<div><div dir="auto">Estimados,</div></div><div dir="auto"><br></div><div dir="auto">Ya lo mencionó Roque pero la realidad para la mayoría de los ISP es otra y no viene por el lado de los ataques desde el punto de vista de ciberseguridad. En muchos países los ISPs responden “muy a menudo” requerimientos de la justicia frente a problemas mucho más serios (muchas veces) y mucho más antiguos que los de ciberseguridad.</div><div dir="auto">Lo que responden es (como mencionó Roque) qué “cliente” tenía X dirección IP en un determinado momento (fecha y hora). Luego, que se hace con eso es un tema de la justicia y por supuesto que no implica que el “culpable” sea ese cliente sino que muchas veces es una aproximación más a resolver el delito o crimen.</div><div dir="auto"> </div><div dir="auto">Lo que se loguéa es entonces dirección IP asignada a un determinado servicio de acceso a Internet y la marca temporal (conexión, desconeción e interims; para los casos de IP variable se loguea cada 5 o 10 minutos también por temas de facturación en muchos casos). Es decir que se loguea lo que sea necesario para asociar usuarios a conexiones en determinado tiempo.</div><div dir="auto"><br></div><div dir="auto">En Uruguay si mal no recuerdo, hay que guardar estos datos al menos por 5 años (si, cinco años). Por temas de investigaciones judiciales y porque es lo que se denomina “período de caducidad tributaria” dentro del cual es requerimiento disponer de la info necesaria para resolver discrepancias sobre el pago por los servicios.</div><div dir="auto"><br></div><div dir="auto">Y no importa si la info se encripta, o si se trata de un ataque o no... sino que hay que loguear todos los accesos a Internet.</div><div dir="auto"><br></div><div dir="auto">Saludos,</div><div dir="auto">Nicolas</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El El sáb, 23 de mar. de 2019 a las 05:39, Fernando Gont <<a href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a>> escribió:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
S los atacantes utilizaran mejores practicas, este tema de loggear<br>
puertos seria bastante irrelevante.<br>
<br>
En epocas de raspberry Pi's, por unas pocas decenas de dolares, y<br>
conectividad a internet bastante pervasiva, que esto todavia funcione<br>
hablar algo mal de la gente que ataca...<br>
<br>
All too human... :-)<br>
<br>
<br>
On 22/3/19 15:19, Fernando Frediani wrote:<br>
> [Español]<br>
> <br>
> Hola colegas<br>
> <br>
> La utilización de CGNAT por proveedores de acceso es creciente y con<br>
> ello viene una mayor dificultad de cumplir determinaciones legales para<br>
> la identificación de un usuario que pueda haber cometido un crimen.<br>
> Como sabemos para que esto sea efectivo es obligatorio que tanto el<br>
> proveedor de acceso como el proveedor de contenido registre los puertos<br>
> de origen utilizados en la conexión.<br>
> Aquí en Brasil tenemos una Ley específica para Internet que dice entre<br>
> muchas cosas sobre la necesidad de custodia de registros e<br>
> identificación del usuario en esas situaciones.<br>
> <br>
> Como forma de ayudar a la comunidad escribí un artículo con<br>
> instrucciones sobre cómo modificar la configuración de su servidor web<br>
> para pasar a registrar también los puertos de origen para cada conexión.<br>
> Incluso para quien no es proveedor de contenido pero tiene servidores de<br>
> apoyo a la operación con acceso público es importante realizar esos<br>
> ajustes como forma de protegerse a sí mismo o a terceros.<br>
> Está en Portugués y creo que es muy fácil para la mayoría aquí para<br>
> entender, pero si tiene alguna pregunta puede ponerse en contacto<br>
> conmigo en privado<br>
> <br>
> El artículo se puede acceder en:<br>
> <a href="https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origen_em_Servidores_Web" rel="noreferrer" target="_blank">https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origen_em_Servidores_Web</a><br>
> <br>
> <br>
> Saludos<br>
> Fernando Frediani<br>
> <br>
> [English]<br>
> <br>
> Hello colleagues<br>
> <br>
> The use of CGNAT by access providers is increasing and with this comes a<br>
> greater difficulty to comply with legal determinations to identify a<br>
> user who may have committed a crime.<br>
> As we know for this to be effective it is mandatory that both the access<br>
> provider and the content provider register the source ports used in the<br>
> connection.<br>
> Here in Brazil we have a specific Internet Law that says among many<br>
> things about the need for keeping these records and user identification<br>
> in these situations.<br>
> <br>
> As a way of helping the community I wrote an article with instructions<br>
> on how to modify the settings of your Web Server to register the source<br>
> ports for each connection as well.<br>
> Even for those who are not content providers but have servers that<br>
> support the operation with public access, it is important to make these<br>
> adjustments as a way to protect themselves or others.<br>
> The article is in Portuguese but I believe it is easy for most to<br>
> understand here, otherwise if you have any questions you can contact me<br>
> privately.<br>
> <br>
> The article can be accessed at:<br>
> <a href="https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origem_em_Web_Servers" rel="noreferrer" target="_blank">https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origem_em_Web_Servers</a><br>
> <br>
> <br>
> Regards<br>
> Fernando Frediani<br>
> <br>
> _______________________________________________<br>
> LACNOG mailing list<br>
> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
> .<br>
> <br>
<br>
<br>
-- <br>
Fernando Gont<br>
e-mail: <a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a> || <a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a><br>
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br>
<br>
<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div></div>