Ciao a tutti,
mi riferisco alla legge sulla privacy che impone di mantenere i log di accesso degli utenti (e di navigazione Internet degli stessi) per 2 anni.
E' possibile farlo con gli ASA ?
grazie
Andrea
gestione Log navigazione utenti con ASA
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Obviously yes ma non credo sia di facile gestione nè lettura, inoltre temo che l'ASA rischierebbe di sedersi a loggare ogni cosa. Il problema è che con un proxy riesci a loggare solo le cose che ai gendarmi possono interessare, mentre con l'ASA logghi ogni PACCHETTO! Capisci anche tu che la difficoltà di ricreare poi le comunicazioni non sarebbe banale.
Cmq qui c'è un link generico che tratta del loggin e del troubleshooting dell'asa
http://www.cisco.com/en/US/products/ps6 ... 35e7.shtml
Prova a vedere se trovi qualcosa che ti vada bene, in ogni caso io andrei con un transparent proxy, per lo meno per la navigazione.
Rizio
Cmq qui c'è un link generico che tratta del loggin e del troubleshooting dell'asa
http://www.cisco.com/en/US/products/ps6 ... 35e7.shtml
Prova a vedere se trovi qualcosa che ti vada bene, in ogni caso io andrei con un transparent proxy, per lo meno per la navigazione.
Rizio
Si vis pacem para bellum
-
- n00b
- Messaggi: 13
- Iscritto il: mar 22 set , 2009 2:44 pm
perfetto, ma a me interessa solo essere a "norma" , quindi se è necessario avere i log di navigazione utenti posso sbattergli in mano mattonate di log dell'ASA?
In alternativa l'ASA non ha un modulo proxy da utilizzare?
grazie ancora
In alternativa l'ASA non ha un modulo proxy da utilizzare?
grazie ancora
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Con i log dell'ASA non sò se sei "compliant" perchè sapere "che" IP è andato su "quale" ip forse non risponde alla domanda di "cosa ha visitato". Non sò, bisognerebbe informarsi da fonti più attendibili [di me].
Per il modulo proxy è una bella domanda in effetti, sò che trendmicro faceva un modulo antivirus e antispam ma che era relativamente costoso (tra acquisto e licenze varie), sarebbe interessante avere delle informazioni anche su questo....
Per quanto mi riguarda come ti dicevo ho risolto mettendo un proxy ftp e http e tutto il resto chiuso.
Rizio
Per il modulo proxy è una bella domanda in effetti, sò che trendmicro faceva un modulo antivirus e antispam ma che era relativamente costoso (tra acquisto e licenze varie), sarebbe interessante avere delle informazioni anche su questo....
Per quanto mi riguarda come ti dicevo ho risolto mettendo un proxy ftp e http e tutto il resto chiuso.
Rizio
Si vis pacem para bellum
-
- n00b
- Messaggi: 2
- Iscritto il: mer 10 ott , 2012 9:46 am
Rizio ha scritto:Con i log dell'ASA non sò se sei "compliant" perchè sapere "che" IP è andato su "quale" ip forse non risponde alla domanda di "cosa ha visitato". Non sò, bisognerebbe informarsi da fonti più attendibili [di me].
Per il modulo proxy è una bella domanda in effetti, sò che trendmicro faceva un modulo antivirus e antispam ma che era relativamente costoso (tra acquisto e licenze varie), sarebbe interessante avere delle informazioni anche su questo....
Per quanto mi riguarda come ti dicevo ho risolto mettendo un proxy ftp e http e tutto il resto chiuso.
Rizio
Non sei compliant con i log Cisco forniti dall'ASA e nemmeno con i log raccolti su un Syslog server dedicato.
L'unica è quella di loggare a livello proxy e trovi un mondo di prodotti per fare questo.
ps. ricordati di "parlare" con il Management aziendale per creare una sorta di disclosure agreement da far firmare ai dipendenti per rispettare la privacy e le normative attuali
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Sei sicuro di essere nella posizione che ti obbliga a tenere log ?andrew24 ha scritto:Ciao a tutti,
mi riferisco alla legge sulla privacy che impone di mantenere i log di accesso degli utenti (e di navigazione Internet degli stessi) per 2 anni.
E' possibile farlo con gli ASA ?
grazie
Andrea
Leggiti :
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
e
http://www.ciscoforums.it/viewtopic.php?t=11465
quest'ultimo tratta del wireless in particolare ma ci ho messo anche i link ai decreti.
-
- n00b
- Messaggi: 13
- Iscritto il: mar 22 set , 2009 2:44 pm
Sei sicuro di essere nella posizione che ti obbliga a tenere log ?
Leggiti :
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
e
http://www.ciscoforums.it/viewtopic.php?t=11465
quest'ultimo tratta del wireless in particolare ma ci ho messo anche i link ai decreti.[/quote]
magari non è proprio un obbligo, ho avuto una segnalazione in cui la polizia postale è intervenuta presso una azienda richiedendo i log di accesso di navigazione degli utenti, a fronte di una denuncia il cui reato è stato commesso dall'interno della lan del cliente.
In quel caso se non si ha alcun log? con la sempre non chiara legge sulla privacy è sempre meglio tutelarsi.
Leggiti :
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
e
http://www.ciscoforums.it/viewtopic.php?t=11465
quest'ultimo tratta del wireless in particolare ma ci ho messo anche i link ai decreti.[/quote]
magari non è proprio un obbligo, ho avuto una segnalazione in cui la polizia postale è intervenuta presso una azienda richiedendo i log di accesso di navigazione degli utenti, a fronte di una denuncia il cui reato è stato commesso dall'interno della lan del cliente.
In quel caso se non si ha alcun log? con la sempre non chiara legge sulla privacy è sempre meglio tutelarsi.
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Si, capisco ma un conto è essere obbligati ( e che io sappia no) un conto mettere a disposizione un log che ti si può ritorcere contro.
Se un dipendente effettua frodi informatiche dalla tua rete, che io sappia, non si va incontro a nulla, fatto molto diverso se si da connetività pubblica.
Esempio molto pratico: rapina presso uno sportello dove ho installato videosorveglianza, i carabinieri mi chiedono subito la registrazione, io gli rispondo che il cliente non ha voluto spendere per apparati atti alla registrazione ( si lo so è assurdo) e la cosa è finita li.
Se un dipendente effettua frodi informatiche dalla tua rete, che io sappia, non si va incontro a nulla, fatto molto diverso se si da connetività pubblica.
Esempio molto pratico: rapina presso uno sportello dove ho installato videosorveglianza, i carabinieri mi chiedono subito la registrazione, io gli rispondo che il cliente non ha voluto spendere per apparati atti alla registrazione ( si lo so è assurdo) e la cosa è finita li.