[LACNIC/Seguridad] [Seguridad] Nuevo código de conducta anti-spam en Australia

[Webmaster]

Nicolás:

Con este sistema, como vos mismo lo aclarás, estamos desde el principio con un 
par de variables que modifican considerablemente la ecuación.
Por un lado, dependería de que una mayoría no decida liberar la salida por 
puerto 25. Caso contrario, tu costo operativo de control se incrementa.
Se podría si disponer de ciertas pautas de excepción, para casos como los que 
se han comentado aqui, control distribuido, administración remota y que sean 
confirmadas por el ISP.
Si el ISP está en condiciones, tanto de gestionar como de controlar sin que le 
represente un aumento excesivo en el costo, pues adelante.

Respecto al mapeo de userID a IP, no podría asegurarte si los ISPs argentinos 
de banda ancha residencial lo tienen.
Pero la experiencia y datos provenientes de contactos técnicos dentro de 
algunos de los mismos, me indica que si lo tienen, no lo usan y que cuando 
tienen alguna contingencia, se ven en figurillas para ubicar a un usuario 
determinado.
Probablemente, mas que un problema técnico es un problema operativo y de 
políticas internas. Y que ya lo he marcado en algunos de los escritos que 
publico en mi blog.
Las estadísticas oficiales de Argentina sobre el comportamiento del mercado de 
accesos a Internet mostraron que entre junio del 2005 y marzo del 2006, las 
empresas que NO LLEVAN REGISTROS DE INCIDENTES DE SEGURIDAD pasaron del 45 al 
86 %. 
Alarmante, no?

Saludos

Javier



El Martes, 25 de Abril de 2006 11:11, Nicolás Ruiz escribió:
> Webmaster wrote:
> > El Martes, 25 de Abril de 2006 09:39, Jorge F. Messano escribió:
> >>> Yo no tendria problema si mi ISP (en mi casa) establece al momento de
> >>> firmar el contrato una clausula como "por omisión cerramos el puerto 25
> >>> para evitar spam saliente, si quiere permitirlo, metase en esta URL".
> >>
> >> De acuerdo tambien. Asi deberia ser.
> >
> > Jorge:
> > No entiendo.
> > Puede que yo esté interpretando muy mal lo que dice Nicolás, pero si el
> > ISP permite que uno elija si puede o no bypassear el bloqueo de puerto 25
> > entonces todo aquel que quiere hacer spam es libre de hacerlo.
>
> La mayoria de los agentes que envian spam desde los clientes ISP son
> máquinas comprometidas que estan corriendo un servicio de envio de spam
> sin el conocimiento del dueño/administrador del computador (tipo 1). Hay
> unos pocos clientes ISP que corren mail exploders a propósito (tipo 2).
>
> Al establecer un mecanismo manual a través del cual el dueño del
> computador pueda permitir el acceso de su equipo al puerto 25, creas una
> situación en la cual (a) la mayoria de los clientes no lo van a
> habilitar porque no lo necesitan (b) no puede ser hecho automáticamente
> por el malware que se utiliza para enviar spam, bloqueando a los tipo 1
> (c) le da a los ISP una lista (relativamente) corta y conveniente de
> sistemas a los cuales se monitorea la actividad del puerto 25 (los
> mismos que permites pasar en los ACL son monitoreados en el NIDS). En
> caso de actividad inusual a través del puerto 25, se pueden tomar
> medidas de corrección contra los tipo2.
>
> Si bien este mecanismo es más complejo que simplemente bloquear el
> puerto 25, son todavia bastante sencillas y rápidas de implementar.
>
> Todo esto funciona relativamente bien siempre y cuando la mayoria de los
> clientes del ISP no habiliten el acceso al puerto 25. Para esto el ISP
> puede presentar la información de una manera que tienda al usuario a
> elegir la opción de NO habilitarlo, posiblemente (adicionalmente)
> presentandolo en un lenguaje altamente técnico (para tratar de que los
> usuarios que permitan SMTP sean relativamente educados, tecnologicamente
> hablando).
>
> > Todavía no le encuentro la vuelta rápida, sencilla y barata de
> > permitir excepciones y al mismo tiempo poder monitorear que dicha
> > excepción no sea una puerta abierta a la salida de spam sin que eso
> > implique los costos operativos de filtrado a nivel de identifiación de
> > usuario.
>
> creo que es imposible que no incurra en costos operativos. No tengo
> claro si los ISP mantienen un mapeo constante de userID a dirección IP,
> pero me imagino que sí. Y de ser así, es trivial mantener un mapeo de
> las preferencias-userID-dirección IP. Fijate que ni siquiera necesitas
> que los clientes si-25 tengan direcciones IP fijas. Basta con tener 2
> pools de direcciones, uno para los no-25 (más grande) y otro para los
> si-25 (más pequeño). Ambos pools pueden provenir de la misma subred, y
> cuando el cliente hace una solicitud DHCP, se le entrega una dirección
> que proviene del pool de su preferencia.

-- 
Javier Salinas
Director de Operaciones
Comtron Comercio Electrónico
www.comtron.com.ar