RE: [LACNIC/Politicas] Iniciativa de coordinación ante ataques
Jose Enrique Diaz Jolly
ediaz at ironport.com
Fri Dec 16 00:42:27 BRST 2005
Ricardo,
Si esta es tu voz personal, creo que deberia ser la misma de LACNIC. La posicion que tu tomas es la mas neutral y mas acorde con las funciones de LACNC. Estoy completamente de acuerdo en lo que mencionas ya que el control de listas negras y su uso es una posicion que primero que nada se debe considerar cuales listas negras y por que, si es que se usa alguna; y en segundo lugar la administracion y criterios que se toman para enlistar a alguien. Las listas negras deben ser solo un criterio de referencia y no una sancion definitiva. Recoredemos que es completamente binaria su utilizacion: esta o no esta en la lista, es negro o es blanco y punto.
Saludos
________________________________________________
José Enrique Díaz Jolly
Systems Engineer
Ironport Systems, Mexico
+52 55-2300-5458 (Mobile)
+52 (55) 5212-0360 (Fax)
www.ironport.com - The Leader in Email Security
________________________________________________
> -----Original Message-----
> From: politicas-bounces at lacnic.net
> [mailto:politicas-bounces at lacnic.net] On Behalf Of Ricardo Patara
> Sent: Miércoles, 14 de Diciembre de 2005 05:11 a.m.
> To: politicas at lacnic.net
> Subject: Re: [LACNIC/Politicas] Iniciativa de coordinación
> ante ataques
>
> hola, yo quería hacer un aporte personal que no representa
> necesariamente la opinión de lacnic sino que mi propia.
>
> yo soy contra las listas negras. no ignoro que algunas pueden
> traer buenos resultados en la disminución de los spam
> recibidos, pero no creo que sea la mejor solución...
>
> en lacnic utilizamos grey listing con resultados muy muy buenos
>
> pero lo que me preocupa en los black list es algo como ya fue
> apuntado aquí que es confiar a un tercero el control de cual
> IP mi server debe o no aceptar conexión.
>
> Además de esto, los criterios para inclusión y remoción de
> estos ip en la listas que existen hoy no son claros ni sencillos.
> Un error ahi, o un criterio raro tiene un impacto grande.
> Es muy difícil sino imposible contactar a todos que utilizan
> una determinada black list para le solicitar que no las
> utilice por sus criterios dudosos. (como comentarios, hay
> black lists que simplemente excluyen todos los ips de am.
> latina sin otros criterios o explanaciones).
>
> bueno, esta claro que la sugerencia seria entonces que una
> organización mas seria y con criterios mas claro administre
> esos black lists. la sugerencia que apareció es que lacnic lo haga.
> tampoco creo que para lacnic sea bueno... y mas una vez esta
> es mi opinión personal no la de lacnic...
>
> esto porque puede haber impactos legales contra lacnic por
> hacer esto tipo de cosa... como ya hubo con otras
> organizaciones en eeuu que hacian algo asi en el pasado...
> muchas de las black lists que existen hoy no tienen una "cara publica"
> justamente para evitar los aspectos legales...
> uno que tenga sus ips incluidos en un black list y llegue a
> conclusión que esto le genero perjuicio puede hacer una queja
> legal contra la organización que creo y administro el black list.
>
> yo estoy mas a favor de la creación de centros de
> coordinación de que black lists.
>
> creo que en se creando los centros de coordinación es posible
> que se haga conocer entre los miembros quien son las personas
> responsables por cada red y asi crear una confianza entre
> ellos y con esto obtener mas agilidad en la identificación y
> resolución de los problemas en las redes de la región.
> y por consecuencia bajar de una forma general los problemas
> de seguridad...
>
> ricardo
>
> --
> L A C N I C
>
> On Tue, Dec 13, 2005 at 11:23:33AM -0300, Ing. Carlos M.
> Martinez wrote:
> | Mi idea original venia mas o menos por este lado. Como paso
> inicial yo
> | imaginaba una especie de servicio similar a las "listas negras" de
> | Spam, al cual aporten "entradas" los NOCs de las
> instituciones miembro de Lacnic.
> |
> | * ¿Porque similar a las listas negras?
> | Las listas negras a mi juicio tienen un gran fuerte: son
> muy fáciles
> | de usar. Alcanza con realizar una consulta DNS de manera
> adecuada para
> | obtener información util.
> |
> | Creo que seria muy sencillo implementar algo asi para
> tambien cargar
> | informacion de Ips que se estan usando para DDoS o para
> otro tipo de
> | comportamiento abusivo, por ejemplo a través de registros
> TXT o similar.
> |
> | Los "clientes" (el resto de los miembros de LACNIC) podrían
> utilizar
> | esta información de dos formas:
> |
> | * a manera solamente informativa, para conocer que hechos están
> | siendo reportados en la región.
> | * de manera preventiva, p.ej. A través de un set de scripts que
> | traduzca estos registros TXT en listas de acceso o reglas
> de firewall.
> |
> | * ¿Porque las instituciones miembro de LACNIC?
> | El aspecto malo a mi juicio de las listas negras es que no
> hay forma
> | de conocer a priori la calidad de la información que allí
> está cargada.
> |
> | En el modelo que propongo, LACNIC proveería alguna forma de
> validación
> | para quién esta tratando de cargar información en el sistema de
> | alertas. De esta forma, al menos se sabe que la información esta
> | siendo cargada por instituciones con un cierto grado de existencia
> | formal bien definido, lo cual creo que asegura un nivel minimo de
> | "calidad" en la información del sistema.
> |
> | Creo que el entorno LACNIC asegura un volumen de
> instituciones minimo
> | como para tener un buen nivel de información, manteniendo
> el universo
> | de quienes pueden acceder a dar altas en el sistema en
> cierta manera
> | acotado (y
> | controlable)
> |
> | Slds
> |
> | Carlos
> |
> | -----Original Message-----
> | From: politicas-bounces at lacnic.net
> | [mailto:politicas-bounces at lacnic.net] On Behalf Of Ing.
> Balbastro, Edgar F.
> | Sent: Monday, December 12, 2005 3:32 PM
> | To: politicas at lacnic.net
> | Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te
> | ataques
> |
> | Estimados,
> |
> | Estoy leyendo este tema desde hace un tiempo y quería
> aportar ejemplos
> | para que no se les escape hacia otros rumbos.
> |
> | Para lo que creo podría servir la iniciativa es:
> | * para realizar un listado de filtrado de tráfico hacia y desde el
> | borde del ISP. En nuestro ISP filtramos direcciones de origen y
> | destinos privadas en nuestra salida, es asombroso la cantidad de
> | inicios de seciones desde direcciones IP privadas. Incluso hay
> | paquetes que llegan a nuestro nodo desde privadas. Muchos
> de estos paquetes pueden ser ataques o virus.
> | * para realizar listados de filtrados de prefijos en BGP.
> | * los mismos items pero para IPv6
> |
> | En general podriamos tener un punto en donde ayudarnos
> mutuamente con
> | las mejores prácticas en nuestra zona.
> | Son solo ejemplos, espero haber aportado algo. Saludos cordiales,
> |
> | Jose Enrique Diaz Jolly wrote:
> |
> | >Erick
> | >
> | >A veces me parece que la dicotomia que planteas no es que
> cada qien
> | >viva en
> | compartimientos estancos, sino que desde el punto de vista
> tecnico y
> | operativo, lo que se esta planteando es un grupo que
> permita ayudar a
> | prevenir un ataque, dar a conocer vulnerabilidades, apoyar a
> | restablecer la operación etc, es decir asuntos tecnicos. No
> es funcion
> | de este organismo propuesto perseguir ni coordinar
> persecuciones, es una entidad preventiva.
> | Si en cualquier momento alguna entidad o autoridad de algun tipo
> | requiere apoyo para perseguir no se puede negar a proporcionar las
> | capacdades tecnicas necesarias para brindar dicho apoyo,
> pero de ahí a
> | perseguir de facto, esta muy alejado de su naturaleza. Por hacer un
> | simil, proteccion civil previene y recomienda, por ejemplo
> que hacer
> | en caso de amenaza de bomba, pero de ahí a que persiga.....
> Es harina de otro costal.
> | >
> | >
> | >________________________________________________
> | >José Enrique Díaz Jolly
> | >Systems Engineer
> | >Ironport Systems, Mexico
> | >
> | >+52 55-2300-5458 (Mobile)
> | >+52 (55) 5212-0360 (Fax)
> | >
> | >www.ironport.com - The Leader in Email Security
> | >________________________________________________
> | >
> | >
> | >
> | >
> | >>-----Original Message-----
> | >>From: politicas-bounces at lacnic.net
> | >>[mailto:politicas-bounces at lacnic.net] On Behalf Of Erick Iriarte
> | >>Ahon
> | >>Sent: Lunes, 12 de Diciembre de 2005 12:01 p.m.
> | >>To: Raul Echeberria; politicas at lacnic.net
> | >>Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te
> | >>ataques
> | >>
> | >>Raul
> | >>
> | >>concuerdo con que son cosas distintas pero concatenadas. Esta
> | >>dicotomia de los tecnicos con los politicos, de los
> tecnicos con el
> | >>resto, de los expertos con el resto, de los politicos con
> el resto,
> | >>es como si cada cual viviera en un compartimento estanco y lo que
> | >>los otros hacen no afectara.
> | >>
> | >>Si algo tiene esta sociedad de la informacion es esto de estar
> | >>engarzados unos con otros... veamos el como se coordina
> para avanzar
> | >>todos desde el mismo lado.
> | >>
> | >>Erick
> | >>
> | >>
> | >>At 01:57 p.m. 12/12/2005, Raul Echeberria wrote:
> | >>
> | >>
> | >>
> | >>>Erick:
> | >>>
> | >>>Creo que una cosa es la prevención de ataques desde el punto
> | >>>
> | >>>
> | >>de vista
> | >>
> | >>
> | >>>técnico y otra cosa es la prosecusión del criminal .
> | >>>Acá estamos hablando de lo primero, de documentar
> problemas, crear
> | >>>repositorios de información útiles y de generar prácticas
> | >>>
> | >>>
> | >>que permitan
> | >>
> | >>
> | >>>minimizar los ataques y/o daños.
> | >>>
> | >>>Claramente son cosas que se pueden retroalimentar en algun
> | >>>
> | >>>
> | >>punto, pero
> | >>
> | >>
> | >>>son cosas distintas.
> | >>>
> | >>>Saludos
> | >>>
> | >>>Raúl
> | >>>
> | >>>
> | >>>
> | >>>
> | >>>Erick Iriarte Ahon escribió:
> | >>>
> | >>>
> | >>>
> | >>>>Hola Gustavo..
> | >>>>
> | >>>>tomando lo que dices y lo que me respondio
> | >>>>
> | >>>>
> | >>>Francisco. El tema es el siguiente.
> | >>>
> | >>>
> | >>>>Sabemos nuestra realidad latinoamericana, y una de nuestras
> | >>>>limitantes es que las famosas "brigadas digitales", lease
> | >>>>
> | >>>>
> | >>los cuerpos
> | >>
> | >>
> | >>>>de policia encargado de la persecusion de los delitos
> | >>>>
> | >>>>
> | >>utilizando tics
> | >>
> | >>
> | >>>>o delitos informaticos (que son cosas distintas pero no
> es este el
> | >>>>momento para debatir la distincion), pues decia que estas
> | >>>>
> | >>>>
> | >>"brigadas
> | >>
> | >>
> | >>>>digitales" tienen carencias de cosas y carencias de
> personal, y en
> | >>>>muchos casos el poco personal que tienen no es personal
> capacitado.
> | >>>>
> | >>>>Y es que sucede algo, muchas veces en estos temas tecnologicos,
> | >>>>preferimos tomar la "sarten por el mango" o en terminos
> | >>>>
> | >>>>
> | >>mas juridicos
> | >>
> | >>
> | >>>>"la ley por propia mano".
> | >>>>
> | >>>>Entonces va no solo por la formacion de personal (de
> esa gente que
> | >>>>tambien nos tiene que proteger a nosotros, y a nuestros
> | >>>>
> | >>>>
> | >>hijos y todo
> | >>
> | >>
> | >>>>lo que implica una sociedad de la informacion), sino que
> | >>>>
> | >>>>
> | >>va tambien
> | >>
> | >>
> | >>>>por encontrar los mecanismos de apoyo.
> | >>>>
> | >>>>recuerdo hace unos años, estaban tratando de seguir un
> tema de un
> | >>>>delito, y requerian saber los datos de un IP, y eso era
> | >>>>
> | >>>>
> | >>tan sencillo
> | >>
> | >>
> | >>>>como direccionar al oficial que hacia la busqueda a que
> utilice el
> | >>>>whois!!!, pero no sabian eso.
> | >>>>
> | >>>>Entonces, que pasa si alguien te ataca, no solo esta
> cometiendo un
> | >>>>daño contra tu trabajo/red, sino un delito. Dado que no
> | >>>>
> | >>>>
> | >>confiamos que
> | >>
> | >>
> | >>>>nuestras policias puedan hacer algo, si les contamos y tomamos
> | >>>>acciones nosotros solos, pero si esto implica tener que
> | >>>>
> | >>>>
> | >>entrar a las
> | >>
> | >>
> | >>>>cuentas de otros, o "utilizar fuego contra fuego", tambien
> | >>>>
> | >>>>
> | >>pudieramos
> | >>
> | >>
> | >>>>estar incurriendo en un delito.
> | >>>>
> | >>>>Y siguiendo esta linea argumental (ya parezco abogado!!!),
> | >>>>
> | >>>>
> | >>si ellos
> | >>
> | >>
> | >>>>tienen un problema deben saber que pueden contar con sus
> | >>>>
> | >>>>
> | >>NOG locales,
> | >>
> | >>
> | >>>>pero tambien con su cctld, y con su NAP, y con sus
> | >>>>
> | >>>>
> | >>intancias locales,
> | >>
> | >>
> | >>>>hasta que ellos se formen (que espero sea pronto).
> | >>>>
> | >>>>Estos temas no solo son que te atacan, pasan por pornografia
> | >>>>infantil, por xenofobia, lavado de dinero, fraudes
> | >>>>
> | >>>>
> | >>informaticos, etc.
> | >>
> | >>
> | >>>>etc.
> | >>>>
> | >>>>Por alli iba mi pregunta y mis comentarios
> | >>>>
> | >>>>Erick
> | >>>>
> | >>>>
> | >>>>
> | >>>>At 10:37 a.m. 12/12/2005, Gustavo Lozano wrote:
> | >>>>
> | >>>>
> | >>>>
> | >>>>
> | >>>>>Hola Erick,
> | >>>>>
> | >>>>>Los NOGs son grupos técnicos y la idea detrás de los mismos es
> | >>>>>ayudar a los administradores de redes a solucionar problemas y
> | >>>>>transferir el conocimiento. Con problemas me refiero a
> problemas
> | >>>>>operativos como: configuraciones, ruteo, ataques,
> | >>>>>
> | >>>>>
> | >>latencia, etc. De
> | >>
> | >>
> | >>>>>igual forma los NOGs aportan discusión técnica sobre nuevas
> | >>>>>tecnologías y permiten conocer a los grupos de
> | >>>>>
> | >>>>>
> | >>estandarización las
> | >>
> | >>
> | >>>>>necesidades de los operadores.
> | >>>>>
> | >>>>>¿Que estas pensando con trabajo con las policías locales?
> | >>>>>
> | >>>>>Además de ofrecer capacitación en los foros que organizan
> | >>>>>
> | >>>>>
> | >>los NOGs
> | >>
> | >>
> | >>>>>no veo otro tipo de interacción con las policías
> locales. ¿Algún
> | >>>>>participante de NANOG u otro NOG de la lista ve otro tipo
> | >>>>>
> | >>>>>
> | >>de interacción?
> | >>
> | >>
> | >>>>>Saludos.
> | >>>>>
> | >>>>>At 10:48 a.m. 09/12/2005 -0500, Erick Iriarte Ahon wrote:
> | >>>>>
> | >>>>>
> | >>>>>
> | >>>>>
> | >>>>>>Hola Gustavo
> | >>>>>>
> | >>>>>>yo me sumo, dime donde me anoto, pero vengo tambien con una
> | >>>>>>pregunta.. y como coordinan los temas de seguimiento de estos
> | >>>>>>ataques... digo en la parte de trabajo con las
> policias locales.
> | >>>>>>
> | >>>>>>Erick
> | >>>>>>
> | >>>>>>
> | >>>>>>At 11:22 a.m. 08/12/2005, you wrote:
> | >>>>>>
> | >>>>>>
> | >>>>>>
> | >>>>>>
> | >>>>>>>Durante algún tiempo varios colegas de NIC México y
> su servidor
> | >>>>>>>hemos platicado sobre la posibilidad de integrar un NOG
> | >>>>>>>
> | >>>>>>>
> | >>(Network
> | >>
> | >>
> | >>>>>>>Operator
> | >>>>>>>Group) para México. La idea ha sido mencionada a varios
> | >>>>>>>
> | >>>>>>>
> | >>carriers
> | >>
> | >>
> | >>>>>>>mexicanos y es vista con buenos ojos.
> | >>>>>>>
> | >>>>>>>Un NOG es una comunidad de operadores de red que tiene como
> | >>>>>>>función básica ayudar a resolver problemas en la red
> | >>>>>>>
> | >>>>>>>
> | >>(incluyendo
> | >>
> | >>
> | >>>>>>>ataques) así como difundir el conocimiento. Hay NOGs
> | >>>>>>>
> | >>>>>>>
> | >>muy conocidos
> | >>
> | >>
> | >>>>>>>como NANOG (<http://www.nanog.org/>http://www.nanog.org),
> | >>>>>>>SANOG
> | >>>>>>>(<http://www.sanog.org/>http://www.sanog.org),
> | >>>>>>>AFNOG (<http://www.afnog.org/>http://www.afnog.org), etc.
> | >>>>>>>
> | >>>>>>>De igual forma a partir de esta idea surgió la
> | >>>>>>>
> | >>>>>>>
> | >>inquietud de crear
> | >>
> | >>
> | >>>>>>>en lugar de un NOG mexicano un NOG para la región LAC
> | >>>>>>>(Latinoamérica y el Caribe). En Agosto registramos
> el dominio
> | >>>>>>>lacnog.org y aprovecho este email para preguntarle a la
> | >>>>>>>
> | >>>>>>>
> | >>comunidad
> | >>
> | >>
> | >>>>>>>LACNIC, ¿que piensan respecto a esta idea?.
> | >>>>>>>
> | >>>>>>>¿Estarían dispuestos a invitar y hacer labor de
> difusión en sus
> | >>>>>>>respectivos países buscando que la mayor cantidad de
> | >>>>>>>
> | >>>>>>>
> | >>operadores de
> | >>
> | >>
> | >>>>>>>red entren a la lista de correo? La membresía al
> igual que en
> | >>>>>>>otros NOG estaría abierta al publico en general.
> | >>>>>>>NIC México esta dispuesto a hostear la página y lista
> | >>>>>>>
> | >>>>>>>
> | >>de correo.
> | >>
> | >>
> | >>>>>>>Conforme el grupo avance se definirían roles
> administrativos,
> | >>>>>>>reglamento de elecciones, así como buscar tener
> | >>>>>>>
> | >>>>>>>
> | >>reuniones, en un
> | >>
> | >>
> | >>>>>>>inicio en el foro de LACNIC.
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>At 04:56 p.m. 06/12/2005 -0300, Ing. Carlos M.
> Martinez wrote:
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>>Hola a todos,
> | >>>>>>>>
> | >>>>>>>>Quisiera conocer la opinión sobre los
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>participantes de la lista en cuanto a
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>>si vale la pena retomar una iniciativa que
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>presenté aquí hace algunos meses.
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>>La misma hablaba de considerar posibles
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>opciones para compartir información
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>>sobre incidentes de seguridad (en particular ataques
> | >>>>>>>>
> | >>>>>>>>
> | >>DDoS) entre
> | >>
> | >>
> | >>>>>>>>los distintos miembros de la comunidad de Lacnic.
> | >>>>>>>>
> | >>>>>>>>Tampoco tengo claro si estaría dentro del alcance de las
> | >>>>>>>>Politicas de Lacnic, o si esto cae fuera.
> | >>>>>>>>
> | >>>>>>>>Les agradezco vuestra opinión.
> | >>>>>>>>
> | >>>>>>>>Slds
> | >>>>>>>>
> | >>>>>>>>Carlos
> | >>>>>>>>
> | >>>>>>>>_______________________________________________
> | >>>>>>>>Politicas mailing list
> | >>>>>>>>Politicas at lacnic.net
> | >>>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>------------------------------------------------
> | >>>>>>>Gustavo Lozano Ibarra
> | >>>>>>>IT Research Leader
> | >>>>>>>Network Information Center México Phone & Fax: +52
> 81 8387-5346
> | >>>>>>>http://www.nic.mx .MX is the new way to say Mexico
> | >>>>>>>
> | >>>>>>>The content of this data transmission is confidential,
> | >>>>>>>
> | >>>>>>>
> | >>therefore,
> | >>
> | >>
> | >>>>>>>it shall not be modified, distributed and/or disclosed
> | >>>>>>>
> | >>>>>>>
> | >>>throughany mean without the original sender's previous
> | >>>
> | >>>
> | >>>>>>>authorization. Any information, offer or agreement
> made by the
> | >>>>>>>sender of this data transmission, should be consider as
> | >>>>>>>
> | >>>>>>>
> | >>>personal and not binding for NIC Mexico.
> | >>>
> | >>>
> | >>>>>>>_______________________________________________
> | >>>>>>>Politicas mailing list
> | >>>>>>>Politicas at lacnic.net
> | >>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>
> | --
> | -------------------------------------------------------
> | Ing. Balbastro, Edgar Fernando
> | Nodo de Internet. Sistemas.
> | Cooperativa Telefonica de Villa Gobernador Galvez Ltda.
> | Av. Mitre 1028, V.G.G. (2124) Santa Fe. Argentina
> | mail: e.balbastro at telvgg.coop
> | Tel: 0341-4921299
> | Fax: 0341-4921390
> | -------------------------------------------------------
> |
> |
> | _______________________________________________
> | Politicas mailing list
> | Politicas at lacnic.net
> | http://www.lacnic.net/mailman/listinfo/politicas
> |
> |
> | _______________________________________________
> | Politicas mailing list
> | Politicas at lacnic.net
> | http://www.lacnic.net/mailman/listinfo/politicas
> |
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> http://www.lacnic.net/mailman/listinfo/politicas
>
More information about the Politicas
mailing list