[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers

Nicolas Antoniello nantoniello en gmail.com
Mie Mar 27 08:46:15 -03 2019


Estimados,

Ya lo mencionó Roque pero la realidad para la mayoría de los ISP es otra y
no viene por el lado de los ataques desde el punto de vista de
ciberseguridad. En muchos países los ISPs responden “muy a menudo”
requerimientos de la justicia frente a problemas mucho más serios (muchas
veces) y mucho más antiguos que los de ciberseguridad.
Lo que responden es (como mencionó Roque) qué “cliente” tenía X dirección
IP en un determinado momento (fecha y hora). Luego, que se hace con eso es
un tema de la justicia y por supuesto que no implica que el “culpable” sea
ese cliente sino que muchas veces es una aproximación más a resolver el
delito o crimen.

Lo que se loguéa es entonces dirección IP asignada a un determinado
servicio de acceso a Internet y la marca temporal (conexión, desconeción e
interims; para los casos de IP variable se loguea cada 5 o 10 minutos
también por temas de facturación en muchos casos). Es decir que se loguea
lo que sea necesario para asociar usuarios a conexiones en determinado
tiempo.

En Uruguay si mal no recuerdo, hay que guardar estos datos al menos por 5
años (si, cinco años). Por temas de investigaciones judiciales y porque es
lo que se denomina “período de caducidad tributaria” dentro del cual es
requerimiento disponer de la info necesaria para resolver discrepancias
sobre el pago por los servicios.

Y no importa si la info se encripta, o si se trata de un ataque o no...
sino que hay que loguear todos los accesos a Internet.

Saludos,
Nicolas




El El sáb, 23 de mar. de 2019 a las 05:39, Fernando Gont <
fernando en gont.com.ar> escribió:

>
> S los atacantes utilizaran mejores practicas, este tema de loggear
> puertos seria bastante irrelevante.
>
> En epocas de raspberry Pi's, por unas pocas decenas de dolares, y
> conectividad a internet bastante pervasiva, que esto todavia funcione
> hablar algo mal de la gente que ataca...
>
> All too human... :-)
>
>
> On 22/3/19 15:19, Fernando Frediani wrote:
> > [Español]
> >
> > Hola colegas
> >
> > La utilización de CGNAT por proveedores de acceso es creciente y con
> > ello viene una mayor dificultad de cumplir determinaciones legales para
> > la identificación de un usuario que pueda haber cometido un crimen.
> > Como sabemos para que esto sea efectivo es obligatorio que tanto el
> > proveedor de acceso como el proveedor de contenido registre los puertos
> > de origen utilizados en la conexión.
> > Aquí en Brasil tenemos una Ley específica para Internet que dice entre
> > muchas cosas sobre la necesidad de custodia de registros e
> > identificación del usuario en esas situaciones.
> >
> > Como forma de ayudar a la comunidad escribí un artículo con
> > instrucciones sobre cómo modificar la configuración de su servidor web
> > para pasar a registrar también los puertos de origen para cada conexión.
> > Incluso para quien no es proveedor de contenido pero tiene servidores de
> > apoyo a la operación con acceso público es importante realizar esos
> > ajustes como forma de protegerse a sí mismo o a terceros.
> > Está en Portugués y creo que es muy fácil para la mayoría aquí para
> > entender, pero si tiene alguna pregunta puede ponerse en contacto
> > conmigo en privado
> >
> > El artículo se puede acceder en:
> >
> https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origen_em_Servidores_Web
> >
> >
> > Saludos
> > Fernando Frediani
> >
> > [English]
> >
> > Hello colleagues
> >
> > The use of CGNAT by access providers is increasing and with this comes a
> > greater difficulty to comply with legal determinations to identify a
> > user who may have committed a crime.
> > As we know for this to be effective it is mandatory that both the access
> > provider and the content provider register the source ports used in the
> > connection.
> > Here in Brazil we have a specific Internet Law that says among many
> > things about the need for keeping these records and user identification
> > in these situations.
> >
> > As a way of helping the community I wrote an article with instructions
> > on how to modify the settings of your Web Server to register the source
> > ports for each connection as well.
> > Even for those who are not content providers but have servers that
> > support the operation with public access, it is important to make these
> > adjustments as a way to protect themselves or others.
> > The article is in Portuguese but I believe it is easy for most to
> > understand here, otherwise if you have any questions you can contact me
> > privately.
> >
> > The article can be accessed at:
> >
> https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origem_em_Web_Servers
> >
> >
> > Regards
> > Fernando Frediani
> >
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> > .
> >
>
>
> --
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en si6networks.com
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20190327/0f73b859/attachment.html>


Más información sobre la lista de distribución LACNOG