DETTAGLI

Le Componenti di LogBox

Le componenti principali di LogBox sono le seguenti:
  • Componente client installata presso i dispositivi del cliente in cui sono presenti i log da acquisire.
  • Componente server installata presso una server farm di HTS.
  • Consolle di management accessibile attraverso un browser web.

Nella seguente figura è rappresentato lo schema funzionale dell’infrastruttura di LogBox in cui sono identificabili le componenti sopra indicate.

Componente client

La componete client di LogBox è composta da un software chiamato collettore o  agente che consente di monitorare una o più sorgenti di log e di acquisire in tempo reale i log prodotti da queste sorgenti e di trasferirli alla componente server remota.

Un collettore software sarà installato in ogni dispositivo (computer, server, ecc.) dove sono generati o sono presenti i file di log da acquisire.

I log acquisiti tramite collettore software sono inviati alla componente server di LogBox in forma cifrata, tramite algoritmo Rijndael (standard AES), il quale garantisce la sicurezza e quindi l’integrità delle informazioni inviate. Alternativamente, qualora le prestazioni siano più importanti della sicurezza, è anche possibile impiegare il protocollo di trasferimento direttamente su TCP, disabilitando la cifratura, ma mantenendo comunque le altre caratteristiche che ne determinano l’alta affidabilità. 

I collettori software LogBox consentono di trasferire integralmente il contenuto dei file di log anche nei casi in cui la comunicazione con la componente server si renda momentaneamente indisponibile; i collettori software di LogBox sono, infatti, dotati di una doppia cache: la prima è mantenuta in memoria RAM e assicura la continuità del servizio in caso di brevi interruzioni, mentre la seconda viene mantenuta su disco, in modalità cifrata e permette di fare fronte a periodi di indisponibilità della rete più prolungati.

Il protocollo di trasmissione utilizzato è anche dotato di una serie di funzionalità in grado di aumentare il livello di sicurezza di LogBox e di accertarne il corretto funzionamento. Le principali caratteristiche del protocollo sono le seguenti: 

·         Segnali di keep-alive: inviati periodicamente da ciascun client al server, permettono di individuare immediatamente anomalie accidentali o dolose nelle connessioni, anche nel caso in cui il sistema si trovi in stato IDLE, senza dati da trasferire.

·         Autenticazione dei client alla connessione: all’atto della connessione ciascun client deve fornire una propria password, oltre che un checksum delle proprie caratteristiche hardware, così da minimizzare le possibilità di furto d’identità da parte di altri sistemi.

·         Tag con controlli di sequenza: impiegati anche a livello applicativo e con caratteristiche stateful tra le connessioni,  minimizzano le possibilità di attacchi di tipo “Man in the middle”.

·         Acknowledge a livello applicativo: combinati con l’impiego dei controlli di sequenza precedentemente descritti, garantiscono l’integrità delle informazioni trasferite anche nei casi in cui le sessioni TCP in essere vadano in Time Out e si rischi quindi la perdita di dati.

·         Cambio password di cifratura: la maggiore sicurezza delle connessioni e la minimizzazione dei rischi derivanti da sniffing di rete è garantita attraverso l’impiego di una negoziazione dinamica della chiave di cifratura ad ogni nuova connessione effettuata da un client (protocollo Diffie-Hellman).

·         Cambio password di autenticazione: in maniera simile a quanto considerato al punto precedente, anche a livello di autenticazione, per ogni successiva connessione, una nuova password viene generata per ciascun client.

·         Checksum sulla lunghezza dei pacchetti: anche a livello applicativo vengono effettuati checksum sulla lunghezza dei payload, a ulteriore garanzia dell’integrità dei dati trasferiti.

Nel caso di sistemi dotati di software operativo Microsoft Windows, oltre alla gestione dei comuni file di log, sono anche possibili il monitoraggio ed il trasferimento remoto degli eventi di sistema (log presenti nel registro eventi di Microsoft Windows).
Attraverso i collettori software è possibile gestire qualunque tipologia e formato di log testuale.

Componente server

La componente server di LogBox è composta dai server, dal software e dallo storage per la conservazione sicura dei dati installati e disponibili presso una o più farm di HTS. La componente server è la parte fondamentale del servizio LogBox e consente, inoltre, la gestione della comunicazione con le diverse componenti client.  

La componente server di LogBox è ottimizzata, in particolare, per la centralizzazione dei log provenienti da diversi sistemi e l’accentramento delle funzioni di controllo sui dati raccolti.

La componente server, oltre all’acquisizione dei log tramite i collettori software, supporta anche la trasmissione di dati attraverso i protocolli standard Syslog, rSyslog e Syslog NG (sia su canale UDP che TCP) consentendo a LogBox di ricevere log direttamente dai dispositivi del cliente. Con questa modalità di acquisizione, il sistema si appoggia direttamente, ove presenti, alle funzionalità ed ai protocolli per il trasferimento remoto dei log nativamente messi a disposizione da alcuni sistemi operativi o dispositivi. Questo tipo di configurazione può rivelarsi utile per il trasferimento di log da dispositivi di rete (es. firewall, router, switch ecc.) su cui non è possibile l’installazione di software aggiuntivi.

In quest’ultima modalità i livelli di sicurezza relativi all’acquisizione e al trasferimento dei dati sono quelli offerti dai protocolli standard utilizzati secondo le configurazioni impostate nei sistemi del cliente e quindi non dipendenti dal sistema LogBox.

Indipendentemente dal tipo di protocollo e metodologia di trasferimento selezionata, la piattaforma LogBox è in grado di effettuare controlli sui pacchetti ricevuti già a livello IP. La possibilità di definire regole di packet filtering consente così di minimizzare i rischi derivanti da flooding, tentativi di connessioni fasulle e attacchi di tipo DoS (Denial of Service).

Console di management

LogBox può essere gestito in modo semplice e intuitivo attraverso una interfaccia web accessibile su protocollo https mediante un comune browser e previa autenticazione. La console di management consente di rendere disponibili al cliente le funzionalità di LogBox e di gestire remotamente le configurazioni e l’operatività dei client abilitando e disabilitando la trasmissione dei log in modo centralizzato e gestendo sempre in maniera centralizzata i file e le tipologie di evento da monitorare (aggiunta, rimozione, ecc.).

Dall’interfaccia di controllo è anche possibile definire, per ciascun log archiviato, le politiche di data retention (tempi di conservazione) e rotazione (sulla base delle dimensioni raggiunte, del periodo trascorso o una combinazione delle due) che saranno poi applicate automaticamente dal sistema. 

Sempre attraverso la console di management, l’utente è in grado di gestire il proprio account di accesso (es: cambio password), consultare i log archiviati e scaricarne una copia, monitorare lo stato di funzionamento dei singoli collettori software, accedere alla documentazione tecnica e consultare i report di analisi.

Conservazione dei dati

LogBox, al fine di salvaguardare la sicurezza e l’integrità dei log salvati ricevuti dalle componenti client o direttamente tramite i protocolli standard di trasmissione, effettua la memorizzazione su un filesystem cifrato (anche in questo caso attraverso algoritmo Rijndael – standard AES o, su richiesta, Serpent o Twofish).

La chiave di cifratura é definita automaticamente per mezzo di algoritmi che tengono conto delle caratteristiche hardware e software del server LogBox impedendo l’accesso ai dati del sistema attraverso sistemi diversi da LogBox stesso e proteggendoli quindi anche nei casi di duplicazione e/o eventuale sottrazione dei  supporti di memorizzazione. 

Il sistema gestisce il periodo di conservazione dei dati in base ai parametri di configurazione impostati dal cliente e provvede automaticamente alla loro cancellazione trascorso il periodo prestabilito.

L’eliminazione di una componente client, precedentemente definita, da parte del cliente attraverso le funzioni della consolle di management comporta l’eliminazione immediata anche dei relativi  log archiviati indipendentemente dai tempi di retention configurati.

I dati salvati verranno cancellati automaticamente da LogBox dopo la scadenza del contratto di servizio.

Reportistica e analisi dei dati

La reportistica LogBox è un servizio che prevede la produzione di un report periodico contenente i risultati di una serie di analisi effettuate sui log archiviati.

E' possibile scegliere tra una reportistica personalizzata relativa ad analisi scelte dal cliente sui log di accesso o analisi su altri tipi di log archiviati in LogBox e una reportistica specifica Amministratori di Sistema relativa ad analisi ritenute utili da parte di HTS per soddisfare le richieste di verifica previste dallo specifico provvedimento.

Il contenuto dei report può comprendere:

  • Raccolta tabulare o grafica dei dati di interesse (es: accessi a un sistema) per il periodo considerato.
  • Analisi dei dati con suddivisioni in base ai parametri utili a soddisfare le richieste di verifica indicate nel provvedimento del Garante (es: frequenza accessi) o le richieste specifiche del cliente.