Piergiorgio Venuti wrote:

> Ciao,
> vorrei segnalare che esistono prodotti di mercato (evito di fare
> pubblicità visto che la mia società ne fornisce uno) in grado di
> conservare i log messages in database cifrati proprietari.
> Se la "macchina" contenente il db venisse violata resterebbe ancora
> da violare il db per alterare i dati.
> Ovviamente da admin del server che
> raccoglie i log si potrebbe cancellare il db ma per questo motivo ci
> devono essere policy di disaster recovery che archiviano il db in
> altri siti.
> Concordo che un hash di un archivio salvato tra l'altro nella stessa
> posizione dell'archivio non da nessuna garanzia di inalterabilità.

Buongiorno,
personalmente ritengo che lo spirito con cui il Garante della Privacy abbia in mente l'ormai noto provvedimento sia quello di iniziare a mettere un freno alla assoluta libertà e conseguente impunità di utilizzo e manipolazione di dati (personali e sensibili) da parte degli amministratori di sistema.
A poco serve fare terrorismo psicologico, cercando di interpretare, talvolta per evidenti e più o meno giustificabili fini commerciali, nella maniera più restrittiva ed "integralista" alcune parole del provvedimento.
Esistono anche soluzioni software completamente gratuite (alcune open source) in grado di fornire supporto all'applicazione del decreto.

L'adeguatezza delle misure che qualsiasi azienda intenderà adottare è responsabilità delle persone e del loro buon senso in primis; la tecnologia viene dopo.

Nessuna soluzione, infine, riuscirà mai ad eliminare dalla mente di chiunque, compresa la mia, la fatidica domanda: "Quis custodiet ipsos custodes?".

Luca Caldiero.


__________ Information from ESET NOD32 Antivirus, version of virus signature database 4562 (20091101) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

On 10/11/2009 20:51, Stefano Zanero wrote:
>> > Concordo che un hash di un archivio salvato tra l'altro nella stessa
>> > posizione dell'archivio non da nessuna garanzia di inalterabilità.
>
> Ne' la cifratura con una chiave che sta nella memoria della macchina
> violata.

come qualcun altro su questa lista pensavo ad una soluzione "fatta in
casa" con una firma con marca temporale. secondo voi sarebbe una
soluzione valida?

un'altra idea, per evitare la marca temporale, era quella di inviare gli
hash dei log su una casella pec che ne certifichi quindi l'orario di
ricezione...

ovviamente i log sarebbero modificabili dalla ricezione dell'evento fino
al momento in qui verrebbero processati/marcati temporalmente.

--
ciao,
Fabio.

Piergiorgio Venuti wrote:

> Non si parla di quello, è un db che utilizza certificati x.509, la
> cifratura è asimmetrica ed è largamente utilizzata.

Quindi proteggi la confidenzialita', non l'integrita', dei dati.

> No fino a quando non viene ottenuto il certificato con la chiave privata
> che non è conservato sulla macchina. Poi qui si potrebbe parlare una
> vita, posso darti ragione ma direi che è un buon livello di sicurezza.

E' un ottimo livello di sicurezza, se dovessi impedire la sottrazione di
quei log. Invece il problema e' garantirne l'integrita', quindi
ovviamente cifrarli con una chiave pubblica non serve a un ciufolo.

> Non credo che stia in memoria, poi lascio la palla alla mia ignoranza

Se non sta in memoria chi e' che la digita a ogni riga di log ? :-)

Lo stesso che inserisce la smart card per firmare digitalmente e marcare
temporalmente, immagino ! :-)

> Sono comunque bene accetti altri suggerimenti.

Un server syslog su cui gli amministratori non abbiano accesso ?

--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: ***@elet.polimi.it
Web: http://home.dei.polimi.it/zanero/

In data mercoledì 11 novembre 2009 20:13:26, Piergiorgio Venuti ha scritto:
> > > Se la macchina e' violata, il DB e' violato.
> No fino a quando non viene ottenuto il certificato con la chiave privata
> che non è conservato sulla macchina. Poi qui si potrebbe parlare una
> vita, posso darti ragione ma direi che è un buon livello di sicurezza.

Mi permetto di dissentire, perchè l'ho sentita troppe volte la favoletta della
cifratura anti-violatura.
Il pregresso potrebbe (dico potrebbe perchè dipende da tanti fattori, non
ultimo come posso garantire che l'aggressore non sostituisca il dato?) restare
al sicuro, ma da quel momento in poi mi gioco tutto. Certamente Piergiorgio
sarà un'ovvietà anche per te, ma tanto per essere chiari sulla cosa. Poi
quello che si ritiene "buon livello" dipende: in genere vedo grandi
investimenti in misure di sicurezza piuttosto poco utili e poi mancano le
patch sui controller, per cui sono un pò conservativo sulla materia :-P

Personalmente mi sembrano leziose molte valutazioni: stiamo parlando di
applicare meccanismi di monitoraggio per l'utente amministrativo per sistemi
operativi che semplicemente non sono in grado di offrire la funzionalità in
modo strutturato.

Possiamo certamente inventarci un sacco di voli pindarici, ma dato che non
possiamo semplicemente risolvere il problema in modo che non ci siano falle,
secondo me la cosa migliore in questo caso è focalizzarsi su un livello
ragionevole, senza aggiungere troppe infrastrutture e magari sfruttando
l'occasione per altro.
Per fare un esempio <vendor mode>potrebbe essere una ottima idea sfruttare la
necessità di installare un agent sulle macchine per integrarle in una
soluzione di monitoraggio più esteso delle performance </vendor>, mentre
investire fiori di quattrini in soluzioni hardware di storage worm mi sembra
piuttosto inutile.

Just my 2 cents.

--
Claudio Criscione

Secure Network S.r.l.

>> Luca Caldiero wrote:
>> Esistono anche soluzioni software completamente gratuite (alcune open
>> source) in grado di fornire supporto all'applicazione del decreto.

>Salve,

>Sono molto interessato a quello che scrive, perchè sto studiando come adempiere a alle richieste del provvedimento, ma portarmi in casa altro software proprietario da gestire, non ho proprio voglia.

>Sarebbe così gentile da indicarmi alcuni software open source?

>Grazie
>Alfredo Speranza

Gentile Alfredo Speranza,
putroppo gli elementi che mi ha fornito sono piuttosto scarni e mi fanno porre una domanda fondamentale: è sicuro di dover adempiere al provvedimento del Garante della Privacy?

Mi permetto quindi di fare alcune assunzioni, ovviamente personali:

1) La "casa" a cui fa riferimento è un'azienda/istituzione che si deve adeguare al provvedimento.
2) Lei sta valutando, seppure sia facoltativo e mai menzionato come obbligatorio dal Garante, l'ipotesi di dotarsi di uno strumento che permetta una gestione "centralizzata e sicura" dei log prodotti.
3) Il suo ruolo nella "casa" prevede l'assunzione formale di responsabilità per l'applicazione del provvedimento.
4) Lei è conscio del fatto che l'espressione "open source" non significhi "a costo zero" e che l'adozione di qualsiasi software implichi una qualche forma di gestione.

Fatte queste doverose premesse, la migliore soluzione open source in grado di fornire supporto (ed evidenzio la parola "supporto") per adempiere al provvedimento del Garante per la protezione dei dati personali è, a mio modesto avviso, syslog-ng. Il prodotto, nella sua edizione open source, è reperibile al seguente indirizzo:

http://www.balabit.com/network-security/syslog-ng/opensource-logging-system

Tuttavia tale soluzione presenta alcune limitazioni per quanto concerne il recupero dei log da ambienti "Microsoft Windows" che, nel bene o nel male, rappresentano la stragrande maggioranza delle postazioni client aziendali.
Per rispondere a questa esigenza la mia indicazione ricade invece sul prodotto Snare, sempre nella sua versione open source, reperibile al seguente indirizzo:

http://www.intersectalliance.com/projects/EpilogWindows/index.html

In ultima istanza le riporto un estratto di una delle "FAQ" presenti sul sito del Garante della Privacy (fonte: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#4), che, dando ottimo esempio di semplificazione nella comunicazione tra lo Stato ed il Cittadino, invita comunque a valutare anche soluzioni di tipo più complesso.

---
"4) Relativamente all'obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?"

[...] Sarà comunque con valutazione del titolare che dovrà essere considerata l'idoneità degli strumenti disponibili oppure l'adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l'utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell'integrità delle registrazioni.
---

Ultima considerazione: ritengo che spesso non comunicare alcune informazioni significhi mentire.
Concludo quindi il mio intervento facendo presente che lavoro per un'azienda che offre sul mercato una soluzione in grado di aiutare le aziende sulla tematica in oggetto.
L'azienda per la quale opero non è comunque in nessun modo legata da rapporti contrattuali di natura commerciale con le software house "Balabit" (produttrice di syslog-ng) o "InterSect Alliance" (produttrice di Snare).

La ringrazio per l'attenzione e le auguro un felice fine settimana,

Luca Caldiero.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Il giorno 12/nov/09, alle ore 12:21, Alfredo Speranza ha scritto:

>
>> Luca Caldiero wrote:
>> Esistono anche soluzioni software completamente gratuite
>> (alcune open source) in grado di fornire supporto
>> all'applicazione del decreto.
>
> Salve,
>
> Sono molto interessato a quello che scrive, perchè sto studiando
> come adempiere a alle richieste del provvedimento, ma portarmi in
> casa altro software proprietario da gestire, non ho proprio voglia.
>
> Sarebbe così gentile da indicarmi alcuni software open source?
>
> Grazie
> Alfredo Speranza
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

Ciao a tutti,

anch'io sarei interessata a soluzioni open.

Per ora sto pensando di ricorrere al parsing dei secure log per gli
accessi ssh alla macchina...ma i concetti (e i programmi temporali)
sono ancora un pò fumosi...

Grazie!

Ciao
M.E.________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Alfredo Speranza wrote:

> Mi permetto di dissentire perchè praticamente ogni azienda ha sui
> propri sistemi informatici almeno indirizzo e/o numero di telefono
> dei propri dipendenti; già questi sono dati personali

Quello a cui si faceva riferimento e' l'esenzione che si ritrova qui:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218

> una domanda x S. Zanero: ho visto che consiglia l'adozione di un
> syslog server per adempiere al decreto. Questo syslog non deve essere
> accedibile dagli amministratori di sistema, ma solo al "controllore",
> cioè al "titolare del trattamento" dei dati personali (legge 675 del
> 96).

La legge 675/96 e' abrogata.

> Supponiamo, come spesso lo è, questo titolare non sia un tecnico
> e quindi non sia in grado di gestire e garantire la continuità di
> questo servizio,

Come e' gia' stato spiegato, e' sufficiente suddividere il segreto (e
peraltro non riesco a immaginare in che modo l'indisponibilita' di un
servizio di logging possa creare un problema di continuita'...).

--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: ***@elet.polimi.it
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

--- Sab 14/11/09, Luca Caldiero <***@consoft.it> ha scritto:

>> Tuttavia tale soluzione presenta alcune limitazioni per quanto
>> concerne il recupero dei log da ambienti "Microsoft Windows" [...] Per
>> rispondere a questa esigenza la mia indicazione ricade invece sul
>> prodotto Snare, sempre nella sua versione open source, reperibile al
>> seguente indirizzo:

--- Sab 16/11/09, Alfredo Speranza <***@yahoo.it> ha scritto:

> E se la mia esigenza fosse quella di gestire una ambiente eterogeneo: macchine win e linux, Db
> Oracle e Sqlserver, integrazione con log di accesso sui firewall o su altri device, cosa mi
> consiglierebbe?

Buonasera,
consiglierei a lei di valutare anche la soluzione proposta dall'azienda per cui lavoro, che si basa sul prodotto splunk ( http://www.splunk.com , http://www.splunk.it ), prodotto dall'omonima società statunitense e distribuito in Italia da Consoft Sistemi S.p.A..

Esistono inoltre, reperibili su internet, diversi esempi e wiki relativi all'integrazione tra splunk e prodotti quali nagios e ossec.

Distinti saluti.

Luca Caldiero
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Alfredo Speranza wrote:
> I software da me testati, se sono sviluppati su piattaforma
> windows non contemplano che esistano altri sistemi se non windows, e
> purtroppo devo dire che è vero anche il viceversa, ma più per la
> difficoltà di integrazione che per una reale volontà.

Syslog-ng, almeno nella versione a pagamento (premium), ha un agente che
può leggere gli eventi di Windows. Mi pare che anche altri strumenti
basati su syslog abbiano questa possibilità (conversione
windows/syslog). In generale, mi sembra comunque più semplice
interfacciare con windows uno strumento fatto per altri ambienti che
viceversa, perché nel primo caso ci si deve occupare di una sola
"eccezione", che per quanto rilevante in termini di numero di sistemi
dal punto di vista delle tipologie di agenti e di problemi rimane una.

ciao

- Claudio

--

Claudio Telmon
***@telmon.org
http://www.telmon.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Alfredo Speranza ha scritto: in data 15/11/2009 23.01:
> La casa è un azienda di circa 400 persone, che si deve adeguare al provvedimento. Tra l'altro, ne approfitto per intervenire a questo proposito, ho letto alcuni interventi che asseriscono il fatto che non tutte le aziende debbano adeguarsi al provvedimento del Garante. Mi permetto di dissentire perchè praticamente ogni azienda ha sui propri sistemi informatici almeno indirizzo e/o numero di telefono dei propri dipendenti; già questi sono dati personali e quindi soggetti al decreto del garante.
>
basterebbe leggere meglio il decreto, nella sua interezza, e quanto di
altro è stato scritto di seguito anche dal garante stesso per comprender
la reale portata del provvedimento.
la tenuta dei una rubrica dei dipendenti è un fatto di ordinaria
amministrazione , esiste il bisogno di reperibilità per continuità di
servizio, reperibilità per sicurezza delle persone ( avviso dei parenti
in caso di incidente ), l'esempio non è quindi calzante.
Invece devo dire che i trattamenti derivanti dai sistemi vds, se non
strettamente necessari alle operazioni di produzione (vedasi laboratori
automatizzati) , mettono fuori semplificazione l'azienda.

Molte aziende effettuano trattamenti che in fin dei conti nulla hanno a
che fare con il reale bisogno e questa semplificazione è una ulteriore
occasione per rivedere i propri bisogni informativi bilanciandoli con
reali interessi, costi e "mancate semplificazioni " o "nuovi obblighi" .
Sono convinto , e l'aver conosciuto intimamente molte aziende grandi e
piccole mi conforta, che le aziende che necessitano concretamente del
ADS siano poche , ciò non toglie che sia comunque necessario iniziare a
controllare queste figure che speso hanno abusato della loro posizione,
spesso anche inconsciamente diciamo per abitudine, ritardando lo
sviluppo aziendale , diretta conseguenza di un errata applicazione di
regole e metodologie IT .


>> 2) Lei sta valutando, seppure sia facoltativo e mai
>> menzionato come obbligatorio dal Garante, l'ipotesi di
>> dotarsi di uno strumento che permetta una gestione
>> "centralizzata e sicura" dei log prodotti.
>>
>
> Sto valutando dei software per garantire all'azienda dove lavoro, di essere in regola con il decreto del garante. Onestamente sto vedendo tanti software raffazzonati che non fanno quello che garantiscono, addirittura ho assistito a una presentazione penosa di un commerciale che vendeva un software e non sapeva nemmeno come funzionava.
Ecco un altro valido motivo per avere ordine in una professione
estremamente importante nella realtà industriale e non solo.
>> 3) Il suo ruolo nella "casa" prevede l'assunzione formale
>> di responsabilità per l'applicazione del provvedimento.
>>
>
> No, io sono il network e telco manager, anche se amministro quasi tutta la sicurezza informatica dell'azienda (antivirus, AAA, firewall, IDS, ecc.), ma la responsabilità formale è del mio capo. Infatti in questo momento sto operando su suo mandato.
>
>
E quindi con "responsabilità", è divertente avere continue conferme
della italica antipatia e repulsione alla responsabilità.
> una domanda x S. Zanero: ho visto che consiglia l'adozione di un syslog server per adempiere al decreto. Questo syslog non deve essere accedibile dagli amministratori di sistema, ma solo al "controllore", cioè al "titolare del trattamento" dei dati personali (legge 675 del 96). Supponiamo, come spesso lo è, questo titolare non sia un tecnico e quindi non sia in grado di gestire e garantire la continuità di questo servizio, ciò non può essere pericolo per l'azienda, perchè chi dovrebbe controllare non è stato dotato di uno strumento ideoneo per fare ciò?
>
>
e chi lo dice? , cosa significa controllo ?
l'amministratore di un'azienda non è detto che sappia stare in linea di
montaggio , non è detto che sappia ad esempio costruire ciò che la sua
azienda vende eppure ne ha il controllo e la suprema responsabilità.
Tanto per fare un riferimento il recente processo di torino (incendio)
ha portato alla sbarra, come responsabile di tutto , non il responsabile
della sicurezza ma direttamente l'amministratore delegato a
dimostrazione che le responsabilità non sempre si legano a concetti di
"pratica conoscenza".
Nella 196 il reale responsabile è chiaramente identificato il titolare
del trattamento , la lageg ben sa che questi può non avere tutte le
conoscenze preventivabili e difatti lo affianca da altri soggetti pero
mantiene su di lui il concetto di responsabile, di "capo". Il comandante
di una nave spesso neanche sa come è fatto il motore che permette alla
sua nave di andare avanti però lui ne è sempre e totalmente
responsabile, si affianca da collaboratori .
Il provvedimento sugli ADS introduce un serio problema e ne da una
prima valida soluzione , introduce il concetto che ne sistema
informativo esistono soggetti "fuori controllo" , soggetti che con varie
scuse e a vario titolo hanno di fatto sottratto il "potere del capo" al
capo ovvero a colui che oggi è identificato come il titolare del
trattamento, ebbene questi deve ritornare a essere il "capo" e deve
imparare a circondarsi da soggetti che possono affiancarlo nel suo
lavoro di titolare del trattamento. Gli obblighi di scelta e selezione ,
tramite criteri del tutto soggettivi seppur proiettati verso un punto
ben definito, oltre che "controllo operativo", sono di fatto la
soluzione al problema.
Compito del tecnico è mettere il titolare in condizioni di assolvere al
dettato secondo i suoi criteri ( suoi del titolare) e non secondo
proprie personali idiosincrasie spesso figlie di atavici timori
risultanti di una incultura generale sul reale ruolo che si ricopre.

La prima cosa che mi viene in mente di dire al fine di scegliere una
soluzione al problema specifico e di sceglierla tenendo sempre ben
presente, e in primo piano, chi è il reale utilizzatore e cosa deve
farne ovvero a cosa gli deve servire.

e come diceva un verso di una nota canzone . tutto il resto è .......

rino

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Alfredo Speranza wrote:

>> La legge 675/96 e' abrogata.
>
> Bisognerebbe anche informare il Garante, visto che sul sito alla pagina "normativa --> italiana" risulta presente:
> http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FLa+legge+n.+675

Bisognerebbe leggere le leggi:
Art. 183. Norme abrogate

1. Dalla data di entrata in vigore del presente codice sono abrogati:

a) la legge 31 dicembre 1996, n. 675;

(ex 196/2003)

> E in ogni caso la figura del "titolare del trattamento" non è e non può essere abbrogata.

E chi l'ha mai abrogata ? :-)

> Per questo credo che sia opportuno fornire un servizio facile da gestire da chi non è un tecnico.

Che il titolare abbia bisogno di opportuni cruscotti e meccanismi di
controllo di quel che accade e' pacifico, anche perche' non c'e' mica
solo la 196 in circolazione, ma pure la 231...

--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: ***@elet.polimi.it
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

On 17/nov/2009, at 12.19, Alfredo Speranza wrote:

> Stefano Zanero wrote:
>
>> La legge 675/96 e' abrogata.
>
> Bisognerebbe anche informare il Garante, visto che sul sito alla pagina "normativa --> italiana" risulta presente:
> http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FLa+legge+n.+675
>
> E in ogni caso la figura del "titolare del trattamento" non è e non può essere abbrogata.
>
>> (e peraltro non riesco a immaginare in che modo l'indisponibilita' di un
>> servizio di logging possa creare un problema di continuita'...)
>
> Evidentemente non si sono spiegato bene, mi scuso. Non parlavo di continuità del business (business continuity), ma bensì della contunità del servizio di "collezionamento" dei log di accesso degli amministratori.
> Supponiamo che il syslog vada a "ciampanelle" e il titolare del trattamento dei dati sensibili non se ve accorga, supponiamo anche dopo un periodo di tempo medio lungo arrivi un audit del garante. Il titolare non sarà più in grado di produrre alcun log di accesso degli amministrator, quindi l'azienda sarà multata o nel peggiore dei l'amministratore delegato (o il rappresentante legale) sarà processato penalmente.
> Per questo credo che sia opportuno fornire un servizio facile da gestire da chi non è un tecnico.
>
> Alfredo
>
>
Penso che Alfredo abbia messo alla luce qualcosa che molti stanno trascurando e che nella fretta di prendere la cosa migliore al costo più basso stanno sottovalutando.
Penso che sia chiaro che il Garante ha un disegno in testa che sia di più lunghe mire.
Il garante nella sua intestazione della norma, per quello che riguarda la mia interpretazione, dice che vuole evincere che le attività fatte dagli operatori per puro scopo di amministrazione dei sistemi dove vengono mantenute informazioni ritenute sensibili e personali si possa fare con un report annuale.

1a Domanda: Ma da un login ed un logout si evince che un'operatore che fa amministrazione stia facendo pura amministrazione? Forse c'è un diritto del lavoro troppo forte che adesso non permette di poter fare loggin anche di quello che fa?

2a Domanda: Ci viene detto di tenere i log per un periodo minimo di 6 mesi e che basta un report annuale? 6 mesi log = report annuale?

Questa è solo una mia riflessione.

Dopo di che concordo con Alfredo che il garante non ha detto che dobbiamo dare l'alta affidabilità dei sistemi per la raccolta dei log. Ma comunque dobbiamo essere in grado di fronte ad una verifica di provare che i log sono stati mantenuti in modo corretto. Dice che cosa andiamo in contro nel caso in cui questo non viene fatto. Ma non dice che nel caso in cui nel controllo viene chiedo di verificare un periodo dove non siamo stati in grado per vari motivazioni di non raccogliere i log cosa succede.
Per una mia riflessione personale, secondo me la Guarda di Finanza preposta a fare questo controllo di sicuro non ci farà un plauso.

Buona giornata.


>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Stefano Fenati wrote:

> 1. Qualcuno ha in mente qualcosa per ridurre la dimensione dei log di windows, filtrando solo quelli effettivamente necessari?.

Per windows sto provando snare; puoi filtrare e mandare ad un rsylog (ad
esempio) quello che vuoi.


- --
Paolo Giardini | EUCIP Certified Professional | CCOS Regione Umbria
Privacy Officer AIP/ICTS | Direttore Osservatorio Privacy Sicurezza IT
A.I.P./ITCS|CLUSIT|GNU/LUG Perugia|AIPSI|ISSA|ILS|BackTrack.it
http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFLBICYMTCPYEjE66sRAiLcAKCfLmqeriL9troLlZirdBr/b1TVEACg55c/
LesZesw7AVpdRfDe/N2XYa8=
=2TTq
-----END PGP SIGNATURE-----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

2009/11/18 Stefano Fenati <***@terremerse.it>:

> 2. Qualche idea su come intervenire per "catturare" i log dell'as400?

Da quello che ho letto in giro, lo strumento da usare è l'audit
journal. In forma nativa, mi pare di capire che potrebbe anche
soddisfare il requisito di non alterabilità, dato che non c'è nulla
nel sistema operativo che permetta di modificare questi oggetti,
neppure spostandoli su un altro sistema. Però mi sa che ti scordi
l'integrazione con sistemi di log centralizzato..
Non credo purtroppo che sia tra le caratteristiche del sistema più
semplici da affrontare..

--
Ciao,
P.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Stefano Fenati wrote:
> Problema: windows
> genera una montagna di informazion (inutili) che non sono ancora
> riuscito a filtrare, creando un problema di dimensione dei file di
> log (che vanno conservati per almeno sei mesi). In un giorno mi hanno
> generato 32Mbytes di log.

Non mi sembra tanto in senso stretto, se è la produzione complessiva. In
fondo si tratta di circa 10 Giga all'anno, se non sbaglio i conti.
Naturalmente se la maggior parte è informazione inutile uno ne farebbe a
meno ;)

> DOMANDE: 1. Qualcuno ha in mente
> qualcosa per ridurre la dimensione dei log di windows, filtrando solo
> quelli effettivamente necessari?. 2. Qualche idea su come intervenire
> per "catturare" i log dell'as400?

Premetto che è una funzionalità che finora ho esaminato sulla carta
perché stiamo valutando se considerarla presso un cliente, comunque
syslog-ng premium ha un agente per iSeries, non so se fa al caso tuo.
Inoltre, ha dei meccanismi di marcatura e filtraggio dei messaggi, e se
vogliamo anche riscrittura, (questi in buona parte li ho provati) che ti
permettono di fare parecchio, già lato agent anche su windows. C'è anche
un meccanismo di throttling (limitazione lato agent dl numero di eventi
per secondo inviati al server) e la possibilità di leggere "in tail" da
un file, ad esempio un log generato da un applicativo. Non so se faccia
tutto quello che ti serve, ma si può scaricare in prova e l'assistenza
finora mi è sembrata molto disponibile anche avendo la versione in prova.

ciao

- Claudio

--

Claudio Telmon
***@telmon.org
http://www.telmon.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

* Stefano Fenati:
>
> Per le macchine windows, ho installato un agent free che invia gli
> eventi al syslog server. Problema: windows genera una montagna di
> informazion (inutili) che non sono ancora riuscito a filtrare, creando
> un problema di dimensione dei file di log (che vanno conservati per
> almeno sei mesi). In un giorno mi hanno generato 32Mbytes di log.
> In ultimo l'AS400. Da giorni mi sto perdendo su vari forum per capire
> come posso "passare" al syslog server le info di login, senza nessun
> risultato concreto. Ho pensato anche ad un programmino che trasmette
> il log da eseguire alla login/logaut dell'amministratore.
> DOMANDE:
> 1. Qualcuno ha in mente qualcosa per ridurre la dimensione dei log di
> windows, filtrando solo quelli effettivamente necessari?.

Vedo che hai scelto la strada più semplice, come ho fatto io.
Il concetto di autenticazione del dominio Windows, in effetti, è un po'
"allargato" :-) e ci sono moltissime entry per qualsiasi cosa venga
effettuata ma, se ci pensi, è giusto così: un "accesso" non deve per forza
essere interattivo (terminal server o console) ma ci sono anche quelli a
condivisioni file, stampanti, semplici accessi in rete delle macchine del
dominio, etc.
Mi sa che dobbiamo conservarci tutto e trovare pure un modo di
interpretarlo all'occorrenza ;-)

--
Domenico Viggiani

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List