<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"Times New Roman \(Cuerpo en alfa";
panose-1:2 2 6 3 5 4 5 2 3 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.EstiloCorreo18
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style></head><body lang=ES link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>Para que se vea la complejidad del tema …<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>En India no se puede usar MAP, porque no permite logear el 5-tuple de las sesiones y por tanto es contrario a la ley y un gran ISP tuvo que parar su despliegue por eso.<o:p></o:p></span></p><div><p class=MsoNormal><span lang=ES-TRAD style='font-size:10.5pt;color:black'><br>Saludos,<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'>Jordi<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'><o:p> </o:p></span></p></div><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div><div><p class=MsoNormal style='margin-left:35.4pt'>El 27/3/19 12:55, "LACNOG en nombre de Nicolas Antoniello" <<a href="mailto:lacnog-bounces@lacnic.net">lacnog-bounces@lacnic.net</a> en nombre de <a href="mailto:nantoniello@gmail.com">nantoniello@gmail.com</a>> escribió:<o:p></o:p></p></div></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><div><p class=MsoNormal style='margin-left:35.4pt'>Estimados,<o:p></o:p></p></div></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>Ya lo mencionó Roque pero la realidad para la mayoría de los ISP es otra y no viene por el lado de los ataques desde el punto de vista de ciberseguridad. En muchos países los ISPs responden “muy a menudo” requerimientos de la justicia frente a problemas mucho más serios (muchas veces) y mucho más antiguos que los de ciberseguridad.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>Lo que responden es (como mencionó Roque) qué “cliente” tenía X dirección IP en un determinado momento (fecha y hora). Luego, que se hace con eso es un tema de la justicia y por supuesto que no implica que el “culpable” sea ese cliente sino que muchas veces es una aproximación más a resolver el delito o crimen.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'> <o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>Lo que se loguéa es entonces dirección IP asignada a un determinado servicio de acceso a Internet y la marca temporal (conexión, desconeción e interims; para los casos de IP variable se loguea cada 5 o 10 minutos también por temas de facturación en muchos casos). Es decir que se loguea lo que sea necesario para asociar usuarios a conexiones en determinado tiempo.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>En Uruguay si mal no recuerdo, hay que guardar estos datos al menos por 5 años (si, cinco años). Por temas de investigaciones judiciales y porque es lo que se denomina “período de caducidad tributaria” dentro del cual es requerimiento disponer de la info necesaria para resolver discrepancias sobre el pago por los servicios.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>Y no importa si la info se encripta, o si se trata de un ataque o no... sino que hay que loguear todos los accesos a Internet.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>Saludos,<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'>Nicolas<o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p><div><div><p class=MsoNormal style='margin-left:35.4pt'>El El sáb, 23 de mar. de 2019 a las 05:39, Fernando Gont <<a href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a>> escribió:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><p class=MsoNormal style='margin-left:35.4pt'><br>S los atacantes utilizaran mejores practicas, este tema de loggear<br>puertos seria bastante irrelevante.<br><br>En epocas de raspberry Pi's, por unas pocas decenas de dolares, y<br>conectividad a internet bastante pervasiva, que esto todavia funcione<br>hablar algo mal de la gente que ataca...<br><br>All too human... :-)<br><br><br>On 22/3/19 15:19, Fernando Frediani wrote:<br>> [Español]<br>> <br>> Hola colegas<br>> <br>> La utilización de CGNAT por proveedores de acceso es creciente y con<br>> ello viene una mayor dificultad de cumplir determinaciones legales para<br>> la identificación de un usuario que pueda haber cometido un crimen.<br>> Como sabemos para que esto sea efectivo es obligatorio que tanto el<br>> proveedor de acceso como el proveedor de contenido registre los puertos<br>> de origen utilizados en la conexión.<br>> Aquí en Brasil tenemos una Ley específica para Internet que dice entre<br>> muchas cosas sobre la necesidad de custodia de registros e<br>> identificación del usuario en esas situaciones.<br>> <br>> Como forma de ayudar a la comunidad escribí un artículo con<br>> instrucciones sobre cómo modificar la configuración de su servidor web<br>> para pasar a registrar también los puertos de origen para cada conexión.<br>> Incluso para quien no es proveedor de contenido pero tiene servidores de<br>> apoyo a la operación con acceso público es importante realizar esos<br>> ajustes como forma de protegerse a sí mismo o a terceros.<br>> Está en Portugués y creo que es muy fácil para la mayoría aquí para<br>> entender, pero si tiene alguna pregunta puede ponerse en contacto<br>> conmigo en privado<br>> <br>> El artículo se puede acceder en:<br>> <a href="https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origen_em_Servidores_Web" target="_blank">https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origen_em_Servidores_Web</a><br>> <br>> <br>> Saludos<br>> Fernando Frediani<br>> <br>> [English]<br>> <br>> Hello colleagues<br>> <br>> The use of CGNAT by access providers is increasing and with this comes a<br>> greater difficulty to comply with legal determinations to identify a<br>> user who may have committed a crime.<br>> As we know for this to be effective it is mandatory that both the access<br>> provider and the content provider register the source ports used in the<br>> connection.<br>> Here in Brazil we have a specific Internet Law that says among many<br>> things about the need for keeping these records and user identification<br>> in these situations.<br>> <br>> As a way of helping the community I wrote an article with instructions<br>> on how to modify the settings of your Web Server to register the source<br>> ports for each connection as well.<br>> Even for those who are not content providers but have servers that<br>> support the operation with public access, it is important to make these<br>> adjustments as a way to protect themselves or others.<br>> The article is in Portuguese but I believe it is easy for most to<br>> understand here, otherwise if you have any questions you can contact me<br>> privately.<br>> <br>> The article can be accessed at:<br>> <a href="https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origem_em_Web_Servers" target="_blank">https://wiki.brasilpeeringforum.org/w/Log_de_Portas_de_Origem_em_Web_Servers</a><br>> <br>> <br>> Regards<br>> Fernando Frediani<br>> <br>> _______________________________________________<br>> LACNOG mailing list<br>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>> .<br>> <br><br><br>-- <br>Fernando Gont<br>e-mail: <a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a> || <a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a><br>PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br><br><br><br>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div></div><p class=MsoNormal style='margin-left:35.4pt'>_______________________________________________ LACNOG mailing list LACNOG@lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog <o:p></o:p></p></div><br>**********************************************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
http://www.theipv6company.com<br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<br>
<br>
</body></html>