[FUG-BR] sobre a captura logs e arquivamento.
pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. * - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Atualizações bsd
Em Thu, 15 Sep 2011 23:57:43 -0300 Paulo Henrique - BSDs Brasil paulo.rd...@bsd.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Antônio mais quase achei que era o Irado !!! LOL é que o antonio é menos incisivo (LOL) ou mais polido. :D -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free O salário mínimo é uma vergonha. Por aí se vê como a vergonha é pequena atualmente. [Wilson Figueiredo] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Atualizações bsd
2011/9/16 irado furioso com tudo ir...@bsd.com.br: Em Thu, 15 Sep 2011 23:57:43 -0300 Paulo Henrique - BSDs Brasil paulo.rd...@bsd.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Antônio mais quase achei que era o Irado !!! LOL é que o antonio é menos incisivo (LOL) ou mais polido. :D Vou procurar melhorar, Sensei. :D -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? abraços -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. * - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? abraços -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? abraços -- *ENIO RODRIGO MARCONCINI*
Re: [FUG-BR] sobre a captura logs e arquivamento.
Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho
[FUG-BR] Server l2tp
Senhores, To iniciando alguns testes com o l2tp inicialmente com o sl2tps. Alguém usa outro software? O que recomenda para FreeBSD? valeu, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos
Re: [FUG-BR] sobre a captura logs e arquivamento.
Acho o ideal é capturar somente os pacotes syn/syn-ack pelo pflog, o syn mostra o pedido de conexão, o syn-ack mostra que a conexão foi aceita, no caso de udp, faça como o Eduardo citou, pegue os primeiros 40 bytes. São pacotes pequenos, sem payload. Mas o mais ideal mesmo ainda é usar IPs públicos nos clientes... hehe Minha opinião: façam PPPoE, poupa IP, evita problemas judiciais e resolve problemas de conexões end-to-end como VPNs, p2p... Mais uma opinião: comessem a exigir IPv6 de suas operadoras, com IPv6 acabou essa história de não ter IPs, principalmente aqueles que já são AS. 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico:
Re: [FUG-BR] sobre a captura logs e arquivamento.
Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. Muito bom. Concordo plenamente com os pontos do Gondim. Gerar logs com detalhes como URL acessada, Subject de e-mail (nem precisa do conteúdo) e qualquer outra informação que não seja técnica impressoal e não seja informação de comunicação fim-a-fim é um imenso risco jurídico pro provedor, é contra o 5 da constituição além de leis a rodo no codigo civil e penal. Na prática hoje, o provedor não tem que ter log algum nem armazenar log algum por tempo que for. Essa decisão é do provedor para seu uso, seu diagnóstico, e não deve invadir a privacidade do usuário. Mesmo que o Juiz, a PF peça a informação você não é obrigado a tê-la. Graças a Deus não passou a lei Azeredo e a Convenção de Budapeste se não me engano, Brasil não aderiu (ainda?). Mediante mandato o provedor passa a monitorar e registrar o solicitado. Claro que como medida pro-ativa, afinal pra não se enquadrado no 187/186 da civil pode gerar alguns logs, mas mantendo a impessoalidade. É válido obvio manter o registro de quem estava usando qual IP. Fundamental alias, não juridicamente mas pro negócio. É também legal e aceitável gerar logs da comunicação fim-a-fim sem informações pessoais. Ou seja: - Endereço IP e porta, nada de URL, nada de conteúdo, de preferência nem resolução DNS. - Envelope SMTP não pode (mail from, rcpt to, el), nada de headers, nem subject, pior ainda conteúdo; qualquer coisa desse tipo tem que ser prevista contratualmente (seja contrato de prestação do serviço ou contrato de trabalho, PSI corporativa, etc) Minha sugestão pra quem faz NAT: add count log tcp from any 80,21,22,443,25,110,143 to $minha_rede setup out via $if_interna Note o fluxo: retorno, apenas portas conhecidas, suficiente pra saber qual IP falso falou com qual IP real nos serviços que potencialmente gerarão demanda indentificável. Além disso saindo pela interna, pra garantir que o NAT não foi feito nem desfeito e o principal, setup pra só gerar log do 3-way-handshake. Se você não usa ipfw mas usa Linux, gere logs das flags syn+ack (que é o segundo passo do 3-way-handshake, ou seja a sessão na outra ponta foi aceita e está de fato estabelecida) e coloca um RELATED. Se usa PF bailou, PF não co-relaciona 3-way-handshake como ipfw nem tem um related como Linux então o jeito é logar flags SA/SA E torcer pra ninguém gerar um flood aritifical de SA/SA sem S/SA antes pois você no pf simplesmente não conseguirá distinguir. Mas ok isso juridicamente não vem ao caso, log de flags SA/SA no pf resolve. Com isso teremos logs impessoais, fim-a-fim, e apenas 1
Re: [FUG-BR] sobre a captura logs e arquivamento.
Pppoe rulez! hehehe -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 11:44, Klaus Schneider klau...@gmail.com escreveu: Acho o ideal é capturar somente os pacotes syn/syn-ack pelo pflog, o syn mostra o pedido de conexão, o syn-ack mostra que a conexão foi aceita, no caso de udp, faça como o Eduardo citou, pegue os primeiros 40 bytes. São pacotes pequenos, sem payload. Mas o mais ideal mesmo ainda é usar IPs públicos nos clientes... hehe Minha opinião: façam PPPoE, poupa IP, evita problemas judiciais e resolve problemas de conexões end-to-end como VPNs, p2p... Mais uma opinião: comessem a exigir IPv6 de suas operadoras, com IPv6 acabou essa história de não ter IPs, principalmente aqueles que já são AS. 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso.
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16 de setembro de 2011 11:56, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Agora insisto: não passem da comunicação fim-a-fim. Mais que isso é risco jurídico certo. Perfeito, Patrick!! Era isso mesmo que procurava!! Uma forma de não me enrolar com a justiça e privacidade dos usuários. Não utilizo PPPoE por motivos de falta de suporte adequado... Enfim! Resolveria meus problemas... -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
NAT é algo **terrível** para o usuário final e para o provedor... Se alguém aqui tem provedor e ainda usa NAT, solicite já seu as + CIDR para o nic.br(aproveitem enquanto tem IPv4 hehehe) e conforme os colegas já comentaram, também o bloco IPv6 e comece desde **já** a fornecer IPv4 e IPv6 nativo aos end users. Isto vai facilitar muito a transição para IPv6 em breve e discussões como esta virarão história para contar pros netos, já que tudo e todos terá seu IPv6 nativo. Se o provedor não atende aos requisitos mínimos para a solicitação do /22, pode pedir mais blocos IPv4 para a operadora atual e trabalhar junto com o PPPoE, fornecendo o pool de ips com base na média ponderada de acesso simultâneo. Feito isto, basta salvar os logs do PPPoE ou DHCP, que são pequenos e não geram muito custo de processamento e entrega-los para a justiça, colaborando com a investigação. Vai que seu Provedor ajuda a capturar um marginal, a sociedade agradece. Porém não acredito que um criminoso barra pesada seja tão ingênuo de assinar um acesso ADSL e de lá fazer suas ações, com certeza ele vai utilizar dezenas/centenas de proxies ao redor do mundo para encobrir suas ações e dificultar o rastreamento, principalmente se usar uma criptografia. Dos casos que já participei, maior parte dos IP´s envolvidos eram de PC´s Zombies de usuários domésticos, ou então casos menores do tipo difamação em Orkut, etc... []s -Original Message- From: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] On Behalf Of Patrick Tracanelli Sent: sexta-feira, 16 de setembro de 2011 11:57 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] sobre a captura logs e arquivamento. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. Muito bom. Concordo plenamente com os pontos do Gondim. Gerar logs com detalhes como URL acessada, Subject de e-mail (nem precisa do conteúdo) e qualquer outra informação que não seja técnica impressoal e não seja informação de comunicação fim-a-fim é um imenso risco jurídico pro provedor, é contra o 5 da constituição além de leis a rodo no codigo civil e penal. Na prática hoje, o provedor não tem que ter log algum nem armazenar log algum por tempo que for. Essa decisão é do provedor para seu uso, seu diagnóstico, e não deve invadir a privacidade do usuário. Mesmo que o Juiz, a PF peça a informação você não é obrigado a tê-la. Graças a Deus não passou a lei Azeredo e a Convenção de Budapeste se não me engano, Brasil não aderiu (ainda?). Mediante mandato o provedor
Re: [FUG-BR] sobre a captura logs e arquivamento.
Pppoe com NAT eh fria... Soh vale a pena se tiver CIDR próprio, ai nao precisaria logar pacotes, já que o intuito é identificar o usuário final em um determinado momento (data/hora). -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 12:09, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de setembro de 2011 11:56, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Agora insisto: não passem da comunicação fim-a-fim. Mais que isso é risco jurídico certo. Perfeito, Patrick!! Era isso mesmo que procurava!! Uma forma de não me enrolar com a justiça e privacidade dos usuários. Não utilizo PPPoE por motivos de falta de suporte adequado... Enfim! Resolveria meus problemas... -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] setfib para 2 links de internet
Pessoal, estou adicionando uma segunda interface para fazer a migração de um link para o outro sem dores. e vai ficar assim por um bom tempo. Segui as instruções neste link: http://www.daemonforums.org/showthread.php?t=4610 kernel está compilado com suporte a FIB's. minhas confs: - /etc/rc.conf ifconfig_le0=inet 200.200.200.156 netmask 255.255.255.128 #ifconfig_em0=dhcp ifconfig_em0=inet 201.201.201.181 netmask 255.255.255.192 #defaultrouter=150.162.60.254 - /etc/rc.local: # define default routes setfib 0 route delete default setfib 0 route adddefault 200.200.200.254 setfib 1 route delete default setfib 1 route adddefault 201.201.201.190 # assing route tables to interfaces ipfw add 50 allowip from any to any via lo0 ipfw add 51 setfib 0 ip from any to any via le0 ipfw add 52 setfib 1 ip from any to any via em0 porém não consigo fazer funcionar! o ping antes do FIB não estava funcionando, agora está, porém qualquer conexão TCP não funciona. Com o TCPDUMP eu vejo entrando na interface secundária (fib 1, em0) e saindo pela primária (fib 1, le0) sempre. Um detalhe que percebi é se eu iniciar o serviço na fib especifica ele funciona para aquele link. Por exemplo: [root@tesla ~]# setfib 1 /usr/local/etc/rc.d/apache22 start Funciona para o segundo link, porém se tento acessar através do primeiro não funciona. Posto isso, acredito que seja algo com as regras do IPFW que não está marcando os pacotes corretamente. [root@tesla ~]# ipfw -a list|more 00051 85 10208 setfib 0 ip from any to any via le0 00052 36 12369 setfib 1 ip from any to any via em0 alguém tem alguma situação parecida e poderia me dar uma ajuda? Obrigado! Lucas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16/09/2011 09:52, Enio .'. Marconcini escreveu: 2011/9/16 Marcelo Gondimgon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? Opa, Então se o seu caso for empresa procure fazer um misto de: - Logs de acesso do squid. - Existem programas para monitorar conversas de msn também. rsrsrs - Como você usa NAT o jeito é fazer registrar nos logs via filtragem de pacotes. Se alguém acessar uma determinada porta que está liberada, guardar esse log de acesso. Aqui quando os assinantes se conectam no PPPoE o radius registra o acesso dele com diversas informações. Registra a hora que entra e a hora que sai. - Histórico:
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Lusca + bridge + tproxy
Segue o patch para aplicar no 8.2-RELEASE é a mesma coisa do original do loos, só trocando as posições das linhas: http://www.luizgustavo.pro.br/downloads/lusca_tproxy-8.2-RELEASE.diff lembrando, que é necessário colocar no minimo as linhas no conf do kernel: device bridge options IPFIREWALL_FORWARD options IPFIREWALL Eu testei compilando o GENERIC (STABLE e RELEASE) e fazendo algumas alterações nos Makefile's dos modulos, mas não rolou. Não tive tempo de investigar, mas pode ser interessante pra colocar-mos a mais no patch e publicar no source, assim, poderia-mos ter a feature no GENERIC. fica da dica. abraços Em 11 de setembro de 2011 19:46, Wenderson Souza wendersonso...@gmail.com escreveu: Hello all, Até que enfim consegui colocar o FreeBSD com o Tproxy para rodar. E aproveitei e testei com mais de um range de IP's, funcionou blz. Basta colocar uma segunda porta no http_port e configurar o tcp_outgoing_address para os 2 ranges. Agradeço a todos os que ajudaram, em especial: 1º ao Luiz Gustavo, pois eu ia morrer e não ia conseguir pois estava testando com o 8.2-RELEASE, e ele matou a cobra informando que deveria ser feito no STABLE. E para não ter nenhum problema, re-formatei a máquina novamente, coloquei o 8.2-RELEASE e atualizei para o 8.2-STABLE; 2º ao Patrick Tracanelli, pois eu não estava testando antes roteado para depois testar com o tproxy; e testando antes roteado consegui resolver muitos probleminhas com o LUSCA sob BRIDGE; Agora a solução: # uname -a FreeBSD tproxy.xxx.com.br 8.2-STABLE FreeBSD 8.2-STABLE #1: Fri Sep 9 19:44:18 BRT 2011 wender...@tproxy.xxx.com.br:/usr/obj/usr/src/sys/TPROXY amd64 # squid -v Squid Cache: Version LUSCA_HEAD-r14809 configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--with-pthreads' '--enable-storeio=aufs null' '--enable-delay-pools' '--enable-snmp' '--enable-wccpv2' '--disable-ident-lookups' '--with-large-files' '--enable-large-cache-files' '--enable-stacktraces' '--enable-freebsd-tproxy' '--enable-err-languages=Portuguese' '--enable-default-err-language=Portuguese' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd8.2' 'build_alias=amd64-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe -g -fno-strict-aliasing' 'LDFLAGS=' 'CPPFLAGS=' 'CPP=cpp' '--disable-pf-transparent' '--enable-ipf-transparent' percebam que eu desativei o '--disable-pf-transparent' pois eu estava recebendo muitos erros do tipo clientNatLookup: PF open failed: (2) No such file or directory no cache.log e ativei o '--enable-ipf-transparent' # /etc/sysctl.conf net.link.bridge.ipfw=1 net.link.bridge.pfil_bridge=1 # /etc/rc.conf (coloquei os ips públicos na bridge) network_interfaces=rl1 rl2 cloned_interfaces=bridge0 ifconfig bridge0 addm rl1 addm rl2 ifconfig_rl1=up ifconfig_rl2=up ifconfig_bridge0=inet 200.x.x.203 netmask 255.255.255.248 up ifconfig_bridge0_alias0=inet 200.x.x.187 netmask 255.255.255.248 up # ipfw ipfw add 100 fwd 200.x.x.203,3128 tcp from 200.x.x.200/29 to any 80 via rl2 ipfw add 200 fwd 200.x.x.203 tcp from any 80 to 200.x.x.200/29 via rl1 ipfw add 300 fwd 200.x.x.187,3129 tcp from 200.x.x.184/29 to any 80 via rl2 ipfw add 400 fwd 200.x.x.187 tcp from any 80 to 200.x.x.184/29 via rl1 # squid.conf http_port 200.x.x.203:3128 tproxy transparent acl porta3128 src 200.x.x.200/29 tcp_outgoing_adress 200.x.x.203 porta3128 http_port 200.x.x.187:3129 tproxy transparent acl porta3129 src 200.x.x.184/29 tcp_outgoing_address 200.x.x.187 porta3129 Valeu a pena perder o sábado e o domingo brigando com o ipfw e com o LUSCA. Um ótimo inicio de semana para todos. Wenderson Souza e-mail: wendersonso...@gmail.com msn: wendersonso...@msn.com skype: wendersonsouza Em 8 de setembro de 2011 12:07, Wenderson Souza wendersonso...@gmail.com escreveu: Então é este o meu problema. Estou com o 8.2-RELEASE. Por que achei entranho, já ter seguido todos os passos e não conseguir resolver. Já ia reportar quanto as perguntas do Patrick, mas atualizar agora para pode efetuar os testes. Luiz Gustavo, Assim que tiver alguma noticia sobre a correção no patch para o RELEASE nos reporte. Muito obrigado a todos, mando notícias! :) Wenderson Souza e-mail: wendersonso...@gmail.com msn: wendersonso...@msn.com skype: wendersonsouza Em 8 de setembro de 2011 11:43, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu:
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16 de setembro de 2011 13:57, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. Isso mesmo que já estou implantando. Talvez já comece a utilizar AAA a partir desse mês de Outubro ou Novembro. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Atualizações bsd
On 15/09/2011 23:40, Marcio Rufino wrote: Pessoal, sou novato no mundo bsd e gostaria de saber se tem como atualizar a distribuição atual como um apt-get update no debian. Estou fazendo uns testes com o openbsd 4.5 []'s Leia o Handbook, é o melhor ponto de partida. http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] setfib para 2 links de internet
ja tentou com setfib 0 ipfw ... setfib 1 ipfw com o setfib antes do comando ipfw Wenderson Souza e-mail: wendersonso...@gmail.com msn: wendersonso...@msn.com skype: wendersonsouza Em 16 de setembro de 2011 13:25, Lucas Mocellin lucasmocel...@gmail.com escreveu: Pessoal, estou adicionando uma segunda interface para fazer a migração de um link para o outro sem dores. e vai ficar assim por um bom tempo. Segui as instruções neste link: http://www.daemonforums.org/showthread.php?t=4610 kernel está compilado com suporte a FIB's. minhas confs: - /etc/rc.conf ifconfig_le0=inet 200.200.200.156 netmask 255.255.255.128 #ifconfig_em0=dhcp ifconfig_em0=inet 201.201.201.181 netmask 255.255.255.192 #defaultrouter=150.162.60.254 - /etc/rc.local: # define default routes setfib 0 route delete default setfib 0 route add default 200.200.200.254 setfib 1 route delete default setfib 1 route add default 201.201.201.190 # assing route tables to interfaces ipfw add 50 allow ip from any to any via lo0 ipfw add 51 setfib 0 ip from any to any via le0 ipfw add 52 setfib 1 ip from any to any via em0 porém não consigo fazer funcionar! o ping antes do FIB não estava funcionando, agora está, porém qualquer conexão TCP não funciona. Com o TCPDUMP eu vejo entrando na interface secundária (fib 1, em0) e saindo pela primária (fib 1, le0) sempre. Um detalhe que percebi é se eu iniciar o serviço na fib especifica ele funciona para aquele link. Por exemplo: [root@tesla ~]# setfib 1 /usr/local/etc/rc.d/apache22 start Funciona para o segundo link, porém se tento acessar através do primeiro não funciona. Posto isso, acredito que seja algo com as regras do IPFW que não está marcando os pacotes corretamente. [root@tesla ~]# ipfw -a list|more 00051 85 10208 setfib 0 ip from any to any via le0 00052 36 12369 setfib 1 ip from any to any via em0 alguém tem alguma situação parecida e poderia me dar uma ajuda? Obrigado! Lucas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Todos os clientes saem com o mesmo ip no NAT... qual cliente que acessou determinado site? Pppoe eh bom e tem log, mas nao faz magica... -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 13:57, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Eduardo Schoedler lis...@esds.com.br Todos os clientes saem com o mesmo ip no NAT... qual cliente que acessou determinado site? Pppoe eh bom e tem log, mas nao faz magica... -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 13:57, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd e será mesmo que PPPoE terá um bom desempenho em uma rede wireless, caso exista clientes com problemas de mal alinhamento ou sinal baixo? nunca testei mas vi alguns indivíduos reclamando disso, é claro, se a qualidade do tráfego não estiver bem, vai refletir mesmo não só no PPPoE mas em geral o que vejo é alguns zé dizendo: pppoe fica bom mas a rede tem que estar 100% -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. * - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
No caso de PPPoE sobre Wireless, só quando o ttl fica alto é que geram não raras, porem também não constantemente interrupções. A única diferença é que em alguns rádios wireless leva ate 3 segundos para reativar o canal de comunicação e mesmo tendo o pppoe configurado para só encerrar sessão apos 10 segundos de falha na comunicação ainda assim há as suas interrupções e todo o trafego que fluía pelo canal é simplesmente descartado. Esse fato ocorre no trafego sobre IP normalmente porem com uma resiliência maior a falhas curtas de comunicação, uma vez que em conexões TCP se não alterado o tempo para considerar que um pacotes não foi entre é de 60 segundos e o IP não mantem estado de conexão para dizer que ouve falha no canal de comunicação. Contudo embora há esses problemas utilizar PPPoE a roteamento privado tem muito mais vantagens principalmente com relação a suporte basedo nas mensagens de erro reportados pelo cliente, afinal melhor do que dizer que não esta navegando apenas é dizer que não está navegando e está recebendo o erro 792 por exemplo, facilitando o diagnostico prematuro do problema. Vale a penas ter PPPoE na rede. Att. Em 16/9/2011 16:44, Enio .'. Marconcini escreveu: 2011/9/16 Eduardo Schoedlerlis...@esds.com.br Todos os clientes saem com o mesmo ip no NAT... qual cliente que acessou determinado site? Pppoe eh bom e tem log, mas nao faz magica... -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 13:57, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd e será mesmo que PPPoE terá um bom desempenho em uma rede wireless, caso exista clientes com problemas de mal alinhamento ou sinal baixo? nunca testei mas vi alguns indivíduos reclamando disso, é claro, se a qualidade do tráfego não estiver bem, vai refletir mesmo não só no PPPoE mas em geral o que vejo é alguns zé dizendo: pppoe fica bom mas a rede tem que estar 100% -- Quando a Morte decide contar uma historia, A melhor ação que possa fazer é ouvi-la, e torcer por não ser a sua própria a tal história. Paulo Henrique. Analista de Sistemas / Programador BSDs Brasil. Genuine Unix/BSD User. Fone: (21) 9683-5433. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] bloquear msn
prezados preciso bloquar o msn aqui na rede , alguem poderia me dar alguma luz para fazer tal bloqueio att diogo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] bloquear msn
PFSense com Squid e SquidGuard e PF nas portas 1863. Att. Em 16/9/2011 17:54, Diogo Rodrigo escreveu: prezados preciso bloquar o msn aqui na rede , alguem poderia me dar alguma luz para fazer tal bloqueio att diogo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Quando a Morte decide contar uma historia, A melhor ação que possa fazer é ouvi-la, e torcer por não ser a sua própria a tal história. Paulo Henrique. Analista de Sistemas / Programador BSDs Brasil. Genuine Unix/BSD User. Fone: (21) 9683-5433. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] bloquear msn
Procure no Google por wlm-proxy... -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 17:54, Diogo Rodrigo diogo1...@gmail.com escreveu: prezados preciso bloquar o msn aqui na rede , alguem poderia me dar alguma luz para fazer tal bloqueio att diogo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
