[LACNIC/Politicas] Iniciativa de coordinaci ón a nte ataques

Gustavo Lozano glozano at nic.mx
Tue Dec 13 15:20:07 BRST 2005


At 02:50 p.m. 13/12/2005 -0300, Carlos Marcelo Martínez wrote:
>En el caso nuestro, filtramos la (o las) direccion desde donde provienen
>los ataques (spoofing o no spoofing), ya que de todas maneras hay que
>conservar la red operativa.
>
>En tu segundo punto, justamente por eso creo que es valiosa la
>participacion en alguna medida, de LACNIC, ya que de alguna manera hay
>ciertas garantias sobre quien da de alta IPs u otros datos en el sistema
>de prevención.
>
>Y sobre la prevención de ataques, creo que es en realidad una
>responsabilidad distribuida a todo nivel.
>
>Finalmente, toda la propuesta es de que sea opcional, que cada cual
>pueda hacer el mejor uso que considere de esta información.

Igual y ya conoces este proyecto 
http://www.cymru.com/BGP/bogon-rs.html, algunos 
amigos operadores lo utilizan. No es lo que tu 
propones pero desde mi punto de vista esta en el 
limite de lo que yo considero adecuado.


>slds
>
>Carlos
>
>Gustavo Lozano wrote:
> > Unos puntos a considerar de algunas discusiones que han existido sobre
> > propuestas de listas negras de IPS en el pasado:
> >
> > * Spoofing. La dirección de src de un paquete IP no sirve para
> > validar, puedes bloquear a un usuario legítimo de forma indirecta por
> > el spoofing.
> > * Las listas negras tienen mala reputación porque quien hace legitimo
> > a la persona que corre la lista negra, además de que no existe una
> > forma estándar de tu como operador pedir que eliminen tu dirección de
> > la lista negra.
> > * Los ataques de DDoS tienen que ser prevenidos donde se originan
> > porque el enduser los puede bloquear en su firewall pero el enlace es
> > saturado de igual forma. Los carriers no implementan firewalls o
> > listas de acceso en sus ruteadores de core ni de aprovisionamiento por
> > cuestiones de performance.
> >
> > Creo que los ataques de DDoS en específico deben ser atacados desde
> > otros frentes.
> >
> >
> > At 11:23 a.m. 13/12/2005 -0300, Ing. Carlos M. Martinez wrote:
> >> Mi idea original venia mas o menos por este lado. Como paso inicial yo
> >> imaginaba una especie de servicio similar a las "listas negras" de
> >> Spam, al
> >> cual aporten "entradas" los NOCs de las instituciones miembro de Lacnic.
> >>
> >> * ¿Porque similar a las listas negras?
> >> Las listas negras a mi juicio tienen un gran fuerte: son muy fáciles de
> >> usar. Alcanza con realizar una consulta DNS de manera adecuada para
> >> obtener
> >> información util.
> >>
> >> Creo que seria muy sencillo implementar algo asi para tambien cargar
> >> informacion de Ips que se estan usando para DDoS o para otro tipo de
> >> comportamiento abusivo, por ejemplo a través de registros TXT o similar.
> >>
> >> Los "clientes" (el resto de los miembros de LACNIC) podrían utilizar
> >> esta
> >> información de dos formas:
> >>
> >>         * a manera solamente informativa, para conocer que hechos están
> >> siendo reportados en la región.
> >>         * de manera preventiva, p.ej. A través de un set de scripts que
> >> traduzca estos registros TXT en listas de acceso o reglas de firewall.
> >>
> >> * ¿Porque las instituciones miembro de LACNIC?
> >> El aspecto malo a mi juicio de las listas negras es que no hay forma de
> >> conocer a priori la calidad de la información que allí está cargada.
> >>
> >> En el modelo que propongo, LACNIC proveería alguna forma de
> >> validación para
> >> quién esta tratando de cargar información en el sistema de alertas.
> >> De esta
> >> forma, al menos se sabe que la información esta siendo cargada por
> >> instituciones con un cierto grado de existencia formal bien definido, lo
> >> cual creo que asegura un nivel minimo de "calidad" en la información del
> >> sistema.
> >>
> >> Creo que el entorno LACNIC asegura un volumen de instituciones minimo
> >> como
> >> para tener un buen nivel de información, manteniendo el universo de
> >> quienes
> >> pueden acceder a dar altas en el sistema en cierta manera acotado (y
> >> controlable)
> >>
> >> Slds
> >>
> >> Carlos
> >>
> >> -----Original Message-----
> >> From: politicas-bounces at lacnic.net
> >> [mailto:politicas-bounces at lacnic.net] On
> >> Behalf Of Ing. Balbastro, Edgar F.
> >> Sent: Monday, December 12, 2005 3:32 PM
> >> To: politicas at lacnic.net
> >> Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te
> >> ataques
> >>
> >> Estimados,
> >>
> >> Estoy leyendo este tema desde hace un tiempo y quería aportar
> >> ejemplos para
> >> que no se les escape hacia otros rumbos.
> >>
> >> Para lo que creo podría servir la iniciativa es:
> >> * para realizar un listado de filtrado de tráfico hacia y desde el
> >> borde del
> >> ISP. En nuestro ISP filtramos direcciones de origen y destinos
> >> privadas en
> >> nuestra salida, es asombroso la cantidad de inicios de seciones desde
> >> direcciones IP privadas. Incluso hay paquetes que llegan a nuestro nodo
> >> desde privadas. Muchos de estos paquetes pueden ser ataques o virus.
> >> * para realizar listados de filtrados de prefijos en BGP.
> >> * los mismos items pero para IPv6
> >>
> >> En general podriamos tener un punto en donde ayudarnos mutuamente con
> >> las
> >> mejores prácticas en nuestra zona.
> >> Son solo ejemplos, espero haber aportado algo. Saludos cordiales,
> >>
> >> Jose Enrique Diaz Jolly wrote:
> >>
> >> >Erick
> >> >
> >> >A veces me parece que la dicotomia que planteas no es que cada qien
> >> viva en
> >> compartimientos estancos, sino que desde el punto de vista tecnico y
> >> operativo, lo que se esta planteando es un grupo que permita ayudar a
> >> prevenir un ataque, dar a conocer vulnerabilidades, apoyar a
> >> restablecer la
> >> operación etc, es decir asuntos tecnicos. No es funcion de este
> >> organismo
> >> propuesto perseguir ni coordinar persecuciones, es una entidad
> >> preventiva.
> >> Si en cualquier momento alguna entidad o autoridad de algun tipo
> >> requiere
> >> apoyo para perseguir no se puede negar a proporcionar las capacdades
> >> tecnicas necesarias para brindar dicho apoyo, pero de ahí a perseguir de
> >> facto, esta muy alejado de su naturaleza. Por hacer un simil, proteccion
> >> civil previene y recomienda, por ejemplo que hacer en caso de amenaza de
> >> bomba, pero de ahí a que persiga..... Es harina de otro costal.
> >> >
> >> >
> >> >________________________________________________
> >> >José Enrique Díaz Jolly
> >> >Systems Engineer
> >> >Ironport Systems, Mexico
> >> >
> >> >+52 55-2300-5458 (Mobile)
> >> >+52 (55) 5212-0360 (Fax)
> >> >
> >> >www.ironport.com - The Leader in Email Security
> >> >________________________________________________
> >> >
> >> >
> >> >
> >> >
> >> >>-----Original Message-----
> >> >>From: politicas-bounces at lacnic.net
> >> >>[mailto:politicas-bounces at lacnic.net] On Behalf Of Erick Iriarte Ahon
> >> >>Sent: Lunes, 12 de Diciembre de 2005 12:01 p.m.
> >> >>To: Raul Echeberria; politicas at lacnic.net
> >> >>Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te
> >> >>ataques
> >> >>
> >> >>Raul
> >> >>
> >> >>concuerdo con que son cosas distintas pero concatenadas. Esta
> >> >>dicotomia de los tecnicos con los politicos, de los tecnicos con el
> >> >>resto, de los expertos con el resto, de los politicos con el resto, es
> >> >>como si cada cual viviera en un compartimento estanco y lo que los
> >> >>otros hacen no afectara.
> >> >>
> >> >>Si algo tiene esta sociedad de la informacion es esto de estar
> >> >>engarzados unos con otros... veamos el como se coordina para avanzar
> >> >>todos desde el mismo lado.
> >> >>
> >> >>Erick
> >> >>
> >> >>
> >> >>At 01:57 p.m. 12/12/2005, Raul Echeberria wrote:
> >> >>
> >> >>
> >> >>
> >> >>>Erick:
> >> >>>
> >> >>>Creo que una cosa es la prevención de ataques desde el punto
> >> >>>
> >> >>>
> >> >>de vista
> >> >>
> >> >>
> >> >>>técnico y otra cosa es la prosecusión del criminal .
> >> >>>Acá estamos hablando de lo primero, de documentar problemas, crear
> >> >>>repositorios de información útiles y de generar prácticas
> >> >>>
> >> >>>
> >> >>que permitan
> >> >>
> >> >>
> >> >>>minimizar los ataques y/o daños.
> >> >>>
> >> >>>Claramente son cosas que se pueden retroalimentar en algun
> >> >>>
> >> >>>
> >> >>punto, pero
> >> >>
> >> >>
> >> >>>son cosas distintas.
> >> >>>
> >> >>>Saludos
> >> >>>
> >> >>>Raúl
> >> >>>
> >> >>>
> >> >>>
> >> >>>
> >> >>>Erick Iriarte Ahon escribió:
> >> >>>
> >> >>>
> >> >>>
> >> >>>>Hola Gustavo..
> >> >>>>
> >> >>>>tomando lo que dices y lo que me respondio
> >> >>>>
> >> >>>>
> >> >>>Francisco. El tema es el siguiente.
> >> >>>
> >> >>>
> >> >>>>Sabemos nuestra realidad latinoamericana, y una de nuestras
> >> >>>>limitantes es que las famosas "brigadas digitales", lease
> >> >>>>
> >> >>>>
> >> >>los cuerpos
> >> >>
> >> >>
> >> >>>>de policia encargado de la persecusion de los delitos
> >> >>>>
> >> >>>>
> >> >>utilizando tics
> >> >>
> >> >>
> >> >>>>o delitos informaticos (que son cosas distintas pero no es este el
> >> >>>>momento para debatir la distincion), pues decia que estas
> >> >>>>
> >> >>>>
> >> >>"brigadas
> >> >>
> >> >>
> >> >>>>digitales" tienen carencias de cosas y carencias de personal, y en
> >> >>>>muchos casos el poco personal que tienen no es personal capacitado.
> >> >>>>
> >> >>>>Y es que sucede algo, muchas veces en estos temas tecnologicos,
> >> >>>>preferimos tomar la "sarten por el mango" o en terminos
> >> >>>>
> >> >>>>
> >> >>mas juridicos
> >> >>
> >> >>
> >> >>>>"la ley por propia mano".
> >> >>>>
> >> >>>>Entonces va no solo por la formacion de personal (de esa gente que
> >> >>>>tambien nos tiene que proteger a nosotros, y a nuestros
> >> >>>>
> >> >>>>
> >> >>hijos y todo
> >> >>
> >> >>
> >> >>>>lo que implica una sociedad de la informacion), sino que
> >> >>>>
> >> >>>>
> >> >>va tambien
> >> >>
> >> >>
> >> >>>>por encontrar los mecanismos de apoyo.
> >> >>>>
> >> >>>>recuerdo hace unos años, estaban tratando de seguir un tema de un
> >> >>>>delito, y requerian saber los datos de un IP, y eso era
> >> >>>>
> >> >>>>
> >> >>tan sencillo
> >> >>
> >> >>
> >> >>>>como direccionar al oficial que hacia la busqueda a que utilice el
> >> >>>>whois!!!, pero no sabian eso.
> >> >>>>
> >> >>>>Entonces, que pasa si alguien te ataca, no solo esta cometiendo un
> >> >>>>daño contra tu trabajo/red, sino un delito. Dado que no
> >> >>>>
> >> >>>>
> >> >>confiamos que
> >> >>
> >> >>
> >> >>>>nuestras policias puedan hacer algo, si les contamos y tomamos
> >> >>>>acciones nosotros solos, pero si esto implica tener que
> >> >>>>
> >> >>>>
> >> >>entrar a las
> >> >>
> >> >>
> >> >>>>cuentas de otros, o "utilizar fuego contra fuego", tambien
> >> >>>>
> >> >>>>
> >> >>pudieramos
> >> >>
> >> >>
> >> >>>>estar incurriendo en un delito.
> >> >>>>
> >> >>>>Y siguiendo esta linea argumental (ya parezco abogado!!!),
> >> >>>>
> >> >>>>
> >> >>si ellos
> >> >>
> >> >>
> >> >>>>tienen un problema deben saber que pueden contar con sus
> >> >>>>
> >> >>>>
> >> >>NOG locales,
> >> >>
> >> >>
> >> >>>>pero tambien con su cctld, y con su NAP, y con sus
> >> >>>>
> >> >>>>
> >> >>intancias locales,
> >> >>
> >> >>
> >> >>>>hasta que ellos se formen (que espero sea pronto).
> >> >>>>
> >> >>>>Estos temas no solo son que te atacan, pasan por pornografia
> >> >>>>infantil, por xenofobia, lavado de dinero, fraudes
> >> >>>>
> >> >>>>
> >> >>informaticos, etc.
> >> >>
> >> >>
> >> >>>>etc.
> >> >>>>
> >> >>>>Por alli iba mi pregunta y mis comentarios
> >> >>>>
> >> >>>>Erick
> >> >>>>
> >> >>>>
> >> >>>>
> >> >>>>At 10:37 a.m. 12/12/2005, Gustavo Lozano wrote:
> >> >>>>
> >> >>>>
> >> >>>>
> >> >>>>
> >> >>>>>Hola Erick,
> >> >>>>>
> >> >>>>>Los NOGs son grupos técnicos y la idea detrás de los mismos es
> >> >>>>>ayudar a los administradores de redes a solucionar problemas y
> >> >>>>>transferir el conocimiento. Con problemas me refiero a problemas
> >> >>>>>operativos como: configuraciones, ruteo, ataques,
> >> >>>>>
> >> >>>>>
> >> >>latencia, etc. De
> >> >>
> >> >>
> >> >>>>>igual forma los NOGs aportan discusión técnica sobre nuevas
> >> >>>>>tecnologías y permiten conocer a los grupos de
> >> >>>>>
> >> >>>>>
> >> >>estandarización las
> >> >>
> >> >>
> >> >>>>>necesidades de los operadores.
> >> >>>>>
> >> >>>>>¿Que estas pensando con trabajo con las policías locales?
> >> >>>>>
> >> >>>>>Además de ofrecer capacitación en los foros que organizan
> >> >>>>>
> >> >>>>>
> >> >>los NOGs
> >> >>
> >> >>
> >> >>>>>no veo otro tipo de interacción con las policías locales. ¿Algún
> >> >>>>>participante de NANOG u otro NOG de la lista ve otro tipo
> >> >>>>>
> >> >>>>>
> >> >>de interacción?
> >> >>
> >> >>
> >> >>>>>Saludos.
> >> >>>>>
> >> >>>>>At 10:48 a.m. 09/12/2005 -0500, Erick Iriarte Ahon wrote:
> >> >>>>>
> >> >>>>>
> >> >>>>>
> >> >>>>>
> >> >>>>>>Hola Gustavo
> >> >>>>>>
> >> >>>>>>yo me sumo, dime donde me anoto, pero vengo tambien con una
> >> >>>>>>pregunta.. y como coordinan los temas de seguimiento de estos
> >> >>>>>>ataques... digo en la parte de trabajo con las policias locales.
> >> >>>>>>
> >> >>>>>>Erick
> >> >>>>>>
> >> >>>>>>
> >> >>>>>>At 11:22 a.m. 08/12/2005, you wrote:
> >> >>>>>>
> >> >>>>>>
> >> >>>>>>
> >> >>>>>>
> >> >>>>>>>Durante algún tiempo varios colegas de NIC México y su servidor
> >> >>>>>>>hemos platicado sobre la posibilidad de integrar un NOG
> >> >>>>>>>
> >> >>>>>>>
> >> >>(Network
> >> >>
> >> >>
> >> >>>>>>>Operator
> >> >>>>>>>Group) para México. La idea ha sido mencionada a varios
> >> >>>>>>>
> >> >>>>>>>
> >> >>carriers
> >> >>
> >> >>
> >> >>>>>>>mexicanos y es vista con buenos ojos.
> >> >>>>>>>
> >> >>>>>>>Un NOG es una comunidad de operadores de red que tiene como
> >> >>>>>>>función básica ayudar a resolver problemas en la red
> >> >>>>>>>
> >> >>>>>>>
> >> >>(incluyendo
> >> >>
> >> >>
> >> >>>>>>>ataques) así como difundir el conocimiento. Hay NOGs
> >> >>>>>>>
> >> >>>>>>>
> >> >>muy conocidos
> >> >>
> >> >>
> >> >>>>>>>como NANOG (<http://www.nanog.org/>http://www.nanog.org),
> >> >>>>>>>SANOG
> >> >>>>>>>(<http://www.sanog.org/>http://www.sanog.org),
> >> >>>>>>>AFNOG (<http://www.afnog.org/>http://www.afnog.org), etc.
> >> >>>>>>>
> >> >>>>>>>De igual forma a partir de esta idea surgió la
> >> >>>>>>>
> >> >>>>>>>
> >> >>inquietud de crear
> >> >>
> >> >>
> >> >>>>>>>en lugar de un NOG mexicano un NOG para la región LAC
> >> >>>>>>>(Latinoamérica y el Caribe). En Agosto registramos el dominio
> >> >>>>>>>lacnog.org y aprovecho este email para preguntarle a la
> >> >>>>>>>
> >> >>>>>>>
> >> >>comunidad
> >> >>
> >> >>
> >> >>>>>>>LACNIC, ¿que piensan respecto a esta idea?.
> >> >>>>>>>
> >> >>>>>>>¿Estarían dispuestos a invitar y hacer labor de difusión en sus
> >> >>>>>>>respectivos países buscando que la mayor cantidad de
> >> >>>>>>>
> >> >>>>>>>
> >> >>operadores de
> >> >>
> >> >>
> >> >>>>>>>red entren a la lista de correo? La membresía al igual que en
> >> >>>>>>>otros NOG estaría abierta al publico en general.
> >> >>>>>>>NIC México esta dispuesto a hostear la página y lista
> >> >>>>>>>
> >> >>>>>>>
> >> >>de correo.
> >> >>
> >> >>
> >> >>>>>>>Conforme el grupo avance se definirían roles administrativos,
> >> >>>>>>>reglamento de elecciones, así como buscar tener
> >> >>>>>>>
> >> >>>>>>>
> >> >>reuniones, en un
> >> >>
> >> >>
> >> >>>>>>>inicio en el foro de LACNIC.
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>At 04:56 p.m. 06/12/2005 -0300, Ing. Carlos M. Martinez wrote:
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>>Hola a todos,
> >> >>>>>>>>
> >> >>>>>>>>Quisiera conocer la opinión sobre los
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>participantes de la lista en cuanto a
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>>si vale la pena retomar una iniciativa que
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>presenté aquí hace algunos meses.
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>>La misma hablaba de considerar posibles
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>opciones para compartir información
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>>sobre incidentes de seguridad (en particular ataques
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>DDoS) entre
> >> >>
> >> >>
> >> >>>>>>>>los distintos miembros de la comunidad de Lacnic.
> >> >>>>>>>>
> >> >>>>>>>>Tampoco tengo claro si estaría dentro del alcance de las
> >> >>>>>>>>Politicas de Lacnic, o si esto cae fuera.
> >> >>>>>>>>
> >> >>>>>>>>Les agradezco vuestra opinión.
> >> >>>>>>>>
> >> >>>>>>>>Slds
> >> >>>>>>>>
> >> >>>>>>>>Carlos
> >> >>>>>>>>
> >> >>>>>>>>_______________________________________________
> >> >>>>>>>>Politicas mailing list
> >> >>>>>>>>Politicas at lacnic.net
> >> >>>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>------------------------------------------------
> >> >>>>>>>Gustavo Lozano Ibarra
> >> >>>>>>>IT Research Leader
> >> >>>>>>>Network Information Center México Phone & Fax: +52 81 8387-5346
> >> >>>>>>>http://www.nic.mx .MX is the new way to say Mexico
> >> >>>>>>>
> >> >>>>>>>The content of this data transmission is confidential,
> >> >>>>>>>
> >> >>>>>>>
> >> >>therefore,
> >> >>
> >> >>
> >> >>>>>>>it shall not be modified, distributed and/or disclosed
> >> >>>>>>>
> >> >>>>>>>
> >> >>>throughany mean without the original sender's previous
> >> >>>
> >> >>>
> >> >>>>>>>authorization.  Any information, offer or agreement made by the
> >> >>>>>>>sender of this data transmission, should be consider as
> >> >>>>>>>
> >> >>>>>>>
> >> >>>personal and not binding for NIC Mexico.
> >> >>>
> >> >>>
> >> >>>>>>>_______________________________________________
> >> >>>>>>>Politicas mailing list
> >> >>>>>>>Politicas at lacnic.net
> >> >>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> --
> >> -------------------------------------------------------
> >> Ing. Balbastro, Edgar Fernando
> >> Nodo de Internet. Sistemas.
> >> Cooperativa Telefonica de Villa Gobernador Galvez Ltda.
> >> Av. Mitre 1028, V.G.G. (2124) Santa Fe. Argentina
> >> mail: e.balbastro at telvgg.coop
> >> Tel: 0341-4921299
> >> Fax: 0341-4921390
> >> -------------------------------------------------------
> >>
> >>
> >> _______________________________________________
> >> Politicas mailing list
> >> Politicas at lacnic.net
> >> http://www.lacnic.net/mailman/listinfo/politicas
> >>
> >>
> >> _______________________________________________
> >> Politicas mailing list
> >> Politicas at lacnic.net
> >> http://www.lacnic.net/mailman/listinfo/politicas
> >
> >
> > gus
> >
>_______________________________________________
>Politicas mailing list
>Politicas at lacnic.net
>http://www.lacnic.net/mailman/listinfo/politicas


gus 




More information about the Politicas mailing list