[FUG-BR] sobre a captura logs e arquivamento.

Enio .'. Marconcini eniorm em gmail.com
Sexta Setembro 16 11:44:03 BRT 2011


2011/9/16 Eduardo Schoedler <listas em esds.com.br>

> Nao gosto do tcpdump, ele coloca a interface em modo promiscuo.
>
> Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos)
> primeiros bytes do cabeçalho, evitando assim capturar dados do cliente.
>
> --
> Eduardo Schoedler
> Enviado via iPhone
>
> Em 16/09/2011, às 10:28, "Enio .'. Marconcini" <eniorm em gmail.com>
> escreveu:
>
> > 2011/9/16 Eduardo Schoedler <listas em esds.com.br>
> >
> >> Nao esqueça que access.log guarda somente dados de navegação... como
> ficam
> >> o POP3/IMAP/SMTP, alem de MSN, Skype, etc?
> >>
> >> O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede
> e
> >> armazenar.
> >>
> >> Eu sou muito fã do pflog.
> >>
> >> Abs.
> >>
> >> --
> >> Eduardo Schoedler
> >> Enviado via iPhone
> >>
> >> Em 16/09/2011, às 09:52, "Enio .'. Marconcini" <eniorm em gmail.com>
> >> escreveu:
> >>
> >>> 2011/9/16 Marcelo Gondim <gondim em bsdinfo.com.br>
> >>>
> >>>> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu:
> >>>>> pessoal,
> >>>>> estive conversando com um amigo delegado que tem acompanhado muitos
> >> casos
> >>>> de
> >>>>> crimes digitais, e o mesmo me havia dito que, quando algo do tipo
> >>>> acontece,
> >>>>> a PF (policia federal, e não o packet filter, rsrs) solicita aos
> >>>> provedores
> >>>>> os logs para ajudar nas investigações.
> >>>>>
> >>>>> minha dúvida é, neste caso, que tipos de logs devem ser mantidos,
> para
> >> um
> >>>>> eventual problema desse tipo. Eu imagino que um log do tipo
> access.log
> >> do
> >>>>> squid viria a ajudar em algumas coisas, porém, e nos casos de portas
> >>>>> nateadas ou outros tipos de acessos que não são registrados pelo
> squid,
> >>>> como
> >>>>> por exemplo, conexões ftp, msn, email, etc etc
> >>>>>
> >>>>> o que seria a melhor saída para ter tais informações? e alguém sabe
> >> dizer
> >>>>> por quanto tempo é necessário mantes tais logs? me parece que não
> >> existe
> >>>> uma
> >>>>> legislação vigente para tais casos, mas a Anatel em suas mudanças
> >> parece
> >>>> que
> >>>>> irá exigir que tais registros sejam mantidos.
> >>>>>
> >>>>>
> >>>> Oi Enio,
> >>>>
> >>>> Aqui no provedor somos muitas vezes citados para problemas de justiça
> e
> >>>> normalmente o que nos é pedido é para identificar o assinante que
> estava
> >>>> utilizando aquele determinado IP na data e hora. O documento da
> justiça
> >>>> sempre nos passa a informação:
> >>>>
> >>>> - IP
> >>>> - Data
> >>>> - Hora
> >>>>
> >>>> Com esses dados conseguimos identificar o indivíduo. Com relação ao
> >>>> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque
> >>>> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para
> >>>> identificar clientes que conectaram, por exemplo, à 2 anos atrás.
> >>>> Um grande problema é relacionado quando a empresa possui acesso por
> NAT
> >>>> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o
> >>>> administrador não tiver log de acesso dos IPs internos aí fica bem
> >>>> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos
> casos
> >>>> assim.
> >>>> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que
> >>>> estão sendo monitoradas, salvo se você for autorizado pela Justiça à
> >>>> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de
> >>>> privacidade. Melhor consultar um advogado antes de fazer qualquer
> coisa
> >>>> nesse sentido. Normalmente nas grandes empresas são feitos termos para
> >>>> os funcionários lerem, ficarem cientes e assinarem que estarão sendo
> >>>> monitorados quanto à e-mails(da empresa) e acessos. Termos de
> >>>> Confidencialidade e outros que a empresa julgar necessários. Trabalhei
> >>>> em uma empresa de Segurança da Informação onde tive que assinar um
> Termo
> >>>> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem
> falar
> >>>> quais eram os nomes dos clientes que tínhamos. rsrsrsr
> >>>>
> >>>> Agora se a justiça mandar e autorizar então faça. Porque manda quem
> pode
> >>>> e obedece quem tem juízo. hahahah
> >>>>
> >>>> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada
> >>>> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o
> IP
> >>>> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos
> >>>> quem foi o cliente responsável. Bem sem uma intimação formal nada
> feito.
> >>>> Aí ele nos processou porque não passamos uma informação sigilosa para
> >>>> ele só porque ele era um advogado. Bem não precisa dizer que ele
> perdeu
> >>>> na justiça. No final das contas o IP de onde partiu o acesso era da
> >>>> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail
> >>>> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria
> >>>> ver agora ele processar a OAB por isso.
> >>>>
> >>>> É isso e grande abraço
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>
> >>>
> >>>
> >>> Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto
> para
> >>> uma boa discussão com o amigo delegado.
> >>>
> >>> No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao
> >>> email institucional, bem, penso eu que, se eu for gravar tudo que os
> >>> usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu
> >>> capturar apenas um log que registre por exemplo, de onde e para onde
> com
> >> a
> >>> data acho que já ajudaria. Mas eu penso no caso dos que usam email
> >> externo
> >>> do tipo hotmail, não teria como capturar muita coisa, a não ser a data
> e
> >>> hora que ele acessou o email.
> >>>
> >>> Agora, no meu caso como não tenho AS o jeito é natear as conexões dos
> >>> usuários, e neste caso, como eu vou capturar tais informações? Penso eu
> >> que
> >>> bastaria setar a regra do nat para ser logado, e armazenar estes logs,
> >> estou
> >>> certo?
> >>>
> >>> abraços
> >>>
> >>> --
> >>> *ENIO RODRIGO MARCONCINI*
> >>> @eniomarconcini <http://twitter.com/eniomarconcini>
> >>> skype: eniorm
> >>> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
> >>>
> >>> *"UNIX was not designed to stop its users from doing stupid things,
> >>> as that would also stop them from doing clever things."
> >>> *
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> >
> > Eduardo, é isso mesmo que eu também preciso saber.... esses cabeçalhos
> > poderiam ser capturados até mesmo com um tcpdump? seria prático fazer
> dessa
> > forma? ou ainda seria melhor logar direto pelo fw que está fazendo o nat?
> >
> > Alexandre, sim o teu cliente precisa saber que está sendo monitorado,
> porém
> > eu usaria outra palavra no contrato, para não pegar mal... usaria algo do
> > tipo "seus acessos serão gravados e mantidos sob sigilo; para eventual
> > necessidade da policia federal" ou algo do tipo,
> >
> > --
> > *ENIO RODRIGO MARCONCINI*
> > @eniomarconcini <http://twitter.com/eniomarconcini>
> > skype: eniorm
> > facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
> >
> > *"UNIX was not designed to stop its users from doing stupid things,
> > as that would also stop them from doing clever things."
> > *
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



Eduardo, e para fazer isso, capturar apenas os 40 bytes é possível com o PF
e IPFW ?

abraços


-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>

*"UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things."
*


Mais detalhes sobre a lista de discussão freebsd