2011/9/16 Eduardo Schoedler <lis...@esds.com.br> > Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. > > Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) > primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. > > -- > Eduardo Schoedler > Enviado via iPhone > > Em 16/09/2011, às 10:28, "Enio .'. Marconcini" <eni...@gmail.com> > escreveu: > > > 2011/9/16 Eduardo Schoedler <lis...@esds.com.br> > > > >> Nao esqueça que access.log guarda somente dados de navegação... como > ficam > >> o POP3/IMAP/SMTP, alem de MSN, Skype, etc? > >> > >> O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede > e > >> armazenar. > >> > >> Eu sou muito fã do pflog. > >> > >> Abs. > >> > >> -- > >> Eduardo Schoedler > >> Enviado via iPhone > >> > >> Em 16/09/2011, às 09:52, "Enio .'. Marconcini" <eni...@gmail.com> > >> escreveu: > >> > >>> 2011/9/16 Marcelo Gondim <gon...@bsdinfo.com.br> > >>> > >>>> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: > >>>>> pessoal, > >>>>> estive conversando com um amigo delegado que tem acompanhado muitos > >> casos > >>>> de > >>>>> crimes digitais, e o mesmo me havia dito que, quando algo do tipo > >>>> acontece, > >>>>> a PF (policia federal, e não o packet filter, rsrs) solicita aos > >>>> provedores > >>>>> os logs para ajudar nas investigações. > >>>>> > >>>>> minha dúvida é, neste caso, que tipos de logs devem ser mantidos, > para > >> um > >>>>> eventual problema desse tipo. Eu imagino que um log do tipo > access.log > >> do > >>>>> squid viria a ajudar em algumas coisas, porém, e nos casos de portas > >>>>> nateadas ou outros tipos de acessos que não são registrados pelo > squid, > >>>> como > >>>>> por exemplo, conexões ftp, msn, email, etc etc > >>>>> > >>>>> o que seria a melhor saída para ter tais informações? e alguém sabe > >> dizer > >>>>> por quanto tempo é necessário mantes tais logs? me parece que não > >> existe > >>>> uma > >>>>> legislação vigente para tais casos, mas a Anatel em suas mudanças > >> parece > >>>> que > >>>>> irá exigir que tais registros sejam mantidos. > >>>>> > >>>>> > >>>> Oi Enio, > >>>> > >>>> Aqui no provedor somos muitas vezes citados para problemas de justiça > e > >>>> normalmente o que nos é pedido é para identificar o assinante que > estava > >>>> utilizando aquele determinado IP na data e hora. O documento da > justiça > >>>> sempre nos passa a informação: > >>>> > >>>> - IP > >>>> - Data > >>>> - Hora > >>>> > >>>> Com esses dados conseguimos identificar o indivíduo. Com relação ao > >>>> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque > >>>> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para > >>>> identificar clientes que conectaram, por exemplo, à 2 anos atrás. > >>>> Um grande problema é relacionado quando a empresa possui acesso por > NAT > >>>> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o > >>>> administrador não tiver log de acesso dos IPs internos aí fica bem > >>>> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos > casos > >>>> assim. > >>>> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que > >>>> estão sendo monitoradas, salvo se você for autorizado pela Justiça à > >>>> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de > >>>> privacidade. Melhor consultar um advogado antes de fazer qualquer > coisa > >>>> nesse sentido. Normalmente nas grandes empresas são feitos termos para > >>>> os funcionários lerem, ficarem cientes e assinarem que estarão sendo > >>>> monitorados quanto à e-mails(da empresa) e acessos. Termos de > >>>> Confidencialidade e outros que a empresa julgar necessários. Trabalhei > >>>> em uma empresa de Segurança da Informação onde tive que assinar um > Termo > >>>> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem > falar > >>>> quais eram os nomes dos clientes que tínhamos. rsrsrsr > >>>> > >>>> Agora se a justiça mandar e autorizar então faça. Porque manda quem > pode > >>>> e obedece quem tem juízo. hahahah > >>>> > >>>> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada > >>>> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o > IP > >>>> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos > >>>> quem foi o cliente responsável. Bem sem uma intimação formal nada > feito. > >>>> Aí ele nos processou porque não passamos uma informação sigilosa para > >>>> ele só porque ele era um advogado. Bem não precisa dizer que ele > perdeu > >>>> na justiça. No final das contas o IP de onde partiu o acesso era da > >>>> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail > >>>> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria > >>>> ver agora ele processar a OAB por isso. > >>>> > >>>> É isso e grande abraço > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>> > >>> > >>> > >>> Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto > para > >>> uma boa discussão com o amigo delegado. > >>> > >>> No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao > >>> email institucional, bem, penso eu que, se eu for gravar tudo que os > >>> usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu > >>> capturar apenas um log que registre por exemplo, de onde e para onde > com > >> a > >>> data acho que já ajudaria. Mas eu penso no caso dos que usam email > >> externo > >>> do tipo hotmail, não teria como capturar muita coisa, a não ser a data > e > >>> hora que ele acessou o email. > >>> > >>> Agora, no meu caso como não tenho AS o jeito é natear as conexões dos > >>> usuários, e neste caso, como eu vou capturar tais informações? Penso eu > >> que > >>> bastaria setar a regra do nat para ser logado, e armazenar estes logs, > >> estou > >>> certo? > >>> > >>> abraços > >>> > >>> -- > >>> *ENIO RODRIGO MARCONCINI* > >>> @eniomarconcini <http://twitter.com/eniomarconcini> > >>> skype: eniorm > >>> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> > >>> > >>> *"UNIX was not designed to stop its users from doing stupid things, > >>> as that would also stop them from doing clever things." > >>> * > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > > > > > Eduardo, é isso mesmo que eu também preciso saber.... esses cabeçalhos > > poderiam ser capturados até mesmo com um tcpdump? seria prático fazer > dessa > > forma? ou ainda seria melhor logar direto pelo fw que está fazendo o nat? > > > > Alexandre, sim o teu cliente precisa saber que está sendo monitorado, > porém > > eu usaria outra palavra no contrato, para não pegar mal... usaria algo do > > tipo "seus acessos serão gravados e mantidos sob sigilo; para eventual > > necessidade da policia federal" ou algo do tipo, > > > > -- > > *ENIO RODRIGO MARCONCINI* > > @eniomarconcini <http://twitter.com/eniomarconcini> > > skype: eniorm > > facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> > > > > *"UNIX was not designed to stop its users from doing stupid things, > > as that would also stop them from doing clever things." > > * > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >
Eduardo, e para fazer isso, capturar apenas os 40 bytes é possível com o PF e IPFW ? abraços -- *ENIO RODRIGO MARCONCINI* @eniomarconcini <http://twitter.com/eniomarconcini> skype: eniorm facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> *"UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things." * ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
