gestione Log navigazione utenti con ASA

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
andrew24
n00b
Messaggi: 13
Iscritto il: mar 22 set , 2009 2:44 pm

Ciao a tutti,
mi riferisco alla legge sulla privacy che impone di mantenere i log di accesso degli utenti (e di navigazione Internet degli stessi) per 2 anni.

E' possibile farlo con gli ASA ?

grazie
Andrea
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Obviously yes ma non credo sia di facile gestione nè lettura, inoltre temo che l'ASA rischierebbe di sedersi a loggare ogni cosa. Il problema è che con un proxy riesci a loggare solo le cose che ai gendarmi possono interessare, mentre con l'ASA logghi ogni PACCHETTO! Capisci anche tu che la difficoltà di ricreare poi le comunicazioni non sarebbe banale.

Cmq qui c'è un link generico che tratta del loggin e del troubleshooting dell'asa
http://www.cisco.com/en/US/products/ps6 ... 35e7.shtml

Prova a vedere se trovi qualcosa che ti vada bene, in ogni caso io andrei con un transparent proxy, per lo meno per la navigazione.

Rizio
Si vis pacem para bellum
andrew24
n00b
Messaggi: 13
Iscritto il: mar 22 set , 2009 2:44 pm

perfetto, ma a me interessa solo essere a "norma" , quindi se è necessario avere i log di navigazione utenti posso sbattergli in mano mattonate di log dell'ASA?

In alternativa l'ASA non ha un modulo proxy da utilizzare?

grazie ancora
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Con i log dell'ASA non sò se sei "compliant" perchè sapere "che" IP è andato su "quale" ip forse non risponde alla domanda di "cosa ha visitato". Non sò, bisognerebbe informarsi da fonti più attendibili [di me].
Per il modulo proxy è una bella domanda in effetti, sò che trendmicro faceva un modulo antivirus e antispam ma che era relativamente costoso (tra acquisto e licenze varie), sarebbe interessante avere delle informazioni anche su questo....

Per quanto mi riguarda come ti dicevo ho risolto mettendo un proxy ftp e http e tutto il resto chiuso.

Rizio
Si vis pacem para bellum
dario2662
n00b
Messaggi: 2
Iscritto il: mer 10 ott , 2012 9:46 am

Rizio ha scritto:Con i log dell'ASA non sò se sei "compliant" perchè sapere "che" IP è andato su "quale" ip forse non risponde alla domanda di "cosa ha visitato". Non sò, bisognerebbe informarsi da fonti più attendibili [di me].
Per il modulo proxy è una bella domanda in effetti, sò che trendmicro faceva un modulo antivirus e antispam ma che era relativamente costoso (tra acquisto e licenze varie), sarebbe interessante avere delle informazioni anche su questo....

Per quanto mi riguarda come ti dicevo ho risolto mettendo un proxy ftp e http e tutto il resto chiuso.

Rizio

Non sei compliant con i log Cisco forniti dall'ASA e nemmeno con i log raccolti su un Syslog server dedicato.

L'unica è quella di loggare a livello proxy e trovi un mondo di prodotti per fare questo.

ps. ricordati di "parlare" con il Management aziendale per creare una sorta di disclosure agreement da far firmare ai dipendenti per rispettare la privacy e le normative attuali
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

andrew24 ha scritto:Ciao a tutti,
mi riferisco alla legge sulla privacy che impone di mantenere i log di accesso degli utenti (e di navigazione Internet degli stessi) per 2 anni.

E' possibile farlo con gli ASA ?

grazie
Andrea
Sei sicuro di essere nella posizione che ti obbliga a tenere log ?
Leggiti :
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
e
http://www.ciscoforums.it/viewtopic.php?t=11465
quest'ultimo tratta del wireless in particolare ma ci ho messo anche i link ai decreti.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
andrew24
n00b
Messaggi: 13
Iscritto il: mar 22 set , 2009 2:44 pm

Sei sicuro di essere nella posizione che ti obbliga a tenere log ?
Leggiti :
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
e
http://www.ciscoforums.it/viewtopic.php?t=11465
quest'ultimo tratta del wireless in particolare ma ci ho messo anche i link ai decreti.[/quote]

magari non è proprio un obbligo, ho avuto una segnalazione in cui la polizia postale è intervenuta presso una azienda richiedendo i log di accesso di navigazione degli utenti, a fronte di una denuncia il cui reato è stato commesso dall'interno della lan del cliente.

In quel caso se non si ha alcun log? con la sempre non chiara legge sulla privacy è sempre meglio tutelarsi.
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Si, capisco ma un conto è essere obbligati ( e che io sappia no) un conto mettere a disposizione un log che ti si può ritorcere contro.
Se un dipendente effettua frodi informatiche dalla tua rete, che io sappia, non si va incontro a nulla, fatto molto diverso se si da connetività pubblica.

Esempio molto pratico: rapina presso uno sportello dove ho installato videosorveglianza, i carabinieri mi chiedono subito la registrazione, io gli rispondo che il cliente non ha voluto spendere per apparati atti alla registrazione ( si lo so è assurdo) e la cosa è finita li.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi