RE: [LACNIC/Politicas] Iniciativa de coordinación ante ataques

Jose Enrique Diaz Jolly ediaz at ironport.com
Fri Dec 16 00:42:27 BRST 2005


Ricardo,


Si esta es tu voz personal, creo que deberia ser la misma de LACNIC. La posicion que tu tomas es la mas neutral y mas acorde con las funciones de LACNC. Estoy completamente de acuerdo en lo que mencionas ya que el control de listas negras y su uso es una posicion que primero que nada se debe considerar cuales listas negras y por que, si es que se usa alguna; y en segundo lugar la administracion y criterios que se toman para enlistar a alguien. Las listas negras deben ser solo un criterio de referencia y no una sancion definitiva. Recoredemos que es completamente binaria su utilizacion: esta o no esta en la lista, es negro o es blanco y punto.


Saludos


________________________________________________
José Enrique Díaz Jolly
Systems Engineer
Ironport Systems, Mexico

+52 55-2300-5458 (Mobile)
+52 (55) 5212-0360 (Fax)

www.ironport.com - The Leader in Email Security
________________________________________________
 

> -----Original Message-----
> From: politicas-bounces at lacnic.net 
> [mailto:politicas-bounces at lacnic.net] On Behalf Of Ricardo Patara
> Sent: Miércoles, 14 de Diciembre de 2005 05:11 a.m.
> To: politicas at lacnic.net
> Subject: Re: [LACNIC/Politicas] Iniciativa de coordinación 
> ante ataques
> 
> hola, yo quería hacer un aporte personal que no representa 
> necesariamente la opinión de lacnic sino que mi propia.
> 
> yo soy contra las listas negras. no ignoro que algunas pueden 
> traer buenos resultados en la disminución de los spam 
> recibidos, pero no creo que sea la mejor solución...
> 
> en lacnic utilizamos grey listing con resultados muy muy buenos
> 
> pero lo que me preocupa en los black list es algo como ya fue 
> apuntado aquí que es confiar a un tercero el control de cual 
> IP mi server debe o no aceptar conexión.
> 
> Además de esto, los criterios para inclusión y remoción de 
> estos ip en la listas que existen hoy no son claros ni sencillos.
> Un error ahi, o un criterio raro tiene un impacto grande.
> Es muy difícil sino imposible contactar a todos que utilizan 
> una determinada black list para le solicitar que no las 
> utilice por sus criterios dudosos. (como comentarios, hay 
> black lists que simplemente excluyen todos los ips de am. 
> latina sin otros criterios o explanaciones).
> 
> bueno, esta claro que la sugerencia seria entonces que una 
> organización mas seria y con criterios mas claro administre 
> esos black lists. la sugerencia que apareció es que lacnic lo haga.
> tampoco creo que para lacnic sea bueno... y mas una vez esta 
> es mi opinión personal no la de lacnic...
> 
> esto porque puede haber impactos legales contra lacnic por 
> hacer esto tipo de cosa... como ya hubo con otras 
> organizaciones en eeuu que hacian algo asi en el pasado...
> muchas de las black lists que existen hoy no tienen una "cara publica"
> justamente para evitar los aspectos legales...
> uno que tenga sus ips incluidos en un black list y llegue a 
> conclusión que esto le genero perjuicio puede hacer una queja 
> legal contra la organización que creo y administro el black list.
> 
> yo estoy mas a favor de la creación de centros de 
> coordinación de que black lists.
> 
> creo que en se creando los centros de coordinación es posible 
> que se haga conocer entre los miembros quien son las personas 
> responsables por cada red y asi crear una confianza entre 
> ellos y con esto obtener mas agilidad en la identificación y 
> resolución de los problemas en las redes de la región.
> y por consecuencia bajar de una forma general los problemas 
> de seguridad...
> 
> ricardo
> 
> --
>   L A C N I C 
> 
> On Tue, Dec 13, 2005 at 11:23:33AM -0300, Ing. Carlos M. 
> Martinez wrote:
> | Mi idea original venia mas o menos por este lado. Como paso 
> inicial yo 
> | imaginaba una especie de servicio similar a las "listas negras" de 
> | Spam, al cual aporten "entradas" los NOCs de las 
> instituciones miembro de Lacnic.
> | 
> | * ¿Porque similar a las listas negras?
> | Las listas negras a mi juicio tienen un gran fuerte: son 
> muy fáciles 
> | de usar. Alcanza con realizar una consulta DNS de manera 
> adecuada para 
> | obtener información util.
> | 
> | Creo que seria muy sencillo implementar algo asi para 
> tambien cargar 
> | informacion de Ips que se estan usando para DDoS o para 
> otro tipo de 
> | comportamiento abusivo, por ejemplo a través de registros 
> TXT o similar.
> | 
> | Los "clientes" (el resto de los miembros de LACNIC) podrían 
> utilizar 
> | esta información de dos formas:
> | 
> | 	* a manera solamente informativa, para conocer que hechos están 
> | siendo reportados en la región.
> | 	* de manera preventiva, p.ej. A través de un set de scripts que 
> | traduzca estos registros TXT en listas de acceso o reglas 
> de firewall.
> | 
> | * ¿Porque las instituciones miembro de LACNIC?
> | El aspecto malo a mi juicio de las listas negras es que no 
> hay forma 
> | de conocer a priori la calidad de la información que allí 
> está cargada.
> | 
> | En el modelo que propongo, LACNIC proveería alguna forma de 
> validación 
> | para quién esta tratando de cargar información en el sistema de 
> | alertas. De esta forma, al menos se sabe que la información esta 
> | siendo cargada por instituciones con un cierto grado de existencia 
> | formal bien definido, lo cual creo que asegura un nivel minimo de 
> | "calidad" en la información del sistema.
> | 
> | Creo que el entorno LACNIC asegura un volumen de 
> instituciones minimo 
> | como para tener un buen nivel de información, manteniendo 
> el universo 
> | de quienes pueden acceder a dar altas en el sistema en 
> cierta manera 
> | acotado (y
> | controlable)
> |  
> | Slds
> | 
> | Carlos
> | 
> | -----Original Message-----
> | From: politicas-bounces at lacnic.net 
> | [mailto:politicas-bounces at lacnic.net] On Behalf Of Ing. 
> Balbastro, Edgar F.
> | Sent: Monday, December 12, 2005 3:32 PM
> | To: politicas at lacnic.net
> | Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te 
> | ataques
> | 
> | Estimados,
> | 
> | Estoy leyendo este tema desde hace un tiempo y quería 
> aportar ejemplos 
> | para que no se les escape hacia otros rumbos.
> | 
> | Para lo que creo podría servir la iniciativa es:
> | * para realizar un listado de filtrado de tráfico hacia y desde el 
> | borde del ISP. En nuestro ISP filtramos direcciones de origen y 
> | destinos privadas en nuestra salida, es asombroso la cantidad de 
> | inicios de seciones desde direcciones IP privadas. Incluso hay 
> | paquetes que llegan a nuestro nodo desde privadas. Muchos 
> de estos paquetes pueden ser ataques o virus.
> | * para realizar listados de filtrados de prefijos en BGP.
> | * los mismos items pero para IPv6
> | 
> | En general podriamos tener un punto en donde ayudarnos 
> mutuamente con 
> | las mejores prácticas en nuestra zona.
> | Son solo ejemplos, espero haber aportado algo. Saludos cordiales,
> | 
> | Jose Enrique Diaz Jolly wrote:
> | 
> | >Erick
> | >
> | >A veces me parece que la dicotomia que planteas no es que 
> cada qien 
> | >viva en
> | compartimientos estancos, sino que desde el punto de vista 
> tecnico y 
> | operativo, lo que se esta planteando es un grupo que 
> permita ayudar a 
> | prevenir un ataque, dar a conocer vulnerabilidades, apoyar a 
> | restablecer la operación etc, es decir asuntos tecnicos. No 
> es funcion 
> | de este organismo propuesto perseguir ni coordinar 
> persecuciones, es una entidad preventiva.
> | Si en cualquier momento alguna entidad o autoridad de algun tipo 
> | requiere apoyo para perseguir no se puede negar a proporcionar las 
> | capacdades tecnicas necesarias para brindar dicho apoyo, 
> pero de ahí a 
> | perseguir de facto, esta muy alejado de su naturaleza. Por hacer un 
> | simil, proteccion civil previene y recomienda, por ejemplo 
> que hacer 
> | en caso de amenaza de bomba, pero de ahí a que persiga..... 
> Es harina de otro costal.
> | >
> | >
> | >________________________________________________
> | >José Enrique Díaz Jolly
> | >Systems Engineer
> | >Ironport Systems, Mexico
> | >
> | >+52 55-2300-5458 (Mobile)
> | >+52 (55) 5212-0360 (Fax)
> | >
> | >www.ironport.com - The Leader in Email Security 
> | >________________________________________________
> | > 
> | >
> | >  
> | >
> | >>-----Original Message-----
> | >>From: politicas-bounces at lacnic.net
> | >>[mailto:politicas-bounces at lacnic.net] On Behalf Of Erick Iriarte 
> | >>Ahon
> | >>Sent: Lunes, 12 de Diciembre de 2005 12:01 p.m.
> | >>To: Raul Echeberria; politicas at lacnic.net
> | >>Subject: Re: [LACNIC/Politicas] Iniciativa de coordina ción an te 
> | >>ataques
> | >>
> | >>Raul
> | >>
> | >>concuerdo con que son cosas distintas pero concatenadas. Esta 
> | >>dicotomia de los tecnicos con los politicos, de los 
> tecnicos con el 
> | >>resto, de los expertos con el resto, de los politicos con 
> el resto, 
> | >>es como si cada cual viviera en un compartimento estanco y lo que 
> | >>los otros hacen no afectara.
> | >>
> | >>Si algo tiene esta sociedad de la informacion es esto de estar 
> | >>engarzados unos con otros... veamos el como se coordina 
> para avanzar 
> | >>todos desde el mismo lado.
> | >>
> | >>Erick
> | >>
> | >>
> | >>At 01:57 p.m. 12/12/2005, Raul Echeberria wrote:
> | >>
> | >>    
> | >>
> | >>>Erick:
> | >>>
> | >>>Creo que una cosa es la prevención de ataques desde el punto
> | >>>      
> | >>>
> | >>de vista
> | >>    
> | >>
> | >>>técnico y otra cosa es la prosecusión del criminal .
> | >>>Acá estamos hablando de lo primero, de documentar 
> problemas, crear 
> | >>>repositorios de información útiles y de generar prácticas
> | >>>      
> | >>>
> | >>que permitan
> | >>    
> | >>
> | >>>minimizar los ataques y/o daños.
> | >>>
> | >>>Claramente son cosas que se pueden retroalimentar en algun
> | >>>      
> | >>>
> | >>punto, pero
> | >>    
> | >>
> | >>>son cosas distintas.
> | >>>
> | >>>Saludos
> | >>>
> | >>>Raúl
> | >>>
> | >>>
> | >>>
> | >>>
> | >>>Erick Iriarte Ahon escribió:
> | >>>
> | >>>      
> | >>>
> | >>>>Hola Gustavo..
> | >>>>
> | >>>>tomando lo que dices y lo que me respondio
> | >>>>        
> | >>>>
> | >>>Francisco. El tema es el siguiente.
> | >>>      
> | >>>
> | >>>>Sabemos nuestra realidad latinoamericana, y una de nuestras 
> | >>>>limitantes es que las famosas "brigadas digitales", lease
> | >>>>        
> | >>>>
> | >>los cuerpos
> | >>    
> | >>
> | >>>>de policia encargado de la persecusion de los delitos
> | >>>>        
> | >>>>
> | >>utilizando tics
> | >>    
> | >>
> | >>>>o delitos informaticos (que son cosas distintas pero no 
> es este el 
> | >>>>momento para debatir la distincion), pues decia que estas
> | >>>>        
> | >>>>
> | >>"brigadas
> | >>    
> | >>
> | >>>>digitales" tienen carencias de cosas y carencias de 
> personal, y en 
> | >>>>muchos casos el poco personal que tienen no es personal 
> capacitado.
> | >>>>
> | >>>>Y es que sucede algo, muchas veces en estos temas tecnologicos, 
> | >>>>preferimos tomar la "sarten por el mango" o en terminos
> | >>>>        
> | >>>>
> | >>mas juridicos
> | >>    
> | >>
> | >>>>"la ley por propia mano".
> | >>>>
> | >>>>Entonces va no solo por la formacion de personal (de 
> esa gente que 
> | >>>>tambien nos tiene que proteger a nosotros, y a nuestros
> | >>>>        
> | >>>>
> | >>hijos y todo
> | >>    
> | >>
> | >>>>lo que implica una sociedad de la informacion), sino que
> | >>>>        
> | >>>>
> | >>va tambien
> | >>    
> | >>
> | >>>>por encontrar los mecanismos de apoyo.
> | >>>>
> | >>>>recuerdo hace unos años, estaban tratando de seguir un 
> tema de un 
> | >>>>delito, y requerian saber los datos de un IP, y eso era
> | >>>>        
> | >>>>
> | >>tan sencillo
> | >>    
> | >>
> | >>>>como direccionar al oficial que hacia la busqueda a que 
> utilice el 
> | >>>>whois!!!, pero no sabian eso.
> | >>>>
> | >>>>Entonces, que pasa si alguien te ataca, no solo esta 
> cometiendo un 
> | >>>>daño contra tu trabajo/red, sino un delito. Dado que no
> | >>>>        
> | >>>>
> | >>confiamos que
> | >>    
> | >>
> | >>>>nuestras policias puedan hacer algo, si les contamos y tomamos 
> | >>>>acciones nosotros solos, pero si esto implica tener que
> | >>>>        
> | >>>>
> | >>entrar a las
> | >>    
> | >>
> | >>>>cuentas de otros, o "utilizar fuego contra fuego", tambien
> | >>>>        
> | >>>>
> | >>pudieramos
> | >>    
> | >>
> | >>>>estar incurriendo en un delito.
> | >>>>
> | >>>>Y siguiendo esta linea argumental (ya parezco abogado!!!),
> | >>>>        
> | >>>>
> | >>si ellos
> | >>    
> | >>
> | >>>>tienen un problema deben saber que pueden contar con sus
> | >>>>        
> | >>>>
> | >>NOG locales,
> | >>    
> | >>
> | >>>>pero tambien con su cctld, y con su NAP, y con sus
> | >>>>        
> | >>>>
> | >>intancias locales,
> | >>    
> | >>
> | >>>>hasta que ellos se formen (que espero sea pronto).
> | >>>>
> | >>>>Estos temas no solo son que te atacan, pasan por pornografia 
> | >>>>infantil, por xenofobia, lavado de dinero, fraudes
> | >>>>        
> | >>>>
> | >>informaticos, etc. 
> | >>    
> | >>
> | >>>>etc.
> | >>>>
> | >>>>Por alli iba mi pregunta y mis comentarios
> | >>>>
> | >>>>Erick
> | >>>>
> | >>>>
> | >>>>
> | >>>>At 10:37 a.m. 12/12/2005, Gustavo Lozano wrote:
> | >>>>
> | >>>>
> | >>>>        
> | >>>>
> | >>>>>Hola Erick,
> | >>>>>
> | >>>>>Los NOGs son grupos técnicos y la idea detrás de los mismos es 
> | >>>>>ayudar a los administradores de redes a solucionar problemas y 
> | >>>>>transferir el conocimiento. Con problemas me refiero a 
> problemas 
> | >>>>>operativos como: configuraciones, ruteo, ataques,
> | >>>>>          
> | >>>>>
> | >>latencia, etc. De
> | >>    
> | >>
> | >>>>>igual forma los NOGs aportan discusión técnica sobre nuevas 
> | >>>>>tecnologías y permiten conocer a los grupos de
> | >>>>>          
> | >>>>>
> | >>estandarización las
> | >>    
> | >>
> | >>>>>necesidades de los operadores.
> | >>>>>
> | >>>>>¿Que estas pensando con trabajo con las policías locales?
> | >>>>>
> | >>>>>Además de ofrecer capacitación en los foros que organizan
> | >>>>>          
> | >>>>>
> | >>los NOGs
> | >>    
> | >>
> | >>>>>no veo otro tipo de interacción con las policías 
> locales. ¿Algún 
> | >>>>>participante de NANOG u otro NOG de la lista ve otro tipo
> | >>>>>          
> | >>>>>
> | >>de interacción?
> | >>    
> | >>
> | >>>>>Saludos.
> | >>>>>
> | >>>>>At 10:48 a.m. 09/12/2005 -0500, Erick Iriarte Ahon wrote:
> | >>>>>
> | >>>>>
> | >>>>>          
> | >>>>>
> | >>>>>>Hola Gustavo
> | >>>>>>
> | >>>>>>yo me sumo, dime donde me anoto, pero vengo tambien con una 
> | >>>>>>pregunta.. y como coordinan los temas de seguimiento de estos 
> | >>>>>>ataques... digo en la parte de trabajo con las 
> policias locales.
> | >>>>>>
> | >>>>>>Erick
> | >>>>>>
> | >>>>>>
> | >>>>>>At 11:22 a.m. 08/12/2005, you wrote:
> | >>>>>>
> | >>>>>>
> | >>>>>>            
> | >>>>>>
> | >>>>>>>Durante algún tiempo varios colegas de NIC México y 
> su servidor 
> | >>>>>>>hemos platicado sobre la posibilidad de integrar un NOG
> | >>>>>>>              
> | >>>>>>>
> | >>(Network
> | >>    
> | >>
> | >>>>>>>Operator
> | >>>>>>>Group) para México. La idea ha sido mencionada a varios
> | >>>>>>>              
> | >>>>>>>
> | >>carriers
> | >>    
> | >>
> | >>>>>>>mexicanos y es vista con buenos ojos.
> | >>>>>>>
> | >>>>>>>Un NOG es una comunidad de operadores de red que tiene como 
> | >>>>>>>función básica ayudar a resolver problemas en la red
> | >>>>>>>              
> | >>>>>>>
> | >>(incluyendo
> | >>    
> | >>
> | >>>>>>>ataques) así como difundir el conocimiento. Hay NOGs
> | >>>>>>>              
> | >>>>>>>
> | >>muy conocidos
> | >>    
> | >>
> | >>>>>>>como NANOG (<http://www.nanog.org/>http://www.nanog.org),
> | >>>>>>>SANOG
> | >>>>>>>(<http://www.sanog.org/>http://www.sanog.org),
> | >>>>>>>AFNOG (<http://www.afnog.org/>http://www.afnog.org), etc.
> | >>>>>>>
> | >>>>>>>De igual forma a partir de esta idea surgió la
> | >>>>>>>              
> | >>>>>>>
> | >>inquietud de crear
> | >>    
> | >>
> | >>>>>>>en lugar de un NOG mexicano un NOG para la región LAC 
> | >>>>>>>(Latinoamérica y el Caribe). En Agosto registramos 
> el dominio 
> | >>>>>>>lacnog.org y aprovecho este email para preguntarle a la
> | >>>>>>>              
> | >>>>>>>
> | >>comunidad
> | >>    
> | >>
> | >>>>>>>LACNIC, ¿que piensan respecto a esta idea?.
> | >>>>>>>
> | >>>>>>>¿Estarían dispuestos a invitar y hacer labor de 
> difusión en sus 
> | >>>>>>>respectivos países buscando que la mayor cantidad de
> | >>>>>>>              
> | >>>>>>>
> | >>operadores de
> | >>    
> | >>
> | >>>>>>>red entren a la lista de correo? La membresía al 
> igual que en 
> | >>>>>>>otros NOG estaría abierta al publico en general.
> | >>>>>>>NIC México esta dispuesto a hostear la página y lista
> | >>>>>>>              
> | >>>>>>>
> | >>de correo. 
> | >>    
> | >>
> | >>>>>>>Conforme el grupo avance se definirían roles 
> administrativos, 
> | >>>>>>>reglamento de elecciones, así como buscar tener
> | >>>>>>>              
> | >>>>>>>
> | >>reuniones, en un
> | >>    
> | >>
> | >>>>>>>inicio en el foro de LACNIC.
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>At 04:56 p.m. 06/12/2005 -0300, Ing. Carlos M. 
> Martinez wrote:
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>              
> | >>>>>>>
> | >>>>>>>>Hola a todos,
> | >>>>>>>>
> | >>>>>>>>Quisiera conocer la opinión sobre los
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>                
> | >>>>>>>>
> | >>>>>>>participantes de la lista en cuanto a
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>              
> | >>>>>>>
> | >>>>>>>>si vale la pena retomar una iniciativa que
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>                
> | >>>>>>>>
> | >>>>>>>presenté aquí hace algunos meses.
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>              
> | >>>>>>>
> | >>>>>>>>La misma hablaba de considerar posibles
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>                
> | >>>>>>>>
> | >>>>>>>opciones para compartir información
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>              
> | >>>>>>>
> | >>>>>>>>sobre incidentes de seguridad (en particular ataques
> | >>>>>>>>                
> | >>>>>>>>
> | >>DDoS) entre
> | >>    
> | >>
> | >>>>>>>>los distintos miembros de la comunidad de Lacnic.
> | >>>>>>>>
> | >>>>>>>>Tampoco tengo claro si estaría dentro del alcance de las 
> | >>>>>>>>Politicas de Lacnic, o si esto cae fuera.
> | >>>>>>>>
> | >>>>>>>>Les agradezco vuestra opinión.
> | >>>>>>>>
> | >>>>>>>>Slds
> | >>>>>>>>
> | >>>>>>>>Carlos
> | >>>>>>>>
> | >>>>>>>>_______________________________________________
> | >>>>>>>>Politicas mailing list
> | >>>>>>>>Politicas at lacnic.net
> | >>>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
> | >>>>>>>>
> | >>>>>>>>
> | >>>>>>>>                
> | >>>>>>>>
> | >>>>>>>------------------------------------------------
> | >>>>>>>Gustavo Lozano Ibarra
> | >>>>>>>IT Research Leader
> | >>>>>>>Network Information Center México Phone & Fax: +52 
> 81 8387-5346 
> | >>>>>>>http://www.nic.mx .MX is the new way to say Mexico
> | >>>>>>>
> | >>>>>>>The content of this data transmission is confidential,
> | >>>>>>>              
> | >>>>>>>
> | >>therefore,
> | >>    
> | >>
> | >>>>>>>it shall not be modified, distributed and/or disclosed
> | >>>>>>>              
> | >>>>>>>
> | >>>throughany mean without the original sender's previous
> | >>>      
> | >>>
> | >>>>>>>authorization.  Any information, offer or agreement 
> made by the 
> | >>>>>>>sender of this data transmission, should be consider as
> | >>>>>>>              
> | >>>>>>>
> | >>>personal and not binding for NIC Mexico.
> | >>>      
> | >>>
> | >>>>>>>_______________________________________________
> | >>>>>>>Politicas mailing list
> | >>>>>>>Politicas at lacnic.net
> | >>>>>>>http://www.lacnic.net/mailman/listinfo/politicas
> | >>>>>>>
> | >>>>>>>
> | >>>>>>>              
> | >>>>>>>
> | --
> | -------------------------------------------------------
> | Ing. Balbastro, Edgar Fernando
> | Nodo de Internet. Sistemas.
> | Cooperativa Telefonica de Villa Gobernador Galvez Ltda.
> | Av. Mitre 1028, V.G.G. (2124) Santa Fe. Argentina
> | mail: e.balbastro at telvgg.coop
> | Tel: 0341-4921299
> | Fax: 0341-4921390
> | -------------------------------------------------------
> | 
> | 
> | _______________________________________________
> | Politicas mailing list
> | Politicas at lacnic.net
> | http://www.lacnic.net/mailman/listinfo/politicas
> | 
> | 
> | _______________________________________________
> | Politicas mailing list
> | Politicas at lacnic.net
> | http://www.lacnic.net/mailman/listinfo/politicas
> | 
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> http://www.lacnic.net/mailman/listinfo/politicas
> 



More information about the Politicas mailing list