[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers
JORDI PALET MARTINEZ
jordi.palet en consulintel.es
Mie Mar 27 09:22:04 -03 2019
Para que se vea la complejidad del tema …
En India no se puede usar MAP, porque no permite logear el 5-tuple de las sesiones y por tanto es contrario a la ley y un gran ISP tuvo que parar su despliegue por eso.
Saludos,
Jordi
El 27/3/19 12:55, "LACNOG en nombre de Nicolas Antoniello" <lacnog-bounces en lacnic.net en nombre de nantoniello en gmail.com> escribió:
Estimados,
Ya lo mencionó Roque pero la realidad para la mayoría de los ISP es otra y no viene por el lado de los ataques desde el punto de vista de ciberseguridad. En muchos países los ISPs responden “muy a menudo” requerimientos de la justicia frente a problemas mucho más serios (muchas veces) y mucho más antiguos que los de ciberseguridad.
Lo que responden es (como mencionó Roque) qué “cliente” tenía X dirección IP en un determinado momento (fecha y hora). Luego, que se hace con eso es un tema de la justicia y por supuesto que no implica que el “culpable” sea ese cliente sino que muchas veces es una aproximación más a resolver el delito o crimen.
Lo que se loguéa es entonces dirección IP asignada a un determinado servicio de acceso a Internet y la marca temporal (conexión, desconeción e interims; para los casos de IP variable se loguea cada 5 o 10 minutos también por temas de facturación en muchos casos). Es decir que se loguea lo que sea necesario para asociar usuarios a conexiones en determinado tiempo.
En Uruguay si mal no recuerdo, hay que guardar estos datos al menos por 5 años (si, cinco años). Por temas de investigaciones judiciales y porque es lo que se denomina “período de caducidad tributaria” dentro del cual es requerimiento disponer de la info necesaria para resolver discrepancias sobre el pago por los servicios.
Y no importa si la info se encripta, o si se trata de un ataque o no... sino que hay que loguear todos los accesos a Internet.
Saludos,
Nicolas
El El sáb, 23 de mar. de 2019 a las 05:39, Fernando Gont <fernando en gont.com.ar> escribió:
S los atacantes utilizaran mejores practicas, este tema de loggear
puertos seria bastante irrelevante.
En epocas de raspberry Pi's, por unas pocas decenas de dolares, y
conectividad a internet bastante pervasiva, que esto todavia funcione
hablar algo mal de la gente que ataca...
All too human... :-)
On 22/3/19 15:19, Fernando Frediani wrote:
> [Español]
>
> Hola colegas
>
> La utilización de CGNAT por proveedores de acceso es creciente y con
> ello viene una mayor dificultad de cumplir determinaciones legales para
> la identificación de un usuario que pueda haber cometido un crimen.
> Como sabemos para que esto sea efectivo es obligatorio que tanto el
> proveedor de acceso como el proveedor de contenido registre los puertos
> de origen utilizados en la conexión.
> Aquí en Brasil tenemos una Ley específica para Internet que dice entre
> muchas cosas sobre la necesidad de custodia de registros e
> identificación del usuario en esas situaciones.
>
> Como forma de ayudar a la comunidad escribí un artículo con
> instrucciones sobre cómo modificar la configuración de su servidor web
> para pasar a registrar también los puertos de origen para cada conexión.
> Incluso para quien no es proveedor de contenido pero tiene servidores de
> apoyo a la operación con acceso público es importante realizar esos
> ajustes como forma de protegerse a sí mismo o a terceros.
> Está en Portugués y creo que es muy fácil para la mayoría aquí para
> entender, pero si tiene alguna pregunta puede ponerse en contacto
> conmigo en privado
>
> El artículo se puede acceder en:
> https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origen_em_Servidores_Web
>
>
> Saludos
> Fernando Frediani
>
> [English]
>
> Hello colleagues
>
> The use of CGNAT by access providers is increasing and with this comes a
> greater difficulty to comply with legal determinations to identify a
> user who may have committed a crime.
> As we know for this to be effective it is mandatory that both the access
> provider and the content provider register the source ports used in the
> connection.
> Here in Brazil we have a specific Internet Law that says among many
> things about the need for keeping these records and user identification
> in these situations.
>
> As a way of helping the community I wrote an article with instructions
> on how to modify the settings of your Web Server to register the source
> ports for each connection as well.
> Even for those who are not content providers but have servers that
> support the operation with public access, it is important to make these
> adjustments as a way to protect themselves or others.
> The article is in Portuguese but I believe it is easy for most to
> understand here, otherwise if you have any questions you can contact me
> privately.
>
> The article can be accessed at:
> https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origem_em_Web_Servers
>
>
> Regards
> Fernando Frediani
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> .
>
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20190327/b4679dd8/attachment-0001.html>
Más información sobre la lista de distribución LACNOG