coffe-break fue contactado por por lo menos dos personas que
demostraron interese en esa parte de detección.

Me pongo a disposición para comentarios y sugerencias.

Saludos

-- 
  Ricardo Patara

Más información sobre la lista de distribución LACNOG