RE: [LACNIC/Politicas] Iniciativa de coordinación a nte ataques

Ing. Carlos M. Martinez carlosm at antel.net.uy
Wed Dec 14 12:28:00 BRST 2005 

Al dia de hoy, dejamos de filtrar cuando vemos que cesa el ataque (usando el
conteo de matches en las listas de acceso). En realidad, rara vez hemos
tenido que tener un filtro por mas de un mes. 

El punto que me llevo a cuestionarme todo esto fue: ¿esas mismas IPs de
origen que estaban siendo utilzadas para atacar nuestra red no estarían
siendo usadas tambien para atacar a otros? ¿No sería bueno que nosotros como
operadores compartieramos esa informacion con nuestros pares? (Nuestros
pares luego claro que pueden hacer lo que gusten con ese dato, pero uno lo
pone a disposición)

Cuando hice mencion a las listas negras, lo hice solamente para tomar una
idea de ellas que me parece valiosa: el compartir información sobre posibles
incidentes. 

Sin duda que hay en estas listas otros aspectos mucho mas turbios, uno de
ellos justamente la ausencia de "rostro" en algunos casos y la poca claridad
que existe en cuanto a los procedimientos que alguien debe seguir a la hora
de tratar de salir de una de ellas.

Mi propuesta de involucramiento de LACNIC no iba mas allá que el de proveer
un nivel de "autenticación" de quienes ingresan información a esta especie
de base de datos.

En cuanto al "cuando dejamos de filtrar" en este caso, hay cosas que se
podrían hacer como por ejemplo agregar información de timestamp de creación
de un registro y la depuración x envejecimiento de la base de datos, para
asegurar que no vayan quedando registros "stale" en la misma. 

Slds

Carlos

-----Original Message-----
From: politicas-bounces at lacnic.net [mailto:politicas-bounces at lacnic.net] On
Behalf Of Francisco Obispo
Sent: Tuesday, December 13, 2005 7:01 PM
To: Carlos Marcelo Martínez
Cc: politicas at lacnic.net
Subject: Re: [LACNIC/Politicas] Iniciativa de coordinación a nte ataques

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola *

Carlos Marcelo Martínez wrote:

| En el caso nuestro, filtramos la (o las) direccion desde donde 
| provienen los ataques (spoofing o no spoofing), ya que de todas 
| maneras hay que conservar la red operativa.
|

Básicamente ese es el problema, "filtramos". .. pero ¿cuando dejamos de
filtrar?

More information about the Politicas mailing list