¿Cómo manejo los informes de abuso como ISP?

12

Estoy creando una pequeña empresa que proporcionará servicio de internet para un nicho de mercado. Ofreceremos acceso sin restricciones y sin supervisión (tanto como lo permita la ley, y aunque preferimos no hacerlo, aún tendremos la capacidad de capturar paquetes si está justificado), y no estoy seguro de cómo debemos responder al abuso. informes (una búsqueda en Google no encontró nada relevante).

Digamos que recibo un correo electrónico sobre la fuerza bruta de SSH proveniente de una de las IP de nuestros clientes. ¿Cómo puedo saber si es genuino y no un troll (las entradas de registro e incluso .pcaps pueden ser falsificadas)? ¿Cómo lo hacen los grandes ISP (para los que realmente se preocupan por los informes de abuso, quiero decir)?

Del mismo modo, las quejas sobre el correo electrónico no deseado, ¿cómo verifico si son genuinas antes de actuar sobre ellas? ¿Es esto incluso un problema? ¿Ha habido casos en que los trolls denuncien a alguien por presuntamente hacer cosas malas con la esperanza de tener problemas con su proveedor?

¿Estoy condenado a registrar cada paquete que sale de mi red o hay una solución estándar de la industria que no llegue a tales extremos?

Saludos.

André Borie
fuente
¿Por qué manejarías los informes de abuso?
Michael Hampton
66
¿Qué quieres decir? Si alguien se queja legítimamente de que uno de nuestros clientes arroja spam / DoS / fuerza bruta, quiero hacer algo al respecto, al igual que no aprecio estar en el extremo receptor de esos ataques (y dudo que alguien lo esté).
André Borie
2
Esa es una buena respuesta. Entonces, ¿qué hay en sus términos de servicio?
Michael Hampton
1
Los términos de servicio nos permiten terminar la conexión de alguien por cualquier razón, y la política de uso aceptable prohibiría DoS, spam, fuerza bruta, básicamente cualquier cosa que consideremos maliciosa. Mi pregunta principal es que después de una queja, ¿cómo debo juzgar si es genuina o un troll / error? Registrar cada paquete lo haría, pero eso es técnicamente imposible incluso si quisiéramos hacerlo, por lo que pregunto cómo lo hacen los grandes jugadores.
André Borie
3
@MichaelHampton Una máquina que arroja ataques de fuerza bruta SSH probablemente esté comprometida. Si tiene razones para creer que uno de sus clientes está comprometido y ni siquiera se lo dice, es terrible en su trabajo.
David Schwartz

Respuestas:

20

En términos generales, está actuando como un operador neutral y probablemente no debería estar inspeccionando el contenido. El proceso general para manejar los informes de abuso es configurar un sistema de tickets o incluso solo un buzón que recoge el abuso en su dominio y luego envía los informes al usuario final.

Lo digo en general porque, aunque tengo mucha experiencia específica en esta área, cómo se hace en nuestro lugar no será exactamente como lo hace nadie más. Necesita adaptar el enfoque a los servicios que ofrece. Dicho esto, puedo darle algunos consejos que no son demasiado específicos y constituyen la base de cómo la mayoría de los lugares manejan el abuso. Sin embargo, no soy un abogado y esto no debe interpretarse como una opinión de nadie más que mía, en caso de que alguien esté lo suficientemente loco como para descubrir quién es mi empleador.

Sin embargo, espero que algo de esto sea útil.

Procedimiento básico:

  1. Tienes una dirección de correo electrónico de abuso.
  2. El correo llega a la cola de abuso
  3. Dígale al reportero de abuso que lo pasará.
  4. Busque qué cliente está usando esa IP, reenvíelos al informe y pregúnteles si saben qué está pasando.
  5. Siempre que el usuario final no responda con algo realmente estúpido, lo mejor es una instrucción similar a "No permitas que vuelva a suceder". Hay proyectos legítimos que disparan informes de abuso, pero la mayoría de estos ocurren debido a investigadores de seguridad, si ese no es su nicho, entonces no tendrá que preocuparse.
  6. Vaya al paso 1 y repita.

La mayoría de las veces un bucle es suficiente. La falsificación del abuso no es algo que realmente haya visto mucho, quiero decir que sucede, pero ha sido muy obvio ya que están tratando de meter a la persona en problemas, mientras que los informes legítimos de abuso tienden a ser de "No nos importa por qué sucediendo, solo haz que pare "amable".

Cosas que deberías hacer

Probablemente verá algunas advertencias de piratería, un montón de informes de spam, la advertencia más esotérica ocasional ... Tendencias de alojamiento de servidores hacia una mayor variedad, la banda ancha es más piratería, todos reciben informes de spam. Reenviarlos a todos. La mayoría de las veces el cliente se declarará inocente y luego limpiará su PC o su acto. Si están decididos a seguir así, probablemente cubrirán mejor sus huellas.

Por lo general, los informes de abuso se generan en respuesta a las acciones de máquinas comprometidas ... el problema que a los niños les gusta hacer un desastre en el patio delantero de otra persona para que no rastree a su casa y haga que sus padres sean infelices. Suponga que el cliente no está enviando spam intencionalmente. Intente dar a los clientes el beneficio de la duda la primera vez que reciban un informe en su contra.

Las advertencias pueden tardar un tiempo en detenerse si tiene un spammer realmente prolífico, pero si continúa viendo informes con eventos después de que un cliente ha sido advertido, o si recibe muchas quejas, es posible que desee considerar la posibilidad de cancelarlos para AUP violaciones Probablemente se dará cuenta rápidamente si alguien está falsificando informes lo suficiente como para llegar a ese punto.

Tener gráficos de volumen de tráfico. La mayoría de los tipos de informes de abuso (spam, derechos de autor, ddos) iluminarán un gráfico de tráfico ... tenía un promedio de 40kbit pero de repente saltó a 10mbit y se quedó allí durante horas. No hagas nada hasta que alguien se queje o empiece a impactar a los clientes, pero el tráfico irregular ciertamente te dará munición.

Cosas que no hacer ...

No brinde información del cliente a menos que alguien le entregue una orden judicial y pueda probar que la orden es legítima. Algunos reporteros de abuso pedirán información con la esperanza de obtener un proveedor cooperativo, pero si se lo entrega a alguien que no sea un tribunal, entonces probablemente esté creando problemas legales para usted. Por lo general, la policía no le enviará un correo electrónico solicitando el contacto de facturación de su cliente, e incluso si lo hiciera, aún debería decirle que solo puede proporcionar esa información en persona y con la presentación de una orden judicial adecuada.

No apagues a un cliente solo porque alguien contactó tu cola de abuso y te lo pidió. Si están denunciando abuso, debe hacer que proporcionen algún tipo de evidencia sobre la que pueda actuar ... Dije que la falsificación de informes de abuso no era común, no dije que no sucedió. Cuánto lo ve depende completamente de qué tan objetivo sea su base de clientes. Las viejecitas probablemente no van a atacar la atención de los trolls, por el contrario, las serpentinas de contracción.

Del mismo modo, no permita que los reporteros de abuso lo intimiden ... algunas personas pueden ser realmente amenazantes y agresivas con su informe si no obedece sus órdenes al instante. Su responsable como conducto es reenviar los avisos y tomar medidas oportunas si el cliente no es cooperativo. Usted solo se hace responsable si sabe que el cliente está haciendo algo malo y lo deja continuar. Tenga una política sensata (léase: no favorezca a los piratas) y cúmplala, eso ayudará si algo sale mal. Si solo proporciona ancho de banda y no hospeda, probablemente no sea responsable de eliminar el contenido a menos que su cliente no lo haga cuando se lo solicite.

No te estreses demasiado. El 99.9% de los informes de abuso en un ISP son cosas de procedimiento realmente aburridas que equivalen a "Vi que esta cosa mala vino de su red, probablemente es una máquina comprometida, por favor verifíquela".

En la mayoría de los casos, comparar el tiempo del evento informado con el gráfico de tráfico le indicará la legitimidad del informe. Los procesos hostiles no envían correos electrónicos o escaneos de puertos en uno o dos.

Una última cosa.

Si alguna vez tiene un caso de abuso en el que está involucrada la policía, asegúrese de preguntar explícitamente qué quieren que haga por ellos, pero no espere que tengan respuestas súper técnicas. A veces, la policía no está completamente familiarizada con la tecnología involucrada (me han dicho que en una ocasión querían visitarnos para apoderarse físicamente de un VPS, eso fue divertido), pero tienen una idea de lo que quieren lograr. Exactamente qué tipo de cosas van a perseguir depende completamente de exactamente qué tipo de servicios brinde.

Kaithar
fuente
4

Si va a implementar como un ISP no supervisado, probablemente no podrá confirmar que el tráfico malicioso está viajando a través de su red. De lo contrario, lo más probable es que necesite configurar alguna forma de monitoreo de tráfico básico, al menos un sistema TCPDump.

También es posible que desee configurar algún tipo de sistema de tickets y transmitir quejas severas a sus clientes. Requerir respuestas dentro de un cierto período de tiempo, con prohibiciones de servicio como resultado de no responder o rectificar el problema, etc.

No siempre puede determinar si un informe es verdadero o falso, pero en mi experiencia aprenderá rápidamente a evaluar la validez. Establezca requisitos para presentar quejas de abuso; por ejemplo, requiera tráfico o registros de acceso que muestren claramente su participación en la red.

Las quejas de spam generalmente incluyen los encabezados y la fuente del correo electrónico, por lo que puede tomar decisiones individuales caso por caso sobre cómo manejarlas. SpamCop debería tener algo bueno

Familiarícese con DMCA o leyes de derechos de autor equivalentes del Reino Unido.

Es probable que tenga que establecer algunos precedentes para usted y ayudar a establecer el tono de cómo se puede usar su servicio.

Buena suerte

iisor
fuente
El sistema de venta de entradas ya está en funcionamiento, y tcpdump definitivamente es posible caso por caso, me preguntaba si había otras soluciones, pero parece que es eso. Gracias por tu respuesta.
André Borie