Bem-vindo à Comunidade UBNT

Marco Civil

Olá Pessoal,

Tem um cliente que quer fazer os registros de acesso para atender ao marco civil, já vi em alguns tópicos esse assunto, sei que a UNIFI em si não atende por completo essa coleta de informações..

O que vocês tem usado para atender a esta demanda, ou o que sugerem de opções para atender a esta demanda?

Comentários

  • R4V3RR4V3R 8484 Pontos
    editado julho 2016
    @Thiemman, é uma questão bem delicada na verdade. De fato, a plataforma UniFi não é para isso, ela não provê os recursos necessários para atender aos requisitos de guarda de logs previstos pelo Marco Civil.
    Como a grande maioria das conexões de internet entre dispositivos e a internet vai ser através de NAT, o único local possível para se fazer a coleta de dados é no roteador de borda. Dito isso, em linux é relativamente simples de se fazer, utilizando a ferramenta conntrack. Basta então registrar e salvar em um arquivo de logs as seguintes intformações:

    * Início de uma conexão, contendo endereço IP de origem e destino, assim como porta de origem e destino.
    * Fim da conexão citada.

    Logicamente o roteador tem que estar atualizado com um servidor NTP, e as respectivos hoŕários(precisos) de início e fim de cada conexão devem ser registrados.
    Indepentente de sua rede usar NAT ou não, IPv4, ou IPv6, estes registros tem que ser coletados, armazenados e guardados.

    Fora isso, os registros devem ser guardados por um período de 6 a 12 meses, senão me engano. Eu ficaria com 12, por segurança.

    Eu quero fazer isso com edgerouter, e sei que é possível, de um jeito ou de outro, mas ainda não tive tempo de cair de cabeça nessa questão...
  • Thiemann, tempo atrás andei procurando sobre o assunto e vi algumas soluções proprietárias que atender a lei do marco civil, procure por hotspot que encontrará algo, segue algumas empresas/solucoes que encontrei mas não tive oportunidade de testar e validar.
    http://www.wspot.com.br/
    http://wifisecurity.com.br/index.html#controladoras
    http://www.wifimax.com.br/solucoes/
    http://www.uaufi.com/me_tornar_hotspot.php

    Espero que possa ter ajudado.
  • ThiemannThiemann 303 Pontos
    @R4V3R Então, tenho um ER-X rodando lá será que ele já seria o suficiente para fazer essa parte de log? Você imagina como faria isso num edgerouter? Se me der algumas dicas posso ir verificando e testando também..

    @andretoniate Muito obrigado pelas suas indicações, vou verificar o que elas podem ajudar..
  • R4V3RR4V3R 8484 Pontos
    @Thiemann, ER é linux por baixo(ainda bem), então na pior das hipóteses, pode-se usar o utilitário conntrack diretamente.
    Lógico, não fiz qualquer testes olhando pelo ponto de vista de performance aqui, mas testei a saída do comando com meu ER-X e funciona perfeitamente:
    conntrack -E -e NEW,DESTROY --src-nat -o timestamp,extended

    Isso irá mostrar na tela os eventos do connection tracking do kernel em tempo real, filtrando apenas o início e fim das conexões, apenas advindos de source-nat, ou seja, de dentro da rede para fora, adicionando o timestamp(em formato epoch/unix timestamp) e solicitando o formato extended, que traz umas informações a mais.
    Jogar essa saída para um arquivo qualquer, para syslog, ou para um servidor remoto é algo bastante trivial partindo deste ponto.

    OBS: Olhando rapidamente os comandos do EdgeOS, também encontrei o seguinte:
    set system conntrack log
    Tem várias opções que permitem escolher estado das conexões para logar, protocolo, etc. Provavelmente vai jogar tudo para o syslog do sistema, então bastaria redirecioná-lo para um servidor syslog externo, e voilá...

    Pra quem quer quer leia esse post: Recomendo atenção especial ao usar esses comandos em um EdgeRouter Lite, pois o armazenamento dele é feito em um pendrive comum que fica dentro do chassi, e escritas constantes neste dispositivo irão, com toda certeza, reduzir drasticamente o tempo de vida útil desse tipo de mídia de armazenamento, estejam avisados!
  • Uso servidor feito no windows 7...coleta todas informação necessarias  
  • R4V3RR4V3R 8484 Pontos

    Uso servidor feito no windows 7...coleta todas informação necessarias  

    Um servidor syslog no caso, correto? Mas porque usar o windows 7 para isso?
  • ftecftec 1 Point
    Como já faz um tempo... chegaram em alguma solução? 

    Obrigado Galera, R4V3R ja me ajudou muito.
  • R4V3RR4V3R 8484 Pontos
    @ftec, a solução "faça você mesmo" está ali acima, é só colocar a mão na massa. Se está procurando uma solução pronta, só "apertar um botão e ligar", então receio que este não seja o local correto para procurar. ;)
    Neste caso, recomendo procurar por soluções comerciais de empresas especializadas, algumas destas já foram citadas neste mesmo tópico, OK?
  • @ftec
    o FlexSpot faz tudo o que você precisa com relação ao marco civíl e hotspot.
    Se integra com diversos sistema hoteleiros, sistemas de gestão, facebook, google plus, etc.
    www.flexspot.com.br
  • R4V3R você está certo quanto ao prazo... realmente são 12 meses para quem fornece a conexão (artigo 13) da lei.

    Quem fornece a aplicação, é quem precisa armazenar por 6 meses...

    para dar tempo de fazer o rastreio completo e chegar na origem da conexão.
  • alexramalhoalexramalho 26 Pontos
    editado outubro 2016
    R4V3R disse:

    @Thiemann, ER é linux por baixo(ainda bem), então na pior das hipóteses, pode-se usar o utilitário conntrack diretamente.

    Lógico, não fiz qualquer testes olhando pelo ponto de vista de performance aqui, mas testei a saída do comando com meu ER-X e funciona perfeitamente:
    conntrack -E -e NEW,DESTROY --src-nat -o timestamp,extended

    Isso irá mostrar na tela os eventos do connection tracking do kernel em tempo real, filtrando apenas o início e fim das conexões, apenas advindos de source-nat, ou seja, de dentro da rede para fora, adicionando o timestamp(em formato epoch/unix timestamp) e solicitando o formato extended, que traz umas informações a mais.
    Jogar essa saída para um arquivo qualquer, para syslog, ou para um servidor remoto é algo bastante trivial partindo deste ponto.

    OBS: Olhando rapidamente os comandos do EdgeOS, também encontrei o seguinte:
    set system conntrack log
    Tem várias opções que permitem escolher estado das conexões para logar, protocolo, etc. Provavelmente vai jogar tudo para o syslog do sistema, então bastaria redirecioná-lo para um servidor syslog externo, e voilá...

    Pra quem quer quer leia esse post: Recomendo atenção especial ao usar esses comandos em um EdgeRouter Lite, pois o armazenamento dele é feito em um pendrive comum que fica dentro do chassi, e escritas constantes neste dispositivo irão, com toda certeza, reduzir drasticamente o tempo de vida útil desse tipo de mídia de armazenamento, estejam avisados!

    R4V3R , lendo sua opinião e principalmente o que voce destacou em vermelho (pois tenho interesse no assunto) o uso excessivo do USB no caso da linha Edge Lite e a POE que também faz uso de um pendrive para o armazenamento do sistema, isso para você e um problema?
    Sei que uma solução linux seria o ideal para o mesmo mas isso geraria mas custos e se posso usar o ER para isso e mandar o log para um servidor na nuvem seria o ideal.
    Em função disso você acha o ER-X melhor por usar memória flash para isso?
    Mesmo tendo um tamanho menor se não me engano 256Mb NAND no ER-X, contra 2Gb?
    Pois estou querendo explorar mas funções no ER e estou na duvida entre o ER-POE (não tenho necessidade do POE na minha rede hoje tenho apenas um unifi AP) e o ER-X.
  • R4V3RR4V3R 8484 Pontos
    @alexramalho, isso depende na verdade. É possível gravar logs de qualquer regra de firewall criada no EdgeOS, inclusive traduções NAT, conforme solicitados pelo Marco Civil. Estes logs são gravados no arquivo /var/log/messages do roteador, que não é gravado diretamente em sua memória flash, mas sim fica residente em memóriam RAM apenas, o que significa que será apagado num reboot, porém pode ser redirecionado em tempo real para um servidor syslog externo, sem problemas.
    De fato, após este post, eu estudei mais a fundo as regras de firewall e opções disponíveis para gravar logs de traduções NAT, e hoje utilizo uma combinação de regras do EdgeOS com a opção LOG, em conjunto com o redirecionamento dos logs para um servidor syslog externo. Nada do outro mundo, coisa bem simples mesmo..
  •  @R4V3R, Ok Obrigado vou testar isso.
Entre ou Registre-se para fazer um comentário.