Přišel nám dopis od kriminální policie, kde žádají zjištění údajů o telekomunikačním provozu. Je tam uvedena naše IP adresa, konkrétní datum a přesný čas na sekundy. A k těmto údajům chtějí ztotožnit podezřelého. Problém je v tom, že uvedena IP je veřejka, za kterou je NATováno cca. 150 uživatelů vč. několika veřejných hotspotů. Pokud by uvedli i cílovou IP adresu, tak by se to v logování provozu mělo dát snadno dohledat, ale takto je to problém. A samozřejmě nechci dát seznam všech lidí, kteří v daný okamžik surfovali, ale jinak s tím nemají nic společného.
Jak byste reagovali na takovou výzvu? Před pár měsíci nám přišel podobný požadavek, tak jsem napsal na jejich e-mail, ať uvedou cílovou adresu a mohu jim údaje předat. Na to ale nijak nereagovali.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
PČR: Žádost o zjištění údajů o telekomunikačním provozu
Zavolat tomu kdo to vyřizoval, a zjistit přesně co chtějí a upřesnit co potřebuješ k dohledání.
0 x
Jsme malý ISP, ale snažíme se svou práci dělat co nejlépe to jde ;-)
http://www.lajsiNET.cz/ - Horní Slavkov
Jan Leisner e-mail: leisner@LajsiNET.cz
http://www.lajsiNET.cz/ - Horní Slavkov
Jan Leisner e-mail: leisner@LajsiNET.cz
Presne to nam taky doslo a mam stejny problem. Zkousel jsem to prochazet a mam tam tip kdo by to mohl byt. Projit ty casy a zjistit kdo se tam opakuje... Samoz. jim budu taky psat at poslou cilovou. Jinak to moc asi nejde. Jsem myslel ze v netflow to bude. A vlastne v netflow to proc neni tyto udaje? Ma to tam byt nebo nema?
0 x
Ve Vašem případě bych reagoval stejně specifikujte port a cílovou adresu. Mě teď opakovaně kontaktujou telefonicky. V září jste nám dal kontakt na majitele veřejné adresy, potřebujeme rychle (datovou schránkou by to bylo moc pomalý) informaci jestli je uvedená IP na adrese sídla firmy nebo jinde. Usměrnil jsem je ať si pošlou alespoň email, ale i tak mi to příjde mimo zákon.
0 x
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
basty píše:Presne to nam taky doslo a mam stejny problem. Zkousel jsem to prochazet a mam tam tip kdo by to mohl byt. Projit ty casy a zjistit kdo se tam opakuje... Samoz. jim budu taky psat at poslou cilovou. Jinak to moc asi nejde. Jsem myslel ze v netflow to bude. A vlastne v netflow to proc neni tyto udaje? Ma to tam byt nebo nema?
u NATu bys musel IMHO snimat netflow nejen za NATem ale i pred nim. Pokud prekladas jen na jednu verejku (kterou tedy jednoznacne znas) tak by bylo asi lepsi mit netflow pred NATem. No a nejlepsi by bylo mit jeste snapshoty connection track tabulky (pri kazde zmene
) , abys mel jistotu, pokud ve stejnou dobu na stejny server pobezi vice zakazniku.Nejlepsi je ale NAT vubec nemit
0 x
Nu, jak zaznělo, kontaktovat zpět a říci sorry, je to NAT, je za tím 150 koncáků, v daný čas bylo akticních XX (pokud to dokážeš z dat snadno spočítat) a požádat o doplňující data k identifikaci (adresa/porty/...).
Jinak NAT je nejlepší nemít, ale pokud ho mám, tak pak druhé nejlepší je netflow sbírat přímo z CGN brány, ideálně takové, co umí Netflow v9 a NEL/NSEL rozšíření, kdy se do netflow přidává i komplet info o stavu NATu a pak to není nejmenší problém identifikovat. Nu, kdo má Cisco ASR nebo něco podobného, tak má tu možnost (ip nat log translations flow-export v9 udp destination ... ...). Kdo má RouterOS, tak je třeba řvát na Mikrotiky, aby to dodělali (v9 je podporován i nějaký obecný NEL data asi také, ale stav NATu do toho asi stále nestrkají).
Jinak NAT je nejlepší nemít, ale pokud ho mám, tak pak druhé nejlepší je netflow sbírat přímo z CGN brány, ideálně takové, co umí Netflow v9 a NEL/NSEL rozšíření, kdy se do netflow přidává i komplet info o stavu NATu a pak to není nejmenší problém identifikovat. Nu, kdo má Cisco ASR nebo něco podobného, tak má tu možnost (ip nat log translations flow-export v9 udp destination ... ...). Kdo má RouterOS, tak je třeba řvát na Mikrotiky, aby to dodělali (v9 je podporován i nějaký obecný NEL data asi také, ale stav NATu do toho asi stále nestrkají).
0 x
Majklik píše:Nu, jak zaznělo, kontaktovat zpět a říci sorry, je to NAT, je za tím 150 koncáků, v daný čas bylo akticních XX (pokud to dokážeš z dat snadno spočítat) a požádat o doplňující data k identifikaci (adresa/porty/...).
Jak jsem psal, kontaktování zpět nepomohlo, protože na e-mail předtím nereagovali. V novém dopisu už není ani ten kontaktní mail. Navíc je to univerzální dopis, kde automaticky počítají s datovou schránkou, na kterou chtějí data zaslat a jaksi asi neberou v potaz, že ji někteří mít nemusí. Můžu jim tak maximálně poslat doporučený dopis, ať zašlou více údajů, ale myslím, že takové dopisování si přes Českou poštu je kontraproduktivní pro obě strany. Proto jsem vznesl dotaz sem, jestli už někdo takový požadavek zdárně řešil, abych věděl, co od PČR lze čekat a zda je schopna dodat více info.
0 x
Už jsem to také několikrát řešil a na email vždy zareagovali, případně jsem jim volal a doupřesnil informace po telefonu.
0 x
povinnost uchovávat údaje o elektronické komunikaci byla zrušena
https://www.zdrojak.cz/clanky/sporna-po ... a-zrusena/
https://www.zdrojak.cz/clanky/sporna-po ... a-zrusena/
0 x
A pak byla zase obnovena.
0 x
******WWW.DRAKKNET.CZ******