Mandi! Massimo Giaimo
In chel dì si favelave...
MG> come sapete entro il 15 dicembre ogni azienda dovrà adeguarsi al
MG> provvedimento del Garante della privacy relativo al controllo delle
MG> attività degli amministratori di sistema. Volevo sapere se qualcuno in
MG> lista ha già avuto modo di testare qualche prodotto ed eventualmente se
MG> potesse dare un giudizio sui pro e sui contro delle soluzioni provate.
Arrivo come sempre tardi su questo thread, ma spero di non dire
(troppe) cavolate, anzi spero di dire cose utili e che magari qualcuno
mi completi un po' qualche tassello mancante.
Allora, innanzitutto concordo che il provvedimento del garante è
assolutamente condivisibile nello spirito, e che il 'livello di
paranoia' (e quindi le modalità di gestione 'sicure') non è fisso ma
deve essere scientamente definito a priori dall'azienda.
Concordo anche sul fatto che visto che si deve implementare questo
accorcchio, è bene prevedere che sia abusato ben oltre le misure minime
del garante, ma magari usato per collezionare eventi di altro tipo (nel
rispetto della privacy dei dipendenti).
Io mi sono orientato verso una appliance, ed esattamente perchè non
avevo nessuna intenzione di perder tempo a mettere in piedi e fare il
fine tuning della parte di reporting.
Il prodotto non è di quelli blasonati (che ho scartato per le
dimensioni e la struttura della mia azienda...) ma di una ditta
italiana che però ha fatto un prodottino per me molto interessante (non
l'ho ancora comprato, quindi se questa email vale come buono-sconto...
;-):
http://www.securelog.it/
Sostanzialmente usa syslog oppure un client 'propietario' per
reccogliere gli eventi nella appliance, dove è montato sawmill per il
reporting.
In generale mi sono anche messo a guardare le soluzioni libere, o a
pensare di costruirne una, ma (a parte la reportistica, come dicevo,
che non è un problema occorre solo avere tempo e volgia di farla...) ci
sono tre problemi (a mio avviso):
1) lo storage sicuro: non è un problema insormontabile, forse è la
parte più facile, ma certo occorre prendere un server e 'inscatolarlo'
per bene, in contesti critici potrebbe essere una bella sfida.
2) il trasferimento sicuro (safety) dei log: syslog su udp non è
sicuramente il candidato, usare syslog su tcp potrebbe andare ma
occorre tenere in considerazione che il provvedimento si applica anche
ai client, e quindi anche ai client nomadici o con connettività non
always on.
Occorre un sistema che implementi un trasferimento dei log in maniera
'offline', e potrebbe essere RELP:
http://www.rsyslog.com/doc-relp.html
http://www.librelp.com/
implementato che io sappia in rsyslog e basta.
3) il trasferimento sicuro (security) dei log: non per tutti potrebbe
essere un requisito (nel senso che i log è sufficiente che vengano
timestampati e hashati sul server...), ma qualcuno potrebbe volere
anche questa sicurezza.
Ho scoperto che esiste una apposita draft:
https://datatracker.ietf.org/idtracker/draft-ietf-syslog-sign/
con una implementazione:
http://syslog-sec.sourceforge.net/
ma non conoscendo bene come girano le cose in IETF non capisco se è una
cosa 'seria' o se ne parla da anni e non si conclude nulla. ;-)))
A naso in questo momento per implementare una soluzione totalmente
libera sarebbe necessario implementare (o pacciare) un server syslog di
modo che supportasse 2) e 3) (se riescono a convivere...), e farlo
ovviamente per tutti i sistemi operativi, quindi anche per windows.
Spero questo post possa essere utile, e magari se qualcuno ha qualche
altro pezzettino per il puzzle...
--
Errare è umano, ma per fare veramente casino
ci vuole la password di root (Zio Budda)
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
