[GTER] Projeto de crimes da Internet em votação
Renato Frederick
frederick at dahype.org
Thu Jul 10 16:06:08 -03 2008
Bruno, obrigado pelas dicas.
Atualmente estamos migrando de uma solução estática atrelada ao MAC para
PPPoE.
Estava meio devagar a questão de usar IP Válido devido á resistência do
"consultor" em nos dar assistência, enfim, coisas de monopólio de operadora
em cidade pequena.
Não desejo usar o NAT exatamente por se tornar difícil responder em caso do
cliente usar um proxy na internet(já que não monitoro 65535 portas) ou
fazer um ataque de qualquer tipo.
Irei me orientar com um advogado esta questão. Pois vejo isto como o
telefone.
A empresa telefônica temq eu manter um relatório de ligações feitas/horário.
Mas registrar a voz, só depois que a justiça ordena o famoso grampo.
Creio que deva ser algo semelhante, eu registro o IP do cliente X horário e
caso a justiça solicite, aí ativo um sniffer e por aí vai.
> -----Original Message-----
> From: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> On Behalf Of bruno at openline.com.br
> Sent: Thursday, July 10, 2008 3:12 PM
> To: gter at eng.registro.br
> Subject: Re: [GTER] Projeto de crimes da Internet em votação
>
> --- "Renato Frederick" <frederick at dahype.org> escreveu:
> > Bruno,
>
> Olá
>
> > Aproveitando a discussão, para um provedor de pequeno/médio porte,
> > alguma sugestão para a auditoria?
>
> Sim
>
> Mesmo com IP privado, pode designar um IP fixo (privado) no
> cadastramento de cada usuário e colocar esse IP no banco de
> dados do cliente como um campo para depois poder identificá-lo.
>
> Todo acesso a porta TCP 25, force passar pelo seu servidor (com
> 1 IP na rede privada e 1 na pública), assim vai ficar uma linha
> com o IP do cliente privado e, na hipótese do seu servidor ser
> notificado, pelos cabeçalhos poderá saber o IP do cliente e quem é
>
> Mesma coisa com o squid. Guarde o access_log e o IP do cliente
> para poder cruzar as informações
>
> Mantenha os servidores (RAS, web, squid, e-mail) sincronizados via NTP
>
> > Não tenho idéia de o que mais possa ser salvo e como.
>
> Para IPs privados fica dificil (ou inviável) guardar acessos
> que não sejam WEB e SMTP. Eu aqui forneço IP publico dinâmico
> desde sempre. Se você não faz, cabe agora se preparar para
> fazer, face as obrigações da nova Lei.
>
> Eu guardo no RADIUS os logins/logouts (passo o detail para um mysql
> todo mês). Ao receber uma notificação com IP data e horário um
> select no mysql volta quem é. Dai é só ver no cadastro de clientes
> o dono do login naquele momento e os dados do mesmo e responder
> a autoridade.
>
> > Creio que a solução é dar IP válido a todos (se as operadoras
> > contribuírem e deixarem de alocar prefixos ridículos como /28
> > ou /29)
>
> Por contrato elas devem fornecer IPs se você justificar a
> demanda. Mesmo quando recomendam NAT, se você faz IP público
> dinâmico (PPPoE, PPtP, hotspot) para rotacionar os usuários
> (não deixando eles com IP público fixo) e otimizar o uso de
> IPs, não há por que não receber mais endereços. Eu nunca tive
> negação de recebimento de endereços e sou provedor desde 1995,
> embora recentemente tenha tirado AS e CIDR próprios (que se
> soubesse teria tirado muito antes, pois é uma mão na roda
> para inúmeras situações)
>
> Caso eles não forneçam, cabe ao meu ver reclamação formal
> junto a Anatel e ao Comite Gestor.
>
> > e gerar um documento com CPF cliente X IP X alocação inicial
> > X alocação final.
>
> Ou usar algo pronto, como RADIUS. Esse padrão é encontrado
> em praticamente todos os produtos do mercado, como por ex.
> RAS (dialup), concentradores PPPoE e PPtP, mikrotik, ikarus,
> star-os etc.
>
> > Como sempre, a corda arrebenta para o lado mais fraco.
>
> Com certeza os pequenos terão custo maior de implantar esses
> procedimentos. Por outro lado o descontrole nos DSL das teles
> (e mesmo nos "laranjas" de autenticação) pode dar ainda muito
> pano pras mangas contra as teles.
>
> > O que acham desta solução? Creio que se questionado pela
> > autoridade eu possa fornecer o dado cadastral do cliente
> > com aquele IP na data do crime.
>
> Um lembrete, verifique no seu contrato com o cliente a premissa
> de divulgação de informações, para evitar também processos dos
> clientes contra você. Aqui deixamos claro em contrato que em caso
> de questionamento por autoridade competente não escondemos nada.
>
> Note que autoridades não são "cartas ameaçadoras de associações
> de defesa de direito autoral" ou mesmo de advogados famosos. Em
> caso de dúvida, oriente o reclamante a prestar queixa e forneça
> os dados somente ao delegado em inquérito ou sob solicitação
> judicial. Dessa forma se protege também de eventuais processos
> de clientes por divulgação indevida de suas informações e se
> livra dos oportunistas que se valem de intimidação para forçar
> seus pontos de vista a revelia das Leis deste país.
>
> []s,
> !3runo
>
> P.S. Disclaimer: as opiniões e recomendações aqui expressas são
> minhas e não representam em absoluto a opinião das empresas onde
> trabalho, suas controladoras ou afiliadas, nem corroboram atitudes
> de terceiros efetuadas com base nas minhas recomendações. Em caso
> de dúvida, contrate um profissional jurídico competente para
> analisar caso a caso sua situação.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list