[LACNIC/Politicas] Iniciativa de coordinación ante ataques

Ricardo Patara patara at lacnic.net
Wed Dec 14 09:11:02 BRST 2005


hola, yo quería hacer un aporte personal que no representa
necesariamente la opinión de lacnic sino que mi propia.

yo soy contra las listas negras. no ignoro que algunas pueden traer
buenos resultados en la disminución de los spam recibidos, pero no
creo que sea la mejor solución...

en lacnic utilizamos grey listing con resultados muy muy buenos

pero lo que me preocupa en los black list es algo como ya fue apuntado
aquí que es confiar a un tercero el control de cual IP mi server debe
o no aceptar conexión.

Además de esto, los criterios para inclusión y remoción de estos ip en
la listas que existen hoy no son claros ni sencillos.
Un error ahi, o un criterio raro tiene un impacto grande.
Es muy difícil sino imposible contactar a todos que utilizan una
determinada black list para le solicitar que no las utilice por sus
criterios dudosos. (como comentarios, hay black lists que simplemente
excluyen todos los ips de am. latina sin otros criterios o
explanaciones).

bueno, esta claro que la sugerencia seria entonces que una
organización mas seria y con criterios mas claro administre esos black
lists. la sugerencia que apareció es que lacnic lo haga.
tampoco creo que para lacnic sea bueno... y mas una vez esta es mi
opinión personal no la de lacnic...

esto porque puede haber impactos legales contra lacnic por hacer esto
tipo de cosa... como ya hubo con otras organizaciones en eeuu que
hacian algo asi en el pasado...
muchas de las black lists que existen hoy no tienen una "cara publica"
justamente para evitar los aspectos legales...
uno que tenga sus ips incluidos en un black list y llegue a conclusión
que esto le genero perjuicio puede hacer una queja legal contra la
organización que creo y administro el black list.

yo estoy mas a favor de la creación de centros de coordinación de que
black lists.

creo que en se creando los centros de coordinación es posible que se
haga conocer entre los miembros quien son las personas responsables
por cada red y asi crear una confianza entre ellos y con esto obtener
mas agilidad en la identificación y resolución de los problemas en las
redes de la región.
y por consecuencia bajar de una forma general los problemas de
seguridad...

ricardo

-- 
  L A C N I C 

On Tue, Dec 13, 2005 at 11:23:33AM -0300, Ing. Carlos M. Martinez wrote:
| Mi idea original venia mas o menos por este lado. Como paso inicial yo
| imaginaba una especie de servicio similar a las "listas negras" de Spam, al
| cual aporten "entradas" los NOCs de las instituciones miembro de Lacnic.
| 
| * ¿Porque similar a las listas negras?
| Las listas negras a mi juicio tienen un gran fuerte: son muy fáciles de
| usar. Alcanza con realizar una consulta DNS de manera adecuada para obtener
| información util. 
| 
| Creo que seria muy sencillo implementar algo asi para tambien cargar
| informacion de Ips que se estan usando para DDoS o para otro tipo de
| comportamiento abusivo, por ejemplo a través de registros TXT o similar.
| 
| Los "clientes" (el resto de los miembros de LACNIC) podrían utilizar esta
| información de dos formas:
| 
| 	* a manera solamente informativa, para conocer que hechos están
| siendo reportados en la región.
| 	* de manera preventiva, p.ej. A través de un set de scripts que
| traduzca estos registros TXT en listas de acceso o reglas de firewall.
| 
| * ¿Porque las instituciones miembro de LACNIC?
| El aspecto malo a mi juicio de las listas negras es que no hay forma de
| conocer a priori la calidad de la información que allí está cargada.
| 
| En el modelo que propongo, LACNIC proveería alguna forma de validación para
| quién esta tratando de cargar información en el sistema de alertas. De esta
| forma, al menos se sabe que la información esta siendo cargada por
| instituciones con un cierto grado de existencia formal bien definido, lo
| cual creo que asegura un nivel minimo de "calidad" en la información del
| sistema.
| 
| Creo que el entorno LACNIC asegura un volumen de instituciones minimo como
| para tener un buen nivel de información, manteniendo el universo de quienes
| pueden acceder a dar altas en el sistema en cierta manera acotado (y
| controlable)
|  
| Slds
| 
| Carlos
| 
| -----Original Message-----
| From: politicas-bounces at lacnic.net [mailto:politicas-bounces at lacnic.net] On
| Behalf Of Ing. Balbastro, Edgar F.
| Sent: Monday, December 12, 2005 3:32 PM
| To: politicas at lacnic.net
| Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te ataques
| 
| Estimados,
| 
| Estoy leyendo este tema desde hace un tiempo y quería aportar ejemplos para
| que no se les escape hacia otros rumbos.
| 
| Para lo que creo podría servir la iniciativa es:
| * para realizar un listado de filtrado de tráfico hacia y desde el borde del
| ISP. En nuestro ISP filtramos direcciones de origen y destinos privadas en
| nuestra salida, es asombroso la cantidad de inicios de seciones desde
| direcciones IP privadas. Incluso hay paquetes que llegan a nuestro nodo
| desde privadas. Muchos de estos paquetes pueden ser ataques o virus.
| * para realizar listados de filtrados de prefijos en BGP.
| * los mismos items pero para IPv6
| 
| En general podriamos tener un punto en donde ayudarnos mutuamente con las
| mejores prácticas en nuestra zona.
| Son solo ejemplos, espero haber aportado algo. Saludos cordiales,
| 
| Jose Enrique Diaz Jolly wrote:
| 
| >Erick
| >
| >A veces me parece que la dicotomia que planteas no es que cada qien viva en
| compartimientos estancos, sino que desde el punto de vista tecnico y
| operativo, lo que se esta planteando es un grupo que permita ayudar a
| prevenir un ataque, dar a conocer vulnerabilidades, apoyar a restablecer la
| operación etc, es decir asuntos tecnicos. No es funcion de este organismo
| propuesto perseguir ni coordinar persecuciones, es una entidad preventiva.
| Si en cualquier momento alguna entidad o autoridad de algun tipo requiere
| apoyo para perseguir no se puede negar a proporcionar las capacdades
| tecnicas necesarias para brindar dicho apoyo, pero de ahí a perseguir de
| facto, esta muy alejado de su naturaleza. Por hacer un simil, proteccion
| civil previene y recomienda, por ejemplo que hacer en caso de amenaza de
| bomba, pero de ahí a que persiga..... Es harina de otro costal.
| >
| >
| >________________________________________________
| >José Enrique Díaz Jolly
| >Systems Engineer
| >Ironport Systems, Mexico
| >
| >+52 55-2300-5458 (Mobile)
| >+52 (55) 5212-0360 (Fax)
| >
| >www.ironport.com - The Leader in Email Security 
| >________________________________________________
| > 
| >
| >  
| >
| >>-----Original Message-----
| >>From: politicas-bounces at lacnic.net
| >>[mailto:politicas-bounces at lacnic.net] On Behalf Of Erick Iriarte Ahon
| >>Sent: Lunes, 12 de Diciembre de 2005 12:01 p.m.
| >>To: Raul Echeberria; politicas at lacnic.net
| >>Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te 
| >>ataques
| >>
| >>Raul
| >>
| >>concuerdo con que son cosas distintas pero concatenadas. Esta 
| >>dicotomia de los tecnicos con los politicos, de los tecnicos con el 
| >>resto, de los expertos con el resto, de los politicos con el resto, es 
| >>como si cada cual viviera en un compartimento estanco y lo que los 
| >>otros hacen no afectara.
| >>
| >>Si algo tiene esta sociedad de la informacion es esto de estar 
| >>engarzados unos con otros... veamos el como se coordina para avanzar 
| >>todos desde el mismo lado.
| >>
| >>Erick
| >>
| >>
| >>At 01:57 p.m. 12/12/2005, Raul Echeberria wrote:
| >>
| >>    
| >>
| >>>Erick:
| >>>
| >>>Creo que una cosa es la prevención de ataques desde el punto
| >>>      
| >>>
| >>de vista
| >>    
| >>
| >>>técnico y otra cosa es la prosecusión del criminal .
| >>>Acá estamos hablando de lo primero, de documentar problemas, crear 
| >>>repositorios de información útiles y de generar prácticas
| >>>      
| >>>
| >>que permitan
| >>    
| >>
| >>>minimizar los ataques y/o daños.
| >>>
| >>>Claramente son cosas que se pueden retroalimentar en algun
| >>>      
| >>>
| >>punto, pero
| >>    
| >>
| >>>son cosas distintas.
| >>>
| >>>Saludos
| >>>
| >>>Raúl
| >>>
| >>>
| >>>
| >>>
| >>>Erick Iriarte Ahon escribió:
| >>>
| >>>      
| >>>
| >>>>Hola Gustavo..
| >>>>
| >>>>tomando lo que dices y lo que me respondio
| >>>>        
| >>>>
| >>>Francisco. El tema es el siguiente.
| >>>      
| >>>
| >>>>Sabemos nuestra realidad latinoamericana, y una de nuestras 
| >>>>limitantes es que las famosas "brigadas digitales", lease
| >>>>        
| >>>>
| >>los cuerpos
| >>    
| >>
| >>>>de policia encargado de la persecusion de los delitos
| >>>>        
| >>>>
| >>utilizando tics
| >>    
| >>
| >>>>o delitos informaticos (que son cosas distintas pero no es este el 
| >>>>momento para debatir la distincion), pues decia que estas
| >>>>        
| >>>>
| >>"brigadas
| >>    
| >>
| >>>>digitales" tienen carencias de cosas y carencias de personal, y en 
| >>>>muchos casos el poco personal que tienen no es personal capacitado.
| >>>>
| >>>>Y es que sucede algo, muchas veces en estos temas tecnologicos, 
| >>>>preferimos tomar la "sarten por el mango" o en terminos
| >>>>        
| >>>>
| >>mas juridicos
| >>    
| >>
| >>>>"la ley por propia mano".
| >>>>
| >>>>Entonces va no solo por la formacion de personal (de esa gente que 
| >>>>tambien nos tiene que proteger a nosotros, y a nuestros
| >>>>        
| >>>>
| >>hijos y todo
| >>    
| >>
| >>>>lo que implica una sociedad de la informacion), sino que
| >>>>        
| >>>>
| >>va tambien
| >>    
| >>
| >>>>por encontrar los mecanismos de apoyo.
| >>>>
| >>>>recuerdo hace unos años, estaban tratando de seguir un tema de un 
| >>>>delito, y requerian saber los datos de un IP, y eso era
| >>>>        
| >>>>
| >>tan sencillo
| >>    
| >>
| >>>>como direccionar al oficial que hacia la busqueda a que utilice el 
| >>>>whois!!!, pero no sabian eso.
| >>>>
| >>>>Entonces, que pasa si alguien te ataca, no solo esta cometiendo un 
| >>>>daño contra tu trabajo/red, sino un delito. Dado que no
| >>>>        
| >>>>
| >>confiamos que
| >>    
| >>
| >>>>nuestras policias puedan hacer algo, si les contamos y tomamos 
| >>>>acciones nosotros solos, pero si esto implica tener que
| >>>>        
| >>>>
| >>entrar a las
| >>    
| >>
| >>>>cuentas de otros, o "utilizar fuego contra fuego", tambien
| >>>>        
| >>>>
| >>pudieramos
| >>    
| >>
| >>>>estar incurriendo en un delito.
| >>>>
| >>>>Y siguiendo esta linea argumental (ya parezco abogado!!!),
| >>>>        
| >>>>
| >>si ellos
| >>    
| >>
| >>>>tienen un problema deben saber que pueden contar con sus
| >>>>        
| >>>>
| >>NOG locales,
| >>    
| >>
| >>>>pero tambien con su cctld, y con su NAP, y con sus
| >>>>        
| >>>>
| >>intancias locales,
| >>    
| >>
| >>>>hasta que ellos se formen (que espero sea pronto).
| >>>>
| >>>>Estos temas no solo son que te atacan, pasan por pornografia 
| >>>>infantil, por xenofobia, lavado de dinero, fraudes
| >>>>        
| >>>>
| >>informaticos, etc. 
| >>    
| >>
| >>>>etc.
| >>>>
| >>>>Por alli iba mi pregunta y mis comentarios
| >>>>
| >>>>Erick
| >>>>
| >>>>
| >>>>
| >>>>At 10:37 a.m. 12/12/2005, Gustavo Lozano wrote:
| >>>>
| >>>>
| >>>>        
| >>>>
| >>>>>Hola Erick,
| >>>>>
| >>>>>Los NOGs son grupos técnicos y la idea detrás de los mismos es 
| >>>>>ayudar a los administradores de redes a solucionar problemas y 
| >>>>>transferir el conocimiento. Con problemas me refiero a problemas 
| >>>>>operativos como: configuraciones, ruteo, ataques,
| >>>>>          
| >>>>>
| >>latencia, etc. De
| >>    
| >>
| >>>>>igual forma los NOGs aportan discusión técnica sobre nuevas 
| >>>>>tecnologías y permiten conocer a los grupos de
| >>>>>          
| >>>>>
| >>estandarización las
| >>    
| >>
| >>>>>necesidades de los operadores.
| >>>>>
| >>>>>¿Que estas pensando con trabajo con las policías locales?
| >>>>>
| >>>>>Además de ofrecer capacitación en los foros que organizan
| >>>>>          
| >>>>>
| >>los NOGs
| >>    
| >>
| >>>>>no veo otro tipo de interacción con las policías locales. ¿Algún 
| >>>>>participante de NANOG u otro NOG de la lista ve otro tipo
| >>>>>          
| >>>>>
| >>de interacción?
| >>    
| >>
| >>>>>Saludos.
| >>>>>
| >>>>>At 10:48 a.m. 09/12/2005 -0500, Erick Iriarte Ahon wrote:
| >>>>>
| >>>>>
| >>>>>          
| >>>>>
| >>>>>>Hola Gustavo
| >>>>>>
| >>>>>>yo me sumo, dime donde me anoto, pero vengo tambien con una 
| >>>>>>pregunta.. y como coordinan los temas de seguimiento de estos 
| >>>>>>ataques... digo en la parte de trabajo con las policias locales.
| >>>>>>
| >>>>>>Erick
| >>>>>>
| >>>>>>
| >>>>>>At 11:22 a.m. 08/12/2005, you wrote:
| >>>>>>
| >>>>>>
| >>>>>>            
| >>>>>>
| >>>>>>>Durante algún tiempo varios colegas de NIC México y su servidor 
| >>>>>>>hemos platicado sobre la posibilidad de integrar un NOG
| >>>>>>>              
| >>>>>>>
| >>(Network
| >>    
| >>
| >>>>>>>Operator
| >>>>>>>Group) para México. La idea ha sido mencionada a varios
| >>>>>>>              
| >>>>>>>
| >>carriers
| >>    
| >>
| >>>>>>>mexicanos y es vista con buenos ojos.
| >>>>>>>
| >>>>>>>Un NOG es una comunidad de operadores de red que tiene como 
| >>>>>>>función básica ayudar a resolver problemas en la red
| >>>>>>>              
| >>>>>>>
| >>(incluyendo
| >>    
| >>
| >>>>>>>ataques) así como difundir el conocimiento. Hay NOGs
| >>>>>>>              
| >>>>>>>
| >>muy conocidos
| >>    
| >>
| >>>>>>>como NANOG (<http://www.nanog.org/>http://www.nanog.org),
| >>>>>>>SANOG
| >>>>>>>(<http://www.sanog.org/>http://www.sanog.org),
| >>>>>>>AFNOG (<http://www.afnog.org/>http://www.afnog.org), etc.
| >>>>>>>
| >>>>>>>De igual forma a partir de esta idea surgió la
| >>>>>>>              
| >>>>>>>
| >>inquietud de crear
| >>    
| >>
| >>>>>>>en lugar de un NOG mexicano un NOG para la región LAC 
| >>>>>>>(Latinoamérica y el Caribe). En Agosto registramos el dominio 
| >>>>>>>lacnog.org y aprovecho este email para preguntarle a la
| >>>>>>>              
| >>>>>>>
| >>comunidad
| >>    
| >>
| >>>>>>>LACNIC, ¿que piensan respecto a esta idea?.
| >>>>>>>
| >>>>>>>¿Estarían dispuestos a invitar y hacer labor de difusión en sus 
| >>>>>>>respectivos países buscando que la mayor cantidad de
| >>>>>>>              
| >>>>>>>
| >>operadores de
| >>    
| >>
| >>>>>>>red entren a la lista de correo? La membresía al igual que en 
| >>>>>>>otros NOG estaría abierta al publico en general.
| >>>>>>>NIC México esta dispuesto a hostear la página y lista
| >>>>>>>              
| >>>>>>>
| >>de correo. 
| >>    
| >>
| >>>>>>>Conforme el grupo avance se definirían roles administrativos, 
| >>>>>>>reglamento de elecciones, así como buscar tener
| >>>>>>>              
| >>>>>>>
| >>reuniones, en un
| >>    
| >>
| >>>>>>>inicio en el foro de LACNIC.
| >>>>>>>
| >>>>>>>
| >>>>>>>At 04:56 p.m. 06/12/2005 -0300, Ing. Carlos M. Martinez wrote:
| >>>>>>>
| >>>>>>>
| >>>>>>>              
| >>>>>>>
| >>>>>>>>Hola a todos,
| >>>>>>>>
| >>>>>>>>Quisiera conocer la opinión sobre los
| >>>>>>>>
| >>>>>>>>
| >>>>>>>>                
| >>>>>>>>
| >>>>>>>participantes de la lista en cuanto a
| >>>>>>>
| >>>>>>>
| >>>>>>>              
| >>>>>>>
| >>>>>>>>si vale la pena retomar una iniciativa que
| >>>>>>>>
| >>>>>>>>
| >>>>>>>>                
| >>>>>>>>
| >>>>>>>presenté aquí hace algunos meses.
| >>>>>>>
| >>>>>>>
| >>>>>>>              
| >>>>>>>
| >>>>>>>>La misma hablaba de considerar posibles
| >>>>>>>>
| >>>>>>>>
| >>>>>>>>                
| >>>>>>>>
| >>>>>>>opciones para compartir información
| >>>>>>>
| >>>>>>>
| >>>>>>>              
| >>>>>>>
| >>>>>>>>sobre incidentes de seguridad (en particular ataques
| >>>>>>>>                
| >>>>>>>>
| >>DDoS) entre
| >>    
| >>
| >>>>>>>>los distintos miembros de la comunidad de Lacnic.
| >>>>>>>>
| >>>>>>>>Tampoco tengo claro si estaría dentro del alcance de las 
| >>>>>>>>Politicas de Lacnic, o si esto cae fuera.
| >>>>>>>>
| >>>>>>>>Les agradezco vuestra opinión.
| >>>>>>>>
| >>>>>>>>Slds
| >>>>>>>>
| >>>>>>>>Carlos
| >>>>>>>>
| >>>>>>>>_______________________________________________
| >>>>>>>>Politicas mailing list
| >>>>>>>>Politicas at lacnic.net
| >>>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
| >>>>>>>>
| >>>>>>>>
| >>>>>>>>                
| >>>>>>>>
| >>>>>>>------------------------------------------------
| >>>>>>>Gustavo Lozano Ibarra
| >>>>>>>IT Research Leader
| >>>>>>>Network Information Center México Phone & Fax: +52 81 8387-5346 
| >>>>>>>http://www.nic.mx .MX is the new way to say Mexico
| >>>>>>>
| >>>>>>>The content of this data transmission is confidential,
| >>>>>>>              
| >>>>>>>
| >>therefore,
| >>    
| >>
| >>>>>>>it shall not be modified, distributed and/or disclosed
| >>>>>>>              
| >>>>>>>
| >>>throughany mean without the original sender's previous
| >>>      
| >>>
| >>>>>>>authorization.  Any information, offer or agreement made by the 
| >>>>>>>sender of this data transmission, should be consider as
| >>>>>>>              
| >>>>>>>
| >>>personal and not binding for NIC Mexico.
| >>>      
| >>>
| >>>>>>>_______________________________________________
| >>>>>>>Politicas mailing list
| >>>>>>>Politicas at lacnic.net
| >>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
| >>>>>>>
| >>>>>>>
| >>>>>>>              
| >>>>>>>
| --
| -------------------------------------------------------
| Ing. Balbastro, Edgar Fernando
| Nodo de Internet. Sistemas.
| Cooperativa Telefonica de Villa Gobernador Galvez Ltda.
| Av. Mitre 1028, V.G.G. (2124) Santa Fe. Argentina
| mail: e.balbastro at telvgg.coop
| Tel: 0341-4921299
| Fax: 0341-4921390
| -------------------------------------------------------
| 
| 
| _______________________________________________
| Politicas mailing list
| Politicas at lacnic.net
| http://www.lacnic.net/mailman/listinfo/politicas
| 
| 
| _______________________________________________
| Politicas mailing list
| Politicas at lacnic.net
| http://www.lacnic.net/mailman/listinfo/politicas
| 



More information about the Politicas mailing list