<HTML>
<HEAD>
<TITLE>Re: [lacnog] rfc 6561</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Ricardo, quisiera ver la presentacion. Este es un tema que en particular me interesa mucho y además es una buena parte del tiempo que me consume hacer ver a los ISP la problematica que en general quisieran renovar magicamente colocando algun dispositivo sin tomar acciones en la arquitectura, prestacion de servicio o estructura de si red. No he leido aun el RFC6561 pero por lo que mencionas es algo que debe estar interesante. Asi mismo hay trabajos muy interesantes en la materia an el MAAWG asi como en ENISA.<BR>
<BR>
Si se abre la discusion en ensta materia es seguro que participo....<BR>
<BR>
<BR>
Un fuerte abrazo<BR>
-- <BR>
<BR>
<IMG src="cid:3420020854_8256683" ><BR>
<BR>
</SPAN></FONT><FONT COLOR="#808080"><FONT SIZE="1"><FONT FACE="Arial"><SPAN STYLE='font-size:8pt'><B>José Enrique Díaz Jolly </B></SPAN></FONT></FONT></FONT><FONT SIZE="1"><FONT FACE="Arial"><SPAN STYLE='font-size:8pt'><B><FONT COLOR="#7F7F7F">Cisco Systems, Inc.</FONT><FONT COLOR="#808080"> <BR>
Consulting Systems Engineer </FONT></B><FONT COLOR="#7F7F7F">1800 Av. McGill College 700<BR>
</FONT><FONT COLOR="#808080"><B>Borderless Networks, Security </B></FONT><FONT COLOR="#7F7F7F"> Montréal, QC H3A-3J6<BR>
</FONT><FONT COLOR="#808080"><a href="josedia@cisco.com">josedia@cisco.com</a> </FONT><FONT COLOR="#7F7F7F">CANADA<BR>
</FONT><FONT COLOR="#808080">Phone: <B>+52 (55) 5267-1231 <BR>
</B>Mobile: <B>+1 (514) 502-8657 </B>cisco.com/go/borderless <BR>
<BR>
<BR>
</FONT></SPAN><SPAN STYLE='font-size:7pt'> <IMG src="cid:3420020854_8281885" > <FONT COLOR="#2A8B22">Think before you print.<BR>
</FONT><BR>
This email may contain confidential and privileged material for the sole use of the intended recipient. Any review, use, distribution or disclosure by others is strictly prohibited. If you are not the intended recipient (or authorized to receive for the recipient), please contact the sender by reply email and delete all copies of this message.<BR>
<BR>
For corporate legal information go to:<BR>
cisco.com/web/about/doing_business/legal/cri/index.html <BR>
</SPAN></FONT></FONT><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
<BR>
<BR>
<HR ALIGN=CENTER SIZE="3" WIDTH="95%"><B>From: </B>Ricardo Patara <<a href="patara@registro.br">patara@registro.br</a>><BR>
<B>Reply-To: </B>Latin America and Caribbean Region Network Operators Group <<a href="lacnog@lacnic.net">lacnog@lacnic.net</a>><BR>
<B>Date: </B>Wed, 16 May 2012 06:23:53 -0700<BR>
<B>To: </B><<a href="lacnog@lacnic.net">lacnog@lacnic.net</a>><BR>
<B>Subject: </B>[lacnog] rfc 6561<BR>
<BR>
Hola.<BR>
<BR>
De la presentación en el jueves pasado durante el LACNIC XVII (sesión<BR>
del LACNOG), hable de la rfc6165 informational "Recommendations for the<BR>
Remediation of Bots in ISP Networks"<BR>
<BR>
La idea, tal cual comentado, era presentar la idea y ver el interese de<BR>
la comunidad en discutir más el tema y hacer presentaciones relacionadas<BR>
en el LACNOG en octubre.<BR>
<BR>
Básicamente, la RFC indica mecanismos para intentar solucionar problemas<BR>
de computadoras infectadas y utilizadas como robots en acciones<BR>
perjudiciales.<BR>
<BR>
Como motivación, indica que los "bots" traen prejuicio al consumir el<BR>
ancho de banda del ISP.<BR>
<BR>
Para el usuario es importante ser avisado del problema para que pueda<BR>
solucionar y evitar prejuicios como robo de sus datos, entre otros.<BR>
<BR>
La acción de los ISPs puede reducir los ataques y crímenes en la<BR>
Internet en general.<BR>
<BR>
El documento se divide en tres partes:<BR>
<BR>
Detección<BR>
<BR>
Mecanismos que pueden ser utilizados por los ISPs para detectar posibles<BR>
"bots" en sus clientes, y que van desde "scan" en el rango de IPs de los<BR>
clientes, uso de netflow, IDS, verificación de consultas DNS<BR>
(posiblemente para resolución de nombres utilizados en redes de bots),<BR>
subscripción a servicios de informes, informes de redes de "honeynets",<BR>
quejas de abuso que reciba, información compartida en colaboración con<BR>
otros ISPs, etc.<BR>
<BR>
<BR>
Notificación<BR>
<BR>
Posibilidades de notificación que un ISP puede adoptar para con sus<BR>
usuarios en el caso de detectado un bot en su red. Y los mecanismos van<BR>
desde envio de correos, SMS, IM, web browser notification, llamadas<BR>
telefónicas hasta algo más factible y interesante como nos "walled garden".<BR>
<BR>
<BR>
"Remediation"<BR>
<BR>
Y finalmente, viene la parte que habla de intentar solucionar el<BR>
problema. Y capaz que es una de las partes más complicadas. Eso a que<BR>
muchas veces el usuario no sabe qué hacer. Y en nuestra región puede<BR>
pasar (bastante común) que el usuario este utilizado productos no<BR>
licenciados.<BR>
Pero la RFC indica algunos métodos que el ISP puede adoptar para esa<BR>
etapa del proceso con un guía/paso a paso<BR>
<BR>
<BR>
La idea de ese mensaje es, además de escribir lo que expuse en el foro,<BR>
invitar a interesados a presentar temas relacionados.<BR>
<BR>
Y no seria presentar acerca de todo en conjunto sino que capaz que<BR>
alguno esté trabajando/estudiando por ejemplo el tema de detección y lo<BR>
quiera exponer.<BR>
Durante el coffe-break fue contactado por por lo menos dos personas que<BR>
demostraron interese en esa parte de detección.<BR>
<BR>
Me pongo a disposición para comentarios y sugerencias.<BR>
<BR>
Saludos<BR>
<BR>
--<BR>
Ricardo Patara<BR>
_______________________________________________<BR>
LACNOG mailing list<BR>
<a href="LACNOG@lacnic.net">LACNOG@lacnic.net</a><BR>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><BR>
<BR>
</SPAN></FONT>
</BODY>
</HTML>