[FUG-BR] sobre a captura logs e arquivamento.

Eduardo Schoedler listas em esds.com.br
Sexta Setembro 16 11:58:01 BRT 2011


Pppoe rulez! hehehe

--
Eduardo Schoedler
Enviado via iPhone

Em 16/09/2011, às 11:44, Klaus Schneider <klausps em gmail.com> escreveu:

> Acho o ideal é capturar somente os pacotes syn/syn-ack pelo pflog, o syn
> mostra o pedido de conexão, o syn-ack mostra que a conexão foi aceita, no
> caso de udp, faça como o Eduardo citou, pegue os primeiros 40 bytes. São
> pacotes pequenos, sem payload.
> Mas o mais ideal mesmo ainda é usar IPs públicos nos clientes... hehe
> Minha opinião: façam PPPoE, poupa IP, evita problemas judiciais e resolve
> problemas de conexões end-to-end como VPNs, p2p...
> Mais uma opinião: comessem a exigir IPv6 de suas operadoras, com IPv6 acabou
> essa história de não ter IPs, principalmente aqueles que já são AS.
> 
> 2011/9/16 Eduardo Schoedler <listas em esds.com.br>
> 
>> Nao gosto do tcpdump, ele coloca a interface em modo promiscuo.
>> 
>> Eu faria pelo firewall, faria log dos 40 (talvez mais, talvez menos)
>> primeiros bytes do cabeçalho, evitando assim capturar dados do cliente.
>> 
>> --
>> Eduardo Schoedler
>> Enviado via iPhone
>> 
>> Em 16/09/2011, às 10:28, "Enio .'. Marconcini" <eniorm em gmail.com>
>> escreveu:
>> 
>>> 2011/9/16 Eduardo Schoedler <listas em esds.com.br>
>>> 
>>>> Nao esqueça que access.log guarda somente dados de navegação... como
>> ficam
>>>> o POP3/IMAP/SMTP, alem de MSN, Skype, etc?
>>>> 
>>>> O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede
>> e
>>>> armazenar.
>>>> 
>>>> Eu sou muito fã do pflog.
>>>> 
>>>> Abs.
>>>> 
>>>> --
>>>> Eduardo Schoedler
>>>> Enviado via iPhone
>>>> 
>>>> Em 16/09/2011, às 09:52, "Enio .'. Marconcini" <eniorm em gmail.com>
>>>> escreveu:
>>>> 
>>>>> 2011/9/16 Marcelo Gondim <gondim em bsdinfo.com.br>
>>>>> 
>>>>>> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu:
>>>>>>> pessoal,
>>>>>>> estive conversando com um amigo delegado que tem acompanhado muitos
>>>> casos
>>>>>> de
>>>>>>> crimes digitais, e o mesmo me havia dito que, quando algo do tipo
>>>>>> acontece,
>>>>>>> a PF (policia federal, e não o packet filter, rsrs) solicita aos
>>>>>> provedores
>>>>>>> os logs para ajudar nas investigações.
>>>>>>> 
>>>>>>> minha dúvida é, neste caso, que tipos de logs devem ser mantidos,
>> para
>>>> um
>>>>>>> eventual problema desse tipo. Eu imagino que um log do tipo
>> access.log
>>>> do
>>>>>>> squid viria a ajudar em algumas coisas, porém, e nos casos de portas
>>>>>>> nateadas ou outros tipos de acessos que não são registrados pelo
>> squid,
>>>>>> como
>>>>>>> por exemplo, conexões ftp, msn, email, etc etc
>>>>>>> 
>>>>>>> o que seria a melhor saída para ter tais informações? e alguém sabe
>>>> dizer
>>>>>>> por quanto tempo é necessário mantes tais logs? me parece que não
>>>> existe
>>>>>> uma
>>>>>>> legislação vigente para tais casos, mas a Anatel em suas mudanças
>>>> parece
>>>>>> que
>>>>>>> irá exigir que tais registros sejam mantidos.
>>>>>>> 
>>>>>>> 
>>>>>> Oi Enio,
>>>>>> 
>>>>>> Aqui no provedor somos muitas vezes citados para problemas de justiça
>> e
>>>>>> normalmente o que nos é pedido é para identificar o assinante que
>> estava
>>>>>> utilizando aquele determinado IP na data e hora. O documento da
>> justiça
>>>>>> sempre nos passa a informação:
>>>>>> 
>>>>>> - IP
>>>>>> - Data
>>>>>> - Hora
>>>>>> 
>>>>>> Com esses dados conseguimos identificar o indivíduo. Com relação ao
>>>>>> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque
>>>>>> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para
>>>>>> identificar clientes que conectaram, por exemplo, à 2 anos atrás.
>>>>>> Um grande problema é relacionado quando a empresa possui acesso por
>> NAT
>>>>>> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o
>>>>>> administrador não tiver log de acesso dos IPs internos aí fica bem
>>>>>> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos
>> casos
>>>>>> assim.
>>>>>> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que
>>>>>> estão sendo monitoradas, salvo se você for autorizado pela Justiça à
>>>>>> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de
>>>>>> privacidade. Melhor consultar um advogado antes de fazer qualquer
>> coisa
>>>>>> nesse sentido. Normalmente nas grandes empresas são feitos termos para
>>>>>> os funcionários lerem, ficarem cientes e assinarem que estarão sendo
>>>>>> monitorados quanto à e-mails(da empresa) e acessos. Termos de
>>>>>> Confidencialidade e outros que a empresa julgar necessários. Trabalhei
>>>>>> em uma empresa de Segurança da Informação onde tive que assinar um
>> Termo
>>>>>> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem
>> falar
>>>>>> quais eram os nomes dos clientes que tínhamos. rsrsrsr
>>>>>> 
>>>>>> Agora se a justiça mandar e autorizar então faça. Porque manda quem
>> pode
>>>>>> e obedece quem tem juízo. hahahah
>>>>>> 
>>>>>> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada
>>>>>> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o
>> IP
>>>>>> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos
>>>>>> quem foi o cliente responsável. Bem sem uma intimação formal nada
>> feito.
>>>>>> Aí ele nos processou porque não passamos uma informação sigilosa para
>>>>>> ele só porque ele era um advogado. Bem não precisa dizer que ele
>> perdeu
>>>>>> na justiça. No final das contas o IP de onde partiu o acesso era da
>>>>>> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail
>>>>>> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria
>>>>>> ver agora ele processar a OAB por isso.
>>>>>> 
>>>>>> É isso e grande abraço
>>>>>> -------------------------
>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto
>> para
>>>>> uma boa discussão com o amigo delegado.
>>>>> 
>>>>> No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao
>>>>> email institucional, bem, penso eu que, se eu for gravar tudo que os
>>>>> usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu
>>>>> capturar apenas um log que registre por exemplo, de onde e para onde
>> com
>>>> a
>>>>> data acho que já ajudaria. Mas eu penso no caso dos que usam email
>>>> externo
>>>>> do tipo hotmail, não teria como capturar muita coisa, a não ser a data
>> e
>>>>> hora que ele acessou o email.
>>>>> 
>>>>> Agora, no meu caso como não tenho AS o jeito é natear as conexões dos
>>>>> usuários, e neste caso, como eu vou capturar tais informações? Penso eu
>>>> que
>>>>> bastaria setar a regra do nat para ser logado, e armazenar estes logs,
>>>> estou
>>>>> certo?
>>>>> 
>>>>> abraços
>>>>> 
>>>>> --
>>>>> *ENIO RODRIGO MARCONCINI*
>>>>> @eniomarconcini <http://twitter.com/eniomarconcini>
>>>>> skype: eniorm
>>>>> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
>>>>> 
>>>>> *"UNIX was not designed to stop its users from doing stupid things,
>>>>> as that would also stop them from doing clever things."
>>>>> *
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> 
>>> 
>>> 
>>> 
>>> Eduardo, é isso mesmo que eu também preciso saber.... esses cabeçalhos
>>> poderiam ser capturados até mesmo com um tcpdump? seria prático fazer
>> dessa
>>> forma? ou ainda seria melhor logar direto pelo fw que está fazendo o nat?
>>> 
>>> Alexandre, sim o teu cliente precisa saber que está sendo monitorado,
>> porém
>>> eu usaria outra palavra no contrato, para não pegar mal... usaria algo do
>>> tipo "seus acessos serão gravados e mantidos sob sigilo; para eventual
>>> necessidade da policia federal" ou algo do tipo,
>>> 
>>> --
>>> *ENIO RODRIGO MARCONCINI*
>>> @eniomarconcini <http://twitter.com/eniomarconcini>
>>> skype: eniorm
>>> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
>>> 
>>> *"UNIX was not designed to stop its users from doing stupid things,
>>> as that would also stop them from doing clever things."
>>> *
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> 
> 
> 
> 
> -- 
> /*
> * Klaus Schneider
> */
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Mais detalhes sobre a lista de discussão freebsd