[linux] Logovanie konekcii a DDoS
Michal Rybárik
michal na rybarik.sk
Úterý Srpen 12 23:38:20 CEST 2008
Zdravim,
> po dlhšom čase znova otravujem. Som postavený pred problém logovania
> konekcií zo strany ISP, ktoré vraj vyplýva zo zákona o Policajnom zbore
> (vie niekto číslo zákona? ani za frasa neviem nájsť ten paragraf).
> Riešenie je jednoduché, obyčajný Snort a pomerne výkonná mašinka. Na
Pekne pekne ze uz mate riesenie, ked nepoznate zadanie. Najprv treba
vediet CO TREBA RIESIT a az potom to riesit, lebo sa vam potom moze
stat, ze budete mat stodolu plnu DVDciek s logmi, ale ked pride policia
a da vam lahku otazku tak nebudete vediet v tych DVDckach najst odpoved.
A to by sa vam pri rieseni s mirrorovanim portu a ukladanim hlaviciek
paketov, ak tam mate NATko a viac ludi za jednou IP, presne mohlo stat.
Zakon 610/2003 Z.z by mal poznat kazdy ISP naspamat, v aktualnom zneni
je dostupny napriklad na http://www.teleoff.gov.sk/sk/Pojmy/zakon.html ,
hladajte tam § 59a, ods 6, 7, 8. Internetu sa tyka nasledovne:
- podnik je povinny uchovavat data po dobu 6 mesiacov ak ide o
pripojenie k internetu, elektronicku postu a telefonovanie
prostrednictvom internetu (ods 6)
- udaje podnik UCHOVAVA V ROZSAHU, AKOM ICH VYTVARA ALEBO SPRACUVA PRI
POSKYTOVANI SLUZBY ALEBO SIETE (ods 7)
- udaje je podnik povinny na zaklade pisomnej ziadosti poskytnut
prislusnym organom (ods 8)
Pripojenim k internetu (ods6) sa rozumie, ze sa uzivatel k internetu
pripoji (tj dialup, adsl pppoe, pevne nevytacane pripojenie, atd). Dalej
zdoraznim ze podnik uchovava data v tom rozsahu ako ich sam spracovava.
ZIADNY ZAKON NEUKLADA LOGOVAT PROVIDEROVI CONNTRACK, ANI HLAVICKY
VSETKYCH PAKETOV LEN PRE POTREBY TOHOTO ZAKONA! To je s prepacenim za
vyraz hola picovina a kto necita pravidla ale pracuje s polopravdami,
tak nech sa v napalenych DVDckach hoc aj utopi. Toto zakonne ustanovenie
je prebrate z europskej legislativy a uz chcem vidiet ako nejaky
provider s trafficom v desiatkach gigabitov za sekundu uklada hlavicky
paketov na 6 mesiacov, a este lepsie, ako v nich potom nieco hlada. Mate
predstavu o ake kvanta dat ide? Nenapadlo vam, ze keby to bolo tak, ze
to musite uchovavat, logicky by to platilo aj na vasho nadradeneho ISP,
a teda tie data by sa ukladali dvojmo, lebo on by logoval aj vase? A co
jeho nadradeny ISP? To uz ani radsej nepomyslim.
Spat k tomu nasmu pripadu. Ked dostanete ziadost od policie, tak sa vas
v zmysle zakona spyta napriklad na presnu identifikaciu ucastnika (meno
adresa telefon atd) ktory 12.2.2008 o 23:42:18 GMT+1 pristupoval na
internet z IP adresy 212.213.214.215 ktora patri do vami spravovaneho IP
rozsahu. Ziadny zdrojovy alebo cielovy port, ziadna zdrojova alebo
cielova IP, nic co by ste vyhrabali z conntracku, skratka a jasne,
pytaju sa kto bol vtedy z tej a tej IP adresy pripojeny, pretoze zakon
hovori, ze provider uchovava udaje o PRIPOJENIACH k internetu. Pokial
poskytujete ako ISP zakaznikom vytacane pripojenie (ppp, pppoe, ...),
spravidla vsetko potrebne najdete v logu napriklad Radiusu, alebo toho
systemu co pouzivate. Pokial poskytujete trvale pripojenie (ethernet,
wifi, ...), mali by ste vediet komu ste ktoru IP adresu dali, odkedy,
dokedy, a tiez viete odpovedat. Ziadne hlavicky k tomu nepotrebujete,
iba svoju beznu databazu (plne v sulade s ods. 7).
To vsetko funguje za podmienky, ze ste pridelili uzivatelovi verejnu IP
adresu. Ak ste pridelili privatnu IP adresu a uzivatelia su za NATkom a
lezu von do netu cez IP adresu ktora je pridelena vam, padate do medzery
medzi paragrafmi, pretoze na takyto pripad sa nemyslelo. Nemam skusenost
ze by sa policia zaoberala zdrojovym alebo cielovym portom, takze aj
cely zalogovany conntrack je nanic, pri otazke kto pouzil o tej a tej
hodine a minute vasu verejnu IP sa neda dat rozumna odpoved, pretoze vy
najdete v conntracku v tu minutu otvorenych prave 50tisic spojeni od
1000 roznych userov, a povedzte policii ktory jeden z nich to bol, ked
vam nepovedia port. Pruser, nedobre. Zakon je usity na mieru europskemu
pravu a europskym telekomunikacnym operatorom, kde taku vec ako
NATovanie desiatok/stovak/tisicov klientov za jednu IP adresu ziadny
seriozny provider nerobi.. Kazdy prideluje koncovym klientom verejne
IPcky. Takze radsej nez zbytocne investovat do techniky a pamatovych
medii na logovanie nezmyselnych dat, z ktorych sa aj tak nebude dat
odpovedat (ba naopak, ich zbieranie a skladovanie by mohlo byt zasahom
do sukromia ucastnikov), investujte radsej do dostatocnehho poctu
verejnych IP pre vsetkych vasich klientov. Alebo to pred sebou uzavrite
tak, ze udaje archivujete v tej podobe ako ich spracuvavate (ods 7), ze
ste tymto splnili zakonne poziadavky, a na pripadnu otazku policie
poviete ze z tychto udajov nie je mozne dat jednoznacnu odpoved, ale
mozete im poskytnut vypis N moznych uzivatelov ktori vtedy komunikovali
cez tuto IP. Aj to je pravne korektne riesenie, i ked ja odporucam skor
stat sa serioznym ISP a zabudnut na NATka, ak tam este nejake mate, a
potom si vystacite z beznymi prevadzkovymi udajmi ktore verim ze
spracuvate a ukladate.
M.R.
Další informace o konferenci linux