17. 08. 2009 Patrick Zambelli Log Management, NetEye

Log auditing with NetEye

In passato sono già state anticipate notizie sulla nuova legge che riguarda la protezione dei dati personali all’interno di reti IT. Con questo articolo vorrei illustrare le funzionalità richieste da questa normativa e spiegare l’implementazione di essi dentro il modulo di login auditing di NetEye.

Come da introduzione al testo della normativa di questo articolo, il sistema di auditing deve essere in grado di raccogliere tutte le informazioni di autenticazione verso un server e servizio che contiene dati sensibili e personali. Tra questi ci sono servizi di Email, banche dati, file server, etc.

La comunicazione degli eventi di autenticazione avviene tramite protocollo syslog, utilizzato in modo nativo già all’interno e tra sistemi Linux. Il syslog server “rsyslog” diventa anche l’applicazione server per gestire la raccolta e l’interpretazione dei pacchetti syslog dei vari client. L’attivazione su sistemi Microsoft avviene tramite l’agent “Snare”, sviluppato all’interno di un progetto open source dedicato alla comunicazione di eventi e attacchi verso sistemi.  Partendo dalle possibilità di controllare le code degli eventi dei sistemi Microsoft si può anche estendere le possibilità di controllo verso altri servizi, per es. un SQL Server, come descritto in questo articolo.

Al di fuori dei sistemi Microsoft e Linux/Unix è possibile utilizzare agenti dedicati per piattaforme Sun Solaris, iServer IBM, AIX etc.

Per corrispondere alla normativa che prevede che i log raccolti nell’archivio centrale del NetEye server devono essere archiviati per almeno 6 mesi e non devono essere modificati,  si provvede di proteggere i log ricevuti da firma digitale. Questa signature viene creata tramite crittografia assimetrica ( implementazione PGP ) utilizzando gli algorithmi di RSA o DSA.

La crittografia PGP è oggi una dei sistemi di crittografia più diffusa e sicura disponibile per l’utilizzo civile e viene usata per generare firme digitali (signatures) dai file di log identificabili con il contenuto e l’ora di creazione dal file di log archiviato. Ogni modifica forzata del file e la rigenerazione delle segnature lascerebbero tracce indicando l’avvenuta manipolazione del file di log!

SyslogView console in NetEye

Per il controllo e la visione dei log raccolti sul server NetEye è stato realizzato un modulo dedicato che permette all’amministratore del NetEye log server di visionare controllare i contenuti e l’integrità dei protocolli log raccolti.

La console di controllo raggruppa i file di log per data e di seguito per server / servizio controllato. L’accesso avviene direttamente dalla console web, dalla quale è possibile anche applicare filtri di ricerca sui contenuti.

Log file browser and view

Una seconda funzione esegue un controllo online per controllare l’integrità’ dei log archiviati. Il controllo comprende un check sul timestamp del file di log dell’ultima modifica avvenuta e protocollata dal sistema. Un secondo controllo verificare che la firma digitale corrisponda ancora allo stesso valore della firma originale ( e quindi garantisce ancora una volta che si tratta del file originale ) e in successivo che l’interno della firma digitale riporta la data di creazione originale.

Signature check

Signature check

Altre view di controllo sono la visione del log del Syslog server stesso: Attività di archiviazione e realizzazione delle firma digitale giornaliera, così come la possibilità di accedere a determinate configurazioni.

Pagina di configurazione

Patrick Zambelli

Patrick Zambelli

Project Manager at Würth Phoenix
After my graduation in Applied Computer Science at the Free University of Bolzano I decided to start my professional career outside the province. With a bit of good timing and good luck I went into the booming IT-Dept. of Geox in the shoe district of Montebelluna, where I realized how a big IT infrastructure has to grow and adapt to quickly changing requirements. During this experience I had also the nice possibility to travel the world, while setting up the various production and retail areas of this company. Arrived at Würth Phoenix I started developing on our monitoring solution NetEye. Today, in my position as Consulting an Project Manager I am continuously heading to implement our solutions to meet the expectation of your enterprise customers.

Author

Patrick Zambelli

After my graduation in Applied Computer Science at the Free University of Bolzano I decided to start my professional career outside the province. With a bit of good timing and good luck I went into the booming IT-Dept. of Geox in the shoe district of Montebelluna, where I realized how a big IT infrastructure has to grow and adapt to quickly changing requirements. During this experience I had also the nice possibility to travel the world, while setting up the various production and retail areas of this company. Arrived at Würth Phoenix I started developing on our monitoring solution NetEye. Today, in my position as Consulting an Project Manager I am continuously heading to implement our solutions to meet the expectation of your enterprise customers.

Leave a Reply

Your email address will not be published. Required fields are marked *

Archive