2008/10/6 Emanuele Pucciarelli <[EMAIL PROTECTED]>:
> Salve a tutti,
>
> mi è stato chiesto di rendere "Pisanu-compliant" l'accesso a Internet degli
> ospiti di una scuola. Ho doverosamente spulciato gli archivi, e ho trovato
> purtroppo perlopiù thread sospesi a metà, così vorrei chiedere lumi agli
> iscritti a questa lista.
>
> Dico "ospiti" perché è frequentata spesso da corsisti che arrivano spesso
> dall'estero, seguono lezioni per tre-sei giorni e se ne vanno. Punterei su
> un banale sistema che leghi ogni IP interno ad un utente univoco (RADIUS,
> 802.1x, captive portal + log del DHCP, gli strumenti ci sono e sono
> parecchi) e logghi le connessioni. Il "solito" problema è che l'uscita verso
> Internet è NATtata su di un pool veramente misero di indirizzi pubblici, e
> farsene assegnare di più dal provider sarebbe probabilmente piuttosto
> costoso.
>
> Un suggerimento che transitò in lista nel passato: "chiedete alla Questura
> competente, perché ciascuna ha una propria opinione al proposito". Forte di
> questa massima, sono stato presso la Questura competente, che mi ha mandato
> alla sezione provinciale della Polpost. Lì ho parlato con una persona che mi
> ha detto che basta tenere l'indirizzo IP di partenza di ciascuna
> connessione, con data, ora e identificativo dell'utente. Ho tentato di
> spiegare che cos'è il NAT e come il solo indirizzo interno di partenza non
> sia sufficiente ad identificare l'utente che effettua la connessione, ma la
> risposta è stata del tipo "non me ne frega niente di IP, NAT e altre amenità
> tecniche; basta che quando serve siate in grado di identificare chi ha
> stabilito la connessione".
>
> Lo stesso responsabile mi avrebbe anche lasciato capire che la questione dei
> documenti d'identità è marginale, basta sapere chi è stato in qualche
> maniera; questo, ad esempio, non mi convincerebbe per nulla, e credo che i
> documenti vadano chiesti, copiati e religiosamente custoditi, dato che è una
> delle poche cose che la normativa richiede con chiarezza e senza molti
> margini di interpretazione… o mi sbaglio?
>
> Ora, leggendo il DL 144/2005, la legge 155/2005 ed il decreto del 16/8/2005
> sui dati anagrafici, mi vengono in mente diverse possibilità:
>
> 1. loggo le connessioni con il loro IP interno sorgente e basta, e se un
> giorno la polizia giudiziaria mi venisse a chiedere "chi si è collegato
> all'IP 71.62.141.87 alle 16.11 del 6 ottobre 2008?", fornirei una lista di
> una, due, dieci persone che avrebbero potuto farlo in quel momento;
>
> 2. loggo le connessioni con IP sorgente, ma anche IP+porta di destinazione.
> In questo caso andrei contro le disposizioni del Garante per i service
> provider, e mi parrebbe strano che non si applicassero ai soggetti "titolari
> e gestori" del decreto del 16/8/2005… se non si applicassero, sarei a posto;
>
> 3. loggo le connessioni con IP interno sorgente, più la combinazione
> IP+porta sorgente post-NAT. Questo presenta due problemi:
>
> 3.a) Non ho ancora trovato software già pronto che lo faccia, e temo che
> dovrei inventarmelo;
>
> 3.b) quasi mai i server HTTP, che temo possano rivestire la maggioranza di
> questi casi, loggano la porta sorgente di una richiesta, quindi potrebbe
> rivelarsi inutile, se non come tentativo di dimostrare di aver fatto il
> proprio dovere durante un'ipotetica indagine;
>
> 4. Faccio passare tutte le connessioni HTTP tramite un proxy trasparente che
> aggiunga, negli header, l'IP interno per il quale è stata eseguita
> l'operazione. Temo che anche questo non venga loggato quasi mai e si riveli
> inutile, senza considerare che non copre altri protocolli;
>
> 5. concateno IP di partenza, IP e porta di destinazione, un riferimento
> temporale preciso ma non troppo (fino ai minuti, per esempio) e salvo uno
> hash di questi dati. Partiziono lo storage degli hash in modo da minimizzare
> le probabilità di collisione ma rendere difficile un eventuale tentativo di
> tracciamento individuale di un utente o di una destinazione ("né troppo
> stretto né troppo largo", insomma); per capirci, uso un "secchio" diverso
> ogni tre mesi, o ogni uno, a seconda della quantità di connessioni. Quando
> mi chiedessero chi si è collegato in quel momento a quell'IP, non dovrei
> fare altro che prendere la lista degli IP interni attivi in quel momento,
> concatenare ciascun IP interno ai dati forniti, e verificare quale di essi
> corrisponda.
>
> Mi sembra che la (5) vada incontro alla ratio e alla lettera della legge, ma
> mi renderebbe difficile dimostrare che ho fatto il mio dovere quando
> l'errore l'avesse compiuto qualcun altro… (ma questo accadrebbe anche con
> dei log normali, no?)
>
> Sono convinto che migliaia di scuole, circoli bocciofili, circhi equestri e
> sale da tè abbiano implementato da tempo qualche modo semplice di risolvere
> questo problema, o se non di risolverlo, almeno di essere "a posto".
>
> Grazie in anticipo per qualsiasi suggerimento!
>
> --
> Emanuele
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>
Mi sono occupato del problema in merito all'ambiente universitario e
l'interpretazione applicata da parte del gruppo di studio responsabile
della privacy/sicurezza tiene conto del fatto che gli obblighi del
pisanu si applicano ai fornitori pubblici di accesso, e per
definizione scuole e università non lo sono. "Tradunt qui" questo
orientamento interpretativo sia dello stesso Garante. Ergo,
autenticazione si (cioè niente navigazione aperta al pubblico), log
delle connessioni no.
My 2 c.
Michelangelo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
