Come gestisco i rapporti sugli abusi come ISP?

12

Sto creando una piccola impresa che fornirà un servizio Internet per un mercato di nicchia. Offriremo accesso senza restrizioni e non monitorato (per quanto consentito dalla legge - e anche se preferiremmo non avremo ancora la possibilità di acquisire pacchetti se giustificati) l'accesso a Internet, e non sono sicuro di come dovremmo rispondere agli abusi rapporti (una ricerca di Google non ha trovato nulla di pertinente).

Supponiamo che riceva un'e-mail sulla forza bruta SSH proveniente da uno degli IP dei nostri clienti. Come faccio a sapere se è autentico e non un troll (voci di registro e persino .pcaps possono essere falsi)? Come lo fanno i grandi ISP (per quelli che si preoccupano davvero dei rapporti sugli abusi intendo)?

Allo stesso modo, per quanto riguarda i reclami relativi all'e-mail di spam, come posso verificare se sono autentici prima di agire su di essi? È anche un problema? Ci sono stati casi in cui i troll avrebbero denunciato qualcuno per aver presumibilmente fatto cose cattive nella speranza di metterle nei guai con il loro fornitore?

Sono condannato a registrare ogni singolo pacchetto che esce dalla mia rete o esiste una soluzione standard del settore che non va così al limite?

Saluti.

abuse 
André Borie
fonte
Perché dovresti gestire i rapporti sugli abusi?
Michael Hampton
6
Cosa intendi? Se qualcuno si sta legittimamente lamentando di uno dei nostri clienti che sputa spam / DoS / bruteforce, voglio fare qualcosa al riguardo, proprio come non apprezzo di essere alla fine di ricevere quegli attacchi (e dubito che qualcuno lo sia).
André Borie,
2
Questa è una buona risposta Quindi, cosa c'è nei tuoi termini di servizio?
Michael Hampton
1
I termini di servizio ci consentono di interrompere la connessione di qualcuno per qualsiasi motivo e una politica di utilizzo accettabile vieterebbe DoS, spam, bruteforce, praticamente qualsiasi cosa che riteniamo dannosa. La mia domanda principale è che a seguito di un reclamo, come devo giudicare se è autentico o un troll / errore? Registrare ogni pacchetto lo farebbe ma è tecnicamente impossibile anche se volessimo farlo, quindi sto chiedendo come lo fanno i grandi giocatori.
André Borie,
3
@MichaelHampton Una macchina che vomita attacchi di SSH bruteforce è probabilmente compromessa. Se hai motivo di credere che uno dei tuoi clienti sia compromesso e non glielo dici nemmeno, sei terribile nel tuo lavoro.
David Schwartz,

Risposte:

20

In generale, stai agendo come vettore neutrale e probabilmente non dovresti ispezionare i contenuti. Il processo generale per la gestione dei rapporti sugli abusi consiste nell'impostare un sistema di ticket o anche solo una cassetta postale che raccoglie gli abusi su @dominio e quindi li inoltra all'utente finale.

Sto dicendo in generale perché mentre ho molta esperienza specifica in questo settore, come è fatto al nostro posto non sarà esattamente come lo fanno gli altri. È necessario personalizzare l'approccio ai servizi offerti. Detto questo, posso darti qualche consiglio che non è troppo specifico e costituisce la base di come la maggior parte dei luoghi gestisce gli abusi. Non sono però un avvocato e questo non dovrebbe essere interpretato come l'opinione di nessuno, ma la mia, nel caso in cui qualcuno sia abbastanza pazzo da rintracciare chi è il mio datore di lavoro.

Spero che un po 'di questo sia utile però.

Procedura di base:

  1. Hai un indirizzo email di abuso.
  2. La posta entra nella coda degli abusi
  3. Di 'al reporter dell'abuso che lo passerai.
  4. Cerca quale cliente sta usando quell'IP, inoltra loro il rapporto e chiedi se sanno cosa sta succedendo.
  5. Se l'utente finale non risponde con qualcosa di veramente stupido, un'istruzione del tipo "Per favore, non lasciare che accada di nuovo" è per il meglio. Esistono progetti legittimi che fanno scattare segnalazioni di abusi, ma principalmente accadono a causa di ricercatori sulla sicurezza, se questa non è la tua nicchia, non dovrai preoccuparti.
  6. Andare al passaggio 1 e ripetere.

La maggior parte delle volte è sufficiente un loop through. Lo spoofing degli abusi non è qualcosa di cui ho davvero visto molto, intendo che succede, ma è stato davvero ovvio dal momento che stanno cercando di mettere la persona in difficoltà mentre i rapporti di abuso legittimo tendono ad essere del "Non ci interessa perché è sta accadendo, basta che smetta "gentile.

Cose che dovresti fare

Probabilmente vedrai alcuni avvisi di pirateria, un mucchio di segnalazioni di spam, occasionali avvertimenti più esoterici ... Server che ospita tendenze verso una varietà più ampia, la banda larga è più pirateria, tutti ricevono segnalazioni di spam. Inoltra tutti. Il più delle volte il cliente intende dichiararsi innocente, quindi ripulisce il proprio PC o ripulisce il proprio atto. Se sono determinati a continuare, probabilmente copriranno meglio le loro tracce.

Di solito vengono generati rapporti sugli abusi in risposta alle azioni di macchine compromesse ... il problema che i bambini amano fare un pasticcio nel cortile di qualcun altro in modo che non si rintracci a casa loro e rendano i genitori infelici. Supponiamo che il cliente non stia inviando intenzionalmente spam. Cerca di offrire ai clienti il ​​vantaggio del dubbio la prima volta che ricevono un rapporto contro di loro.

Gli avvisi potrebbero richiedere del tempo per arrestarsi se hai uno spammer davvero prolifico, ma se continui a visualizzare rapporti con eventi dopo che un cliente è stato avvisato o ricevono molti reclami, potresti prendere in considerazione la possibilità di risolverli per AUP violazioni. Probabilmente ti renderai conto abbastanza rapidamente se qualcuno sta fingendo rapporti abbastanza per raggiungere quel punto.

Grafica del volume del traffico. La maggior parte dei tipi di segnalazioni di abuso (spam, copyright, ddos) illumina un grafico del traffico ... ha una media di 40kbit ma è balzata improvvisamente a 10mbit e vi è rimasta per ore? Non fare nulla fino a quando qualcuno si lamenta o non inizia a influire sui clienti, ma il traffico irregolare ti darà sicuramente munizioni.

Cose da non fare ...

Non fornire informazioni sui clienti a meno che qualcuno non ti dia un ordine del tribunale e puoi provare che l'ordine è legittimo. Alcuni reporter di abusi chiederanno informazioni nella speranza di ottenere un fornitore cooperativo, ma se lo si rivolge a chiunque non sia un tribunale, probabilmente si stanno creando problemi legali per se stessi. La polizia generalmente non ti invierà un'email per chiedere il contatto di fatturazione del cliente e, anche se lo facesse, dovresti comunque dire loro che puoi fornire tali informazioni solo di persona e su presentazione di un ordine del tribunale appropriato.

Non spegnere un cliente solo perché qualcuno ha contattato la tua coda di abuso e ti ha chiesto di farlo. Se stanno segnalando un abuso, devi indurli a fornire qualche tipo di prova su cui puoi agire ... Ho detto che fingere di abusare non era comune, non ho detto che non è successo. Quanto vedi dipende interamente da quanto target è la tua base di clienti. Le piccole anziane probabilmente non attaccheranno l'attenzione dei troll, potrebbero invece agitare le stelle filanti.

Allo stesso modo, non lasciare che i reporter degli abusi ti maltrattino ... alcune persone possono diventare davvero minacciose e aggressive con il loro rapporto se non obbedisci all'istante ai loro ordini. Il tuo responsabile come conduttore è di inoltrare le comunicazioni e agire tempestivamente se il cliente non è cooperativo. Diventi responsabile solo se sai che il cliente sta facendo qualcosa di male e li lasci continuare. Avere una politica ragionevole (leggi: non favorire i pirati) e attenersi ad essa, che aiuterà se qualcosa va storto. Se si fornisce solo la larghezza di banda e non l'hosting, probabilmente non si è responsabili della rimozione del contenuto a meno che il cliente non riesca a farlo quando glielo chiedi.

Non stressarti troppo. Il 99,9% delle segnalazioni di abuso in un ISP sono davvero noiose cose procedurali che equivalgono a "Ho visto questa cosa negativa provenire dalla tua rete, è probabilmente una macchina compromessa, per favore guarda dentro".

Nella maggior parte dei casi, il confronto del tempo dell'evento segnalato con il grafico del traffico ti dirà la legittimità del rapporto. I processi ostili non inviano e-mail o scansioni delle porte in uno o due.

Un'ultima cosa.

Se dovessi riscontrare un caso di abuso in cui è coinvolta la polizia, assicurati di chiedere esplicitamente cosa vogliono che facciano per loro, ma non aspettarti che abbiano risposte super tecniche. A volte la polizia non ha familiarità con la tecnologia coinvolta (mi è stato detto che in un'occasione volevano farci visita per prendere fisicamente un VPS, è stato divertente) ma hanno un'idea di ciò che vogliono realizzare. Esattamente il tipo di cose che seguiranno dipende esattamente dal tipo di servizi che fornisci.

Kaithar
fonte
4

Se hai intenzione di implementare un ISP non monitorato, probabilmente non sarai in grado di confermare che il traffico dannoso sta attraversando la tua rete. Altrimenti, molto probabilmente avresti bisogno di impostare una qualche forma di monitoraggio del traffico di base, almeno un sistema TCPDump.

Potresti anche voler creare una sorta di sistema di biglietteria e inoltrare gravi reclami ai tuoi clienti. Richiedere risposte entro un certo periodo di tempo, con divieti di servizio a causa della mancata risposta o correzione del problema, ecc.

Non puoi sempre determinare se un rapporto è vero o falso, ma nella mia esperienza imparerai rapidamente a valutare la validità. Imposta i requisiti per l'invio di reclami relativi ad abusi, ad esempio richiedi i registri del traffico o degli accessi che mostrano chiaramente il coinvolgimento della tua rete.

I reclami di spam includono in genere le intestazioni e la fonte dell'e-mail, quindi è possibile prendere decisioni individuali caso per caso su come gestirle. SpamCop dovrebbe avere qualcosa di buono

Familiarizzare con DMCA o equivalenti leggi sul copyright del Regno Unito.

Probabilmente dovrai impostare alcuni precedenti per te stesso e aiutarti a stabilire il tono su come utilizzare il tuo servizio.

In bocca al lupo

iisor
fonte
Il sistema di ticketing è già in atto e tcpdump è sicuramente possibile caso per caso, mi stavo solo chiedendo se c'erano altre soluzioni, ma sembra che sia così. Grazie per la tua risposta.
André Borie,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.