Pppoe rulez! hehehe -- Eduardo Schoedler Enviado via iPhone
Em 16/09/2011, às 11:44, Klaus Schneider <klau...@gmail.com> escreveu: > Acho o ideal é capturar somente os pacotes syn/syn-ack pelo pflog, o syn > mostra o pedido de conexão, o syn-ack mostra que a conexão foi aceita, no > caso de udp, faça como o Eduardo citou, pegue os primeiros 40 bytes. São > pacotes pequenos, sem payload. > Mas o mais ideal mesmo ainda é usar IPs públicos nos clientes... hehe > Minha opinião: façam PPPoE, poupa IP, evita problemas judiciais e resolve > problemas de conexões end-to-end como VPNs, p2p... > Mais uma opinião: comessem a exigir IPv6 de suas operadoras, com IPv6 acabou > essa história de não ter IPs, principalmente aqueles que já são AS. > > 2011/9/16 Eduardo Schoedler <lis...@esds.com.br> > >> Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. >> >> Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) >> primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. >> >> -- >> Eduardo Schoedler >> Enviado via iPhone >> >> Em 16/09/2011, às 10:28, "Enio .'. Marconcini" <eni...@gmail.com> >> escreveu: >> >>> 2011/9/16 Eduardo Schoedler <lis...@esds.com.br> >>> >>>> Nao esqueça que access.log guarda somente dados de navegação... como >> ficam >>>> o POP3/IMAP/SMTP, alem de MSN, Skype, etc? >>>> >>>> O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede >> e >>>> armazenar. >>>> >>>> Eu sou muito fã do pflog. >>>> >>>> Abs. >>>> >>>> -- >>>> Eduardo Schoedler >>>> Enviado via iPhone >>>> >>>> Em 16/09/2011, às 09:52, "Enio .'. Marconcini" <eni...@gmail.com> >>>> escreveu: >>>> >>>>> 2011/9/16 Marcelo Gondim <gon...@bsdinfo.com.br> >>>>> >>>>>> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: >>>>>>> pessoal, >>>>>>> estive conversando com um amigo delegado que tem acompanhado muitos >>>> casos >>>>>> de >>>>>>> crimes digitais, e o mesmo me havia dito que, quando algo do tipo >>>>>> acontece, >>>>>>> a PF (policia federal, e não o packet filter, rsrs) solicita aos >>>>>> provedores >>>>>>> os logs para ajudar nas investigações. >>>>>>> >>>>>>> minha dúvida é, neste caso, que tipos de logs devem ser mantidos, >> para >>>> um >>>>>>> eventual problema desse tipo. Eu imagino que um log do tipo >> access.log >>>> do >>>>>>> squid viria a ajudar em algumas coisas, porém, e nos casos de portas >>>>>>> nateadas ou outros tipos de acessos que não são registrados pelo >> squid, >>>>>> como >>>>>>> por exemplo, conexões ftp, msn, email, etc etc >>>>>>> >>>>>>> o que seria a melhor saída para ter tais informações? e alguém sabe >>>> dizer >>>>>>> por quanto tempo é necessário mantes tais logs? me parece que não >>>> existe >>>>>> uma >>>>>>> legislação vigente para tais casos, mas a Anatel em suas mudanças >>>> parece >>>>>> que >>>>>>> irá exigir que tais registros sejam mantidos. >>>>>>> >>>>>>> >>>>>> Oi Enio, >>>>>> >>>>>> Aqui no provedor somos muitas vezes citados para problemas de justiça >> e >>>>>> normalmente o que nos é pedido é para identificar o assinante que >> estava >>>>>> utilizando aquele determinado IP na data e hora. O documento da >> justiça >>>>>> sempre nos passa a informação: >>>>>> >>>>>> - IP >>>>>> - Data >>>>>> - Hora >>>>>> >>>>>> Com esses dados conseguimos identificar o indivíduo. Com relação ao >>>>>> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque >>>>>> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para >>>>>> identificar clientes que conectaram, por exemplo, à 2 anos atrás. >>>>>> Um grande problema é relacionado quando a empresa possui acesso por >> NAT >>>>>> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o >>>>>> administrador não tiver log de acesso dos IPs internos aí fica bem >>>>>> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos >> casos >>>>>> assim. >>>>>> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que >>>>>> estão sendo monitoradas, salvo se você for autorizado pela Justiça à >>>>>> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de >>>>>> privacidade. Melhor consultar um advogado antes de fazer qualquer >> coisa >>>>>> nesse sentido. Normalmente nas grandes empresas são feitos termos para >>>>>> os funcionários lerem, ficarem cientes e assinarem que estarão sendo >>>>>> monitorados quanto à e-mails(da empresa) e acessos. Termos de >>>>>> Confidencialidade e outros que a empresa julgar necessários. Trabalhei >>>>>> em uma empresa de Segurança da Informação onde tive que assinar um >> Termo >>>>>> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem >> falar >>>>>> quais eram os nomes dos clientes que tínhamos. rsrsrsr >>>>>> >>>>>> Agora se a justiça mandar e autorizar então faça. Porque manda quem >> pode >>>>>> e obedece quem tem juízo. hahahah >>>>>> >>>>>> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada >>>>>> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o >> IP >>>>>> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos >>>>>> quem foi o cliente responsável. Bem sem uma intimação formal nada >> feito. >>>>>> Aí ele nos processou porque não passamos uma informação sigilosa para >>>>>> ele só porque ele era um advogado. Bem não precisa dizer que ele >> perdeu >>>>>> na justiça. No final das contas o IP de onde partiu o acesso era da >>>>>> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail >>>>>> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria >>>>>> ver agora ele processar a OAB por isso. >>>>>> >>>>>> É isso e grande abraço >>>>>> ------------------------- >>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>>>> >>>>> >>>>> >>>>> >>>>> Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto >> para >>>>> uma boa discussão com o amigo delegado. >>>>> >>>>> No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao >>>>> email institucional, bem, penso eu que, se eu for gravar tudo que os >>>>> usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu >>>>> capturar apenas um log que registre por exemplo, de onde e para onde >> com >>>> a >>>>> data acho que já ajudaria. Mas eu penso no caso dos que usam email >>>> externo >>>>> do tipo hotmail, não teria como capturar muita coisa, a não ser a data >> e >>>>> hora que ele acessou o email. >>>>> >>>>> Agora, no meu caso como não tenho AS o jeito é natear as conexões dos >>>>> usuários, e neste caso, como eu vou capturar tais informações? Penso eu >>>> que >>>>> bastaria setar a regra do nat para ser logado, e armazenar estes logs, >>>> estou >>>>> certo? >>>>> >>>>> abraços >>>>> >>>>> -- >>>>> *ENIO RODRIGO MARCONCINI* >>>>> @eniomarconcini <http://twitter.com/eniomarconcini> >>>>> skype: eniorm >>>>> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> >>>>> >>>>> *"UNIX was not designed to stop its users from doing stupid things, >>>>> as that would also stop them from doing clever things." >>>>> * >>>>> ------------------------- >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> ------------------------- >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> >>> >>> >>> >>> Eduardo, é isso mesmo que eu também preciso saber.... esses cabeçalhos >>> poderiam ser capturados até mesmo com um tcpdump? seria prático fazer >> dessa >>> forma? ou ainda seria melhor logar direto pelo fw que está fazendo o nat? >>> >>> Alexandre, sim o teu cliente precisa saber que está sendo monitorado, >> porém >>> eu usaria outra palavra no contrato, para não pegar mal... usaria algo do >>> tipo "seus acessos serão gravados e mantidos sob sigilo; para eventual >>> necessidade da policia federal" ou algo do tipo, >>> >>> -- >>> *ENIO RODRIGO MARCONCINI* >>> @eniomarconcini <http://twitter.com/eniomarconcini> >>> skype: eniorm >>> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> >>> >>> *"UNIX was not designed to stop its users from doing stupid things, >>> as that would also stop them from doing clever things." >>> * >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > /* > * Klaus Schneider > */ > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
