[GTER] Filtro porta 53

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Sun Nov 23 15:41:24 -02 2014


Ola,

> Em 23/11/2014, às 09:57, Felipe Trevisan <fetrevisan at gmail.com> escreveu:
> 
> Qual seria, então, a maneira mais indicada de vc filtrar conteúdo em um
> hotspot publico.

Cuidado com o filtro. Ainda que publico e gratuito você pode ter implicações legais. Quem eh você? Eh um ASN. Se você eh AS a responsabilidade eh ainda maior.

> O cenário é o seguinte. Você (provedor) instala a rede de APs em um
> ambiente como um shopping, por exemplo. O administrador do shopping quer
> que o conteúdo seja filtrado, pois por se tratar de um ambiente familiar,
> não deseja que pequenos (jovens e crianças) vão até o shopping para usar a
> internet e acessar conteúdos que podem render uma ação de responsabilidade
> para o shopping depois.

Do Marco Civil:

Art. 9. § 3o Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo.
Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de internet.

Ou seja você esta provendo conexão onerosa ou gratuita (nesse caso gratuita). Entao você não pode bloquear ou filtrar, entre outros.

> Pensei que o meio mais barato seria usar um filtro de DNS. Claro que pode
> ser burlado, mas em um shopping, quantos vão até lá para maliciosamente
> burlar as regras? É um risco administrável.

Voce não deve filtrar. Estando entendido nesse sentido, se você ainda assim decide que quer filtrar e ponto final, assumindo o risco jurídico, sim concordo por DNS eh barato fácil burlar, em especial porque você não vai, provavelmente, bloquear portas 443, 587, 994, 143, 110, etc. Entao qualquer um que coloque um servidor DNS ouvindo nessas portas por UDP usaria seu próprio DNS em porta nonstandard e ignoraria o seu DNS. 

A questão não eh o que a maioria vai fazer. A maioria no shopping quer whatsapp, facebook, web e email para ficarem felizes com o serviço gratuito. O problema são as exceções. Um ou dois cidadãos mal intencionados que burlem seus filtros e usem sua conexão para fins ilícitos podem te trazer problemas o suficiente. Basta a primeira fraude pro seu prejuízo aparecer.

Creio que você precisa ter algo atuando como seu gateway de qualquer forma. Ou não planeja uma caixa? Nesse caso, coloque um pfSense, ou Endian ou outra opcao que o valha filtrando, atuando como proxy, hotspot, firewall e ate IDS. Voce diminui a possibilidade de burlar, ja que um IDS vai alarmar se passar na porta 443 algo que não seja SSL, etc, etc. Idem se passar algo diferente de SMTP na porta 587, etc. Se você ja tem que ter uma caixa não vejo razão para não fazer direito, ja que o risco de ir contra as disposições legais do Marco Civil vc ja esta assumindo mesmo.

Nesse sentido recomendo apenas que desligue logs de firewall, e principalmente de proxy. O Marco Civil e a jurisprudência em linhas gerais tendem a ver a invasão e violação de privacidade como algo mais expressivo do que de fato a neutralidade da rede. Não que a lei faca tal distinção, seu risco a principio eh o mesmo, mas os julgados prévios fazem.

Eu não sei exatamente qual seu negocio e qual a intenção desse provimento gratuito, não sei se eh um shopping ou se foi apenas um exemplo. Mas sugiro que se for algo expressivo em abrangência de usuários, consulte um advogado com alguma experiência em direito digital ao menos para você entender seus riscos em filtrar, prover o acesso, e principalmente gerar logs, mesmo que sem querer.

Enviada do meu iPad


> 
> 
> Obrigado a todos pelas sugestões até agora.
> 
> 
> abs,
> 
> 
> 
> 
> 2014-11-22 10:30 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:
> 
>> 2014-11-19 9:32 GMT-02:00 Felipe Trevisan <fetrevisan at gmail.com>:
>> 
>>> Obrigado Rubens.
>>> 
>>> Então ela poderia ser usada no ambiente de hotspot público e gratuito.
>> 
>> Eu disse exatamente o contrário disso...
>> 
>> 
>>> Seria possível de burlar, mas pouco provável, considerando que a maioria
>>> estará usando devices móveis e apenas temporariamente.
>>> Como estarão também recebendo o WiFi gratuitamente, devem aceitar as
>>> condições impostas pela rede.
>> O fato de ser gratuito não muda o problema de que são usuários de uma
>> organização diferente da que provê o acesso.
>> 
>> 
>> Rubens
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list