[lacnog] rfc 6561
José Enrique Díaz-Jolly
josedia en cisco.com
Mie Mayo 16 14:47:34 BRT 2012
Ricardo, quisiera ver la presentacion. Este es un tema que en particular me
interesa mucho y además es una buena parte del tiempo que me consume hacer
ver a los ISP la problematica que en general quisieran renovar magicamente
colocando algun dispositivo sin tomar acciones en la arquitectura,
prestacion de servicio o estructura de si red. No he leido aun el RFC6561
pero por lo que mencionas es algo que debe estar interesante. Asi mismo hay
trabajos muy interesantes en la materia an el MAAWG asi como en ENISA.
Si se abre la discusion en ensta materia es seguro que participo....
Un fuerte abrazo
--
José Enrique Díaz Jolly
Cisco Systems, Inc.
Consulting Systems Engineer 1800
Av. McGill College 700
Borderless Networks, Security
Montréal, QC H3A-3J6
josedia en cisco.com
CANADA
Phone: +52 (55) 5267-1231
Mobile: +1 (514) 502-8657
cisco.com/go/borderless
Think before you print.
This email may contain confidential and privileged material for the sole use
of the intended recipient. Any review, use, distribution or disclosure by
others is strictly prohibited. If you are not the intended recipient (or
authorized to receive for the recipient), please contact the sender by reply
email and delete all copies of this message.
For corporate legal information go to:
cisco.com/web/about/doing_business/legal/cri/index.html
From: Ricardo Patara <patara en registro.br>
Reply-To: Latin America and Caribbean Region Network Operators Group
<lacnog en lacnic.net>
Date: Wed, 16 May 2012 06:23:53 -0700
To: <lacnog en lacnic.net>
Subject: [lacnog] rfc 6561
Hola.
De la presentación en el jueves pasado durante el LACNIC XVII (sesión
del LACNOG), hable de la rfc6165 informational "Recommendations for the
Remediation of Bots in ISP Networks"
La idea, tal cual comentado, era presentar la idea y ver el interese de
la comunidad en discutir más el tema y hacer presentaciones relacionadas
en el LACNOG en octubre.
Básicamente, la RFC indica mecanismos para intentar solucionar problemas
de computadoras infectadas y utilizadas como robots en acciones
perjudiciales.
Como motivación, indica que los "bots" traen prejuicio al consumir el
ancho de banda del ISP.
Para el usuario es importante ser avisado del problema para que pueda
solucionar y evitar prejuicios como robo de sus datos, entre otros.
La acción de los ISPs puede reducir los ataques y crímenes en la
Internet en general.
El documento se divide en tres partes:
Detección
Mecanismos que pueden ser utilizados por los ISPs para detectar posibles
"bots" en sus clientes, y que van desde "scan" en el rango de IPs de los
clientes, uso de netflow, IDS, verificación de consultas DNS
(posiblemente para resolución de nombres utilizados en redes de bots),
subscripción a servicios de informes, informes de redes de "honeynets",
quejas de abuso que reciba, información compartida en colaboración con
otros ISPs, etc.
Notificación
Posibilidades de notificación que un ISP puede adoptar para con sus
usuarios en el caso de detectado un bot en su red. Y los mecanismos van
desde envio de correos, SMS, IM, web browser notification, llamadas
telefónicas hasta algo más factible y interesante como nos "walled garden".
"Remediation"
Y finalmente, viene la parte que habla de intentar solucionar el
problema. Y capaz que es una de las partes más complicadas. Eso a que
muchas veces el usuario no sabe qué hacer. Y en nuestra región puede
pasar (bastante común) que el usuario este utilizado productos no
licenciados.
Pero la RFC indica algunos métodos que el ISP puede adoptar para esa
etapa del proceso con un guía/paso a paso
La idea de ese mensaje es, además de escribir lo que expuse en el foro,
invitar a interesados a presentar temas relacionados.
Y no seria presentar acerca de todo en conjunto sino que capaz que
alguno esté trabajando/estudiando por ejemplo el tema de detección y lo
quiera exponer.
Durante el coffe-break fue contactado por por lo menos dos personas que
demostraron interese en esa parte de detección.
Me pongo a disposición para comentarios y sugerencias.
Saludos
--
Ricardo Patara
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20120516/8cdf452c/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image.jpg
Type: image/jpeg
Size: 18760 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20120516/8cdf452c/attachment.jpg>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image.png
Type: image/png
Size: 969 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20120516/8cdf452c/attachment.png>
Más información sobre la lista de distribución LACNOG