[FUG-BR] sobre a captura logs e arquivamento.
pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. * - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? abraços -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. * - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? abraços -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? abraços -- *ENIO RODRIGO MARCONCINI*
Re: [FUG-BR] sobre a captura logs e arquivamento.
Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos
Re: [FUG-BR] sobre a captura logs e arquivamento.
Acho o ideal é capturar somente os pacotes syn/syn-ack pelo pflog, o syn mostra o pedido de conexão, o syn-ack mostra que a conexão foi aceita, no caso de udp, faça como o Eduardo citou, pegue os primeiros 40 bytes. São pacotes pequenos, sem payload. Mas o mais ideal mesmo ainda é usar IPs públicos nos clientes... hehe Minha opinião: façam PPPoE, poupa IP, evita problemas judiciais e resolve problemas de conexões end-to-end como VPNs, p2p... Mais uma opinião: comessem a exigir IPv6 de suas operadoras, com IPv6 acabou essa história de não ter IPs, principalmente aqueles que já são AS. 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico:
Re: [FUG-BR] sobre a captura logs e arquivamento.
Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. Muito bom. Concordo plenamente com os pontos do Gondim. Gerar logs com detalhes como URL acessada, Subject de e-mail (nem precisa do conteúdo) e qualquer outra informação que não seja técnica impressoal e não seja informação de comunicação fim-a-fim é um imenso risco jurídico pro provedor, é contra o 5 da constituição além de leis a rodo no codigo civil e penal. Na prática hoje, o provedor não tem que ter log algum nem armazenar log algum por tempo que for. Essa decisão é do provedor para seu uso, seu diagnóstico, e não deve invadir a privacidade do usuário. Mesmo que o Juiz, a PF peça a informação você não é obrigado a tê-la. Graças a Deus não passou a lei Azeredo e a Convenção de Budapeste se não me engano, Brasil não aderiu (ainda?). Mediante mandato o provedor passa a monitorar e registrar o solicitado. Claro que como medida pro-ativa, afinal pra não se enquadrado no 187/186 da civil pode gerar alguns logs, mas mantendo a impessoalidade. É válido obvio manter o registro de quem estava usando qual IP. Fundamental alias, não juridicamente mas pro negócio. É também legal e aceitável gerar logs da comunicação fim-a-fim sem informações pessoais. Ou seja: - Endereço IP e porta, nada de URL, nada de conteúdo, de preferência nem resolução DNS. - Envelope SMTP não pode (mail from, rcpt to, el), nada de headers, nem subject, pior ainda conteúdo; qualquer coisa desse tipo tem que ser prevista contratualmente (seja contrato de prestação do serviço ou contrato de trabalho, PSI corporativa, etc) Minha sugestão pra quem faz NAT: add count log tcp from any 80,21,22,443,25,110,143 to $minha_rede setup out via $if_interna Note o fluxo: retorno, apenas portas conhecidas, suficiente pra saber qual IP falso falou com qual IP real nos serviços que potencialmente gerarão demanda indentificável. Além disso saindo pela interna, pra garantir que o NAT não foi feito nem desfeito e o principal, setup pra só gerar log do 3-way-handshake. Se você não usa ipfw mas usa Linux, gere logs das flags syn+ack (que é o segundo passo do 3-way-handshake, ou seja a sessão na outra ponta foi aceita e está de fato estabelecida) e coloca um RELATED. Se usa PF bailou, PF não co-relaciona 3-way-handshake como ipfw nem tem um related como Linux então o jeito é logar flags SA/SA E torcer pra ninguém gerar um flood aritifical de SA/SA sem S/SA antes pois você no pf simplesmente não conseguirá distinguir. Mas ok isso juridicamente não vem ao caso, log de flags SA/SA no pf resolve. Com isso teremos logs impessoais, fim-a-fim, e apenas 1
Re: [FUG-BR] sobre a captura logs e arquivamento.
Pppoe rulez! hehehe -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 11:44, Klaus Schneider klau...@gmail.com escreveu: Acho o ideal é capturar somente os pacotes syn/syn-ack pelo pflog, o syn mostra o pedido de conexão, o syn-ack mostra que a conexão foi aceita, no caso de udp, faça como o Eduardo citou, pegue os primeiros 40 bytes. São pacotes pequenos, sem payload. Mas o mais ideal mesmo ainda é usar IPs públicos nos clientes... hehe Minha opinião: façam PPPoE, poupa IP, evita problemas judiciais e resolve problemas de conexões end-to-end como VPNs, p2p... Mais uma opinião: comessem a exigir IPv6 de suas operadoras, com IPv6 acabou essa história de não ter IPs, principalmente aqueles que já são AS. 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao gosto do tcpdump, ele coloca a interface em modo promiscuo. Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos) primeiros bytes do cabeçalho, evitando assim capturar dados do cliente. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 10:28, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Eduardo Schoedler lis...@esds.com.br Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc? O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar. Eu sou muito fã do pflog. Abs. -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 09:52, Enio .'. Marconcini eni...@gmail.com escreveu: 2011/9/16 Marcelo Gondim gon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso.
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16 de setembro de 2011 11:56, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Agora insisto: não passem da comunicação fim-a-fim. Mais que isso é risco jurídico certo. Perfeito, Patrick!! Era isso mesmo que procurava!! Uma forma de não me enrolar com a justiça e privacidade dos usuários. Não utilizo PPPoE por motivos de falta de suporte adequado... Enfim! Resolveria meus problemas... -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
NAT é algo **terrível** para o usuário final e para o provedor... Se alguém aqui tem provedor e ainda usa NAT, solicite já seu as + CIDR para o nic.br(aproveitem enquanto tem IPv4 hehehe) e conforme os colegas já comentaram, também o bloco IPv6 e comece desde **já** a fornecer IPv4 e IPv6 nativo aos end users. Isto vai facilitar muito a transição para IPv6 em breve e discussões como esta virarão história para contar pros netos, já que tudo e todos terá seu IPv6 nativo. Se o provedor não atende aos requisitos mínimos para a solicitação do /22, pode pedir mais blocos IPv4 para a operadora atual e trabalhar junto com o PPPoE, fornecendo o pool de ips com base na média ponderada de acesso simultâneo. Feito isto, basta salvar os logs do PPPoE ou DHCP, que são pequenos e não geram muito custo de processamento e entrega-los para a justiça, colaborando com a investigação. Vai que seu Provedor ajuda a capturar um marginal, a sociedade agradece. Porém não acredito que um criminoso barra pesada seja tão ingênuo de assinar um acesso ADSL e de lá fazer suas ações, com certeza ele vai utilizar dezenas/centenas de proxies ao redor do mundo para encobrir suas ações e dificultar o rastreamento, principalmente se usar uma criptografia. Dos casos que já participei, maior parte dos IP´s envolvidos eram de PC´s Zombies de usuários domésticos, ou então casos menores do tipo difamação em Orkut, etc... []s -Original Message- From: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] On Behalf Of Patrick Tracanelli Sent: sexta-feira, 16 de setembro de 2011 11:57 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] sobre a captura logs e arquivamento. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. Muito bom. Concordo plenamente com os pontos do Gondim. Gerar logs com detalhes como URL acessada, Subject de e-mail (nem precisa do conteúdo) e qualquer outra informação que não seja técnica impressoal e não seja informação de comunicação fim-a-fim é um imenso risco jurídico pro provedor, é contra o 5 da constituição além de leis a rodo no codigo civil e penal. Na prática hoje, o provedor não tem que ter log algum nem armazenar log algum por tempo que for. Essa decisão é do provedor para seu uso, seu diagnóstico, e não deve invadir a privacidade do usuário. Mesmo que o Juiz, a PF peça a informação você não é obrigado a tê-la. Graças a Deus não passou a lei Azeredo e a Convenção de Budapeste se não me engano, Brasil não aderiu (ainda?). Mediante mandato o provedor
Re: [FUG-BR] sobre a captura logs e arquivamento.
Pppoe com NAT eh fria... Soh vale a pena se tiver CIDR próprio, ai nao precisaria logar pacotes, já que o intuito é identificar o usuário final em um determinado momento (data/hora). -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 12:09, Alexandre Silva Nano alexna...@gmail.com escreveu: Em 16 de setembro de 2011 11:56, Patrick Tracanelli eks...@freebsdbrasil.com.br escreveu: Agora insisto: não passem da comunicação fim-a-fim. Mais que isso é risco jurídico certo. Perfeito, Patrick!! Era isso mesmo que procurava!! Uma forma de não me enrolar com a justiça e privacidade dos usuários. Não utilizo PPPoE por motivos de falta de suporte adequado... Enfim! Resolveria meus problemas... -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16/09/2011 09:52, Enio .'. Marconcini escreveu: 2011/9/16 Marcelo Gondimgon...@bsdinfo.com.br Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: pessoal, estive conversando com um amigo delegado que tem acompanhado muitos casos de crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece, a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores os logs para ajudar nas investigações. minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um eventual problema desse tipo. Eu imagino que um log do tipo access.log do squid viria a ajudar em algumas coisas, porém, e nos casos de portas nateadas ou outros tipos de acessos que não são registrados pelo squid, como por exemplo, conexões ftp, msn, email, etc etc o que seria a melhor saída para ter tais informações? e alguém sabe dizer por quanto tempo é necessário mantes tais logs? me parece que não existe uma legislação vigente para tais casos, mas a Anatel em suas mudanças parece que irá exigir que tais registros sejam mantidos. Oi Enio, Aqui no provedor somos muitas vezes citados para problemas de justiça e normalmente o que nos é pedido é para identificar o assinante que estava utilizando aquele determinado IP na data e hora. O documento da justiça sempre nos passa a informação: - IP - Data - Hora Com esses dados conseguimos identificar o indivíduo. Com relação ao tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque nossa justiça é muiiito lenta. Já recebi aqui intimações para identificar clientes que conectaram, por exemplo, à 2 anos atrás. Um grande problema é relacionado quando a empresa possui acesso por NAT N:1 nesse caso apenas 1 IP fica constando para a justiça e se o administrador não tiver log de acesso dos IPs internos aí fica bem complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos assim. Cuidado com logs do tipo do squid, porque as pessoas tem que saber que estão sendo monitoradas, salvo se você for autorizado pela Justiça à fazer esse tipo de coisa. Porque pode caracterizar uma invasão de privacidade. Melhor consultar um advogado antes de fazer qualquer coisa nesse sentido. Normalmente nas grandes empresas são feitos termos para os funcionários lerem, ficarem cientes e assinarem que estarão sendo monitorados quanto à e-mails(da empresa) e acessos. Termos de Confidencialidade e outros que a empresa julgar necessários. Trabalhei em uma empresa de Segurança da Informação onde tive que assinar um Termo de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar quais eram os nomes dos clientes que tínhamos. rsrsrsr Agora se a justiça mandar e autorizar então faça. Porque manda quem pode e obedece quem tem juízo. hahahah Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP de quem acessou a conta veio aqui no provedor e exigiu que disséssemos quem foi o cliente responsável. Bem sem uma intimação formal nada feito. Aí ele nos processou porque não passamos uma informação sigilosa para ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu na justiça. No final das contas o IP de onde partiu o acesso era da própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria ver agora ele processar a OAB por isso. É isso e grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? Opa, Então se o seu caso for empresa procure fazer um misto de: - Logs de acesso do squid. - Existem programas para monitorar conversas de msn também. rsrsrs - Como você usa NAT o jeito é fazer registrar nos logs via filtragem de pacotes. Se alguém acessar uma determinada porta que está liberada, guardar esse log de acesso. Aqui quando os assinantes se conectam no PPPoE o radius registra o acesso dele com diversas informações. Registra a hora que entra e a hora que sai. - Histórico:
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Em 16 de setembro de 2011 13:57, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. Isso mesmo que já estou implantando. Talvez já comece a utilizar AAA a partir desse mês de Outubro ou Novembro. -- Att, Alexandre Silva Nano Tecnólogo em Gestão de Redes de Computadores, UNIFACS Enterasys Security Systems Engineer - IPS/SIEM www.ideiadigital.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
Todos os clientes saem com o mesmo ip no NAT... qual cliente que acessou determinado site? Pppoe eh bom e tem log, mas nao faz magica... -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 13:57, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
2011/9/16 Eduardo Schoedler lis...@esds.com.br Todos os clientes saem com o mesmo ip no NAT... qual cliente que acessou determinado site? Pppoe eh bom e tem log, mas nao faz magica... -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 13:57, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd e será mesmo que PPPoE terá um bom desempenho em uma rede wireless, caso exista clientes com problemas de mal alinhamento ou sinal baixo? nunca testei mas vi alguns indivíduos reclamando disso, é claro, se a qualidade do tráfego não estiver bem, vai refletir mesmo não só no PPPoE mas em geral o que vejo é alguns zé dizendo: pppoe fica bom mas a rede tem que estar 100% -- *ENIO RODRIGO MARCONCINI* @eniomarconcini http://twitter.com/eniomarconcini skype: eniorm facebook.com/eniomarconcini http://www.facebook.com/eniomarconcini *UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. * - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] sobre a captura logs e arquivamento.
No caso de PPPoE sobre Wireless, só quando o ttl fica alto é que geram não raras, porem também não constantemente interrupções. A única diferença é que em alguns rádios wireless leva ate 3 segundos para reativar o canal de comunicação e mesmo tendo o pppoe configurado para só encerrar sessão apos 10 segundos de falha na comunicação ainda assim há as suas interrupções e todo o trafego que fluía pelo canal é simplesmente descartado. Esse fato ocorre no trafego sobre IP normalmente porem com uma resiliência maior a falhas curtas de comunicação, uma vez que em conexões TCP se não alterado o tempo para considerar que um pacotes não foi entre é de 60 segundos e o IP não mantem estado de conexão para dizer que ouve falha no canal de comunicação. Contudo embora há esses problemas utilizar PPPoE a roteamento privado tem muito mais vantagens principalmente com relação a suporte basedo nas mensagens de erro reportados pelo cliente, afinal melhor do que dizer que não esta navegando apenas é dizer que não está navegando e está recebendo o erro 792 por exemplo, facilitando o diagnostico prematuro do problema. Vale a penas ter PPPoE na rede. Att. Em 16/9/2011 16:44, Enio .'. Marconcini escreveu: 2011/9/16 Eduardo Schoedlerlis...@esds.com.br Todos os clientes saem com o mesmo ip no NAT... qual cliente que acessou determinado site? Pppoe eh bom e tem log, mas nao faz magica... -- Eduardo Schoedler Enviado via iPhone Em 16/09/2011, às 13:57, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 16/09/2011 09:56, Alexandre Silva Nano escreveu: Tenho essas mesmas dúvidas!! Administro um provedor de internet que ainda faz Nat N:1... E não sei como pegar os logs de acesso, a não ser por access.log! Agora para isso teríamos que ter escrito no contrato, onde todo acesso feito à internet está sendo monitorado?? Opa Alexandre, Mesmo se você tiver Nat N:1 se você tiver usando PPPoE ou qualquer acesso que use radius, o radius faz todo o registro de conexão do cliente e você pode identificá-lo por lá. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd e será mesmo que PPPoE terá um bom desempenho em uma rede wireless, caso exista clientes com problemas de mal alinhamento ou sinal baixo? nunca testei mas vi alguns indivíduos reclamando disso, é claro, se a qualidade do tráfego não estiver bem, vai refletir mesmo não só no PPPoE mas em geral o que vejo é alguns zé dizendo: pppoe fica bom mas a rede tem que estar 100% -- Quando a Morte decide contar uma historia, A melhor ação que possa fazer é ouvi-la, e torcer por não ser a sua própria a tal história. Paulo Henrique. Analista de Sistemas / Programador BSDs Brasil. Genuine Unix/BSD User. Fone: (21) 9683-5433. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
