[linux] Logovanie konekcii a DDoS

[Michal Rybárik]

Zdravim,
> po dlhšom čase znova otravujem. Som postavený pred problém logovania 
> konekcií zo strany ISP, ktoré vraj vyplýva zo zákona o Policajnom zbore 
> (vie niekto číslo zákona? ani za frasa neviem nájsť ten paragraf). 
> Riešenie je jednoduché, obyčajný Snort a pomerne výkonná mašinka. Na

Pekne pekne ze uz mate riesenie, ked nepoznate zadanie. Najprv treba 
vediet CO TREBA RIESIT a az potom to riesit, lebo sa vam potom moze 
stat, ze budete mat stodolu plnu DVDciek s logmi, ale ked pride policia 
a da vam lahku otazku tak nebudete vediet v tych DVDckach najst odpoved. 
A to by sa vam pri rieseni s mirrorovanim portu a ukladanim hlaviciek 
paketov, ak tam mate NATko a viac ludi za jednou IP, presne mohlo stat.

Zakon 610/2003 Z.z by mal poznat kazdy ISP naspamat, v aktualnom zneni 
je dostupny napriklad na http://www.teleoff.gov.sk/sk/Pojmy/zakon.html , 
hladajte tam § 59a, ods 6, 7, 8. Internetu sa tyka nasledovne:
- podnik je povinny uchovavat data po dobu 6 mesiacov ak ide o 
pripojenie k internetu, elektronicku postu a telefonovanie 
prostrednictvom internetu (ods 6)
- udaje podnik UCHOVAVA V ROZSAHU, AKOM ICH VYTVARA ALEBO SPRACUVA PRI 
POSKYTOVANI SLUZBY ALEBO SIETE (ods 7)
- udaje je podnik povinny na zaklade pisomnej ziadosti poskytnut 
prislusnym organom (ods 8)

Pripojenim k internetu (ods6) sa rozumie, ze sa uzivatel k internetu 
pripoji (tj dialup, adsl pppoe, pevne nevytacane pripojenie, atd). Dalej 
zdoraznim ze podnik uchovava data v tom rozsahu ako ich sam spracovava. 
ZIADNY ZAKON NEUKLADA LOGOVAT PROVIDEROVI CONNTRACK, ANI HLAVICKY 
VSETKYCH PAKETOV LEN PRE POTREBY TOHOTO ZAKONA! To je s prepacenim za 
vyraz hola picovina a kto necita pravidla ale pracuje s polopravdami, 
tak nech sa v napalenych DVDckach hoc aj utopi. Toto zakonne ustanovenie 
je prebrate z europskej legislativy a uz chcem vidiet ako nejaky 
provider s trafficom v desiatkach gigabitov za sekundu uklada hlavicky 
paketov na 6 mesiacov, a este lepsie, ako v nich potom nieco hlada. Mate 
predstavu o ake kvanta dat ide? Nenapadlo vam, ze keby to bolo tak, ze 
to musite uchovavat, logicky by to platilo aj na vasho nadradeneho ISP, 
a teda tie data by sa ukladali dvojmo, lebo on by logoval aj vase? A co 
jeho nadradeny ISP? To uz ani radsej nepomyslim.

Spat k tomu nasmu pripadu. Ked dostanete ziadost od policie, tak sa vas 
v zmysle zakona spyta napriklad na presnu identifikaciu ucastnika (meno 
adresa telefon atd) ktory 12.2.2008 o 23:42:18 GMT+1 pristupoval na 
internet z IP adresy 212.213.214.215 ktora patri do vami spravovaneho IP 
rozsahu. Ziadny zdrojovy alebo cielovy port, ziadna zdrojova alebo 
cielova IP, nic co by ste vyhrabali z conntracku, skratka a jasne, 
pytaju sa kto bol vtedy z tej a tej IP adresy pripojeny, pretoze zakon 
hovori, ze provider uchovava udaje o PRIPOJENIACH k internetu. Pokial 
poskytujete ako ISP zakaznikom vytacane pripojenie (ppp, pppoe, ...), 
spravidla vsetko potrebne najdete v logu napriklad Radiusu, alebo toho 
systemu co pouzivate. Pokial poskytujete trvale pripojenie (ethernet, 
wifi, ...), mali by ste vediet komu ste ktoru IP adresu dali, odkedy, 
dokedy, a tiez viete odpovedat. Ziadne hlavicky k tomu nepotrebujete, 
iba svoju beznu databazu (plne v sulade s ods. 7).

To vsetko funguje za podmienky, ze ste pridelili uzivatelovi verejnu IP 
adresu. Ak ste pridelili privatnu IP adresu a uzivatelia su za NATkom a 
lezu von do netu cez IP adresu ktora je pridelena vam, padate do medzery 
medzi paragrafmi, pretoze na takyto pripad sa nemyslelo. Nemam skusenost 
ze by sa policia zaoberala zdrojovym alebo cielovym portom, takze aj 
cely zalogovany conntrack je nanic, pri otazke kto pouzil o tej a tej 
hodine a minute vasu verejnu IP sa neda dat rozumna odpoved, pretoze vy 
najdete v conntracku v tu minutu otvorenych prave 50tisic spojeni od 
1000 roznych userov, a povedzte policii ktory jeden z nich to bol, ked 
vam nepovedia port. Pruser, nedobre. Zakon je usity na mieru europskemu 
pravu a europskym telekomunikacnym operatorom, kde taku vec ako 
NATovanie desiatok/stovak/tisicov klientov za jednu IP adresu ziadny 
seriozny provider nerobi.. Kazdy prideluje koncovym klientom verejne 
IPcky. Takze radsej nez zbytocne investovat do techniky a pamatovych 
medii na logovanie nezmyselnych dat, z ktorych sa aj tak nebude dat 
odpovedat (ba naopak, ich zbieranie a skladovanie by mohlo byt zasahom 
do sukromia ucastnikov), investujte radsej do dostatocnehho poctu 
verejnych IP pre vsetkych vasich klientov. Alebo to pred sebou uzavrite 
tak, ze udaje archivujete v tej podobe ako ich spracuvavate (ods 7), ze 
ste tymto splnili zakonne poziadavky, a na pripadnu otazku policie 
poviete ze z tychto udajov nie je mozne dat jednoznacnu odpoved, ale 
mozete im poskytnut vypis N moznych uzivatelov ktori vtedy komunikovali 
cez tuto IP. Aj to je pravne korektne riesenie, i ked ja odporucam skor 
stat sa serioznym ISP a zabudnut na NATka, ak tam este nejake mate, a 
potom si vystacite z beznymi prevadzkovymi udajmi ktore verim ze 
spracuvate a ukladate.

M.R.