Listino Supporto Partner Contatti 800 13.40.41

KNOWLEDGE BASE

Knowledge Base
× Non sei ancora nostro cliente KerioControl? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Vai al Video

Kerio Control: configurazione per la compliance GDPR

di Claudio Agnesani

Kerio Control riunisce le funzionalità firewall di nuova generazione, tra cui un firewall e router di rete, il rilevamento delle intrusioni e prevenzione (IPS), il gateway anti-virus, la VPN e il filtraggio dei contenuti web.

Kerio Control nasce come soluzione di firewalling, ma in realtà è un’architettura integrata (per esempio integra intrinsecamente funzionalità UTM) per il controllo del perimetro della rete aziendale ed è un firewall con stateful inspection estremamente facile da configurare e amministrare, ed offre la Gestione Unificata delle minacce; è inoltre un sistema IPS/IDS basato sullo standard industriale Snort.

Kerio Control è un sofisticato filtro dei contenuti (Kerio Web Filter) e analisi/reportistica avanzata (StaR), funzionalità obbligatorie per tutte le realtà dove l’accesso a Internet è aperto al pubblico, molto utile anche in ambito aziendale per evitare che il tempo dedicato al lavoro si trasformi in una frequentazione incontrollata dei siti di social networking da parte dei dipendenti.

Il prodotto protegge la rete da virus, malware e attività dannose e coniuga le funzionalità di firewall di nuova generazione (Winroute firewall), includendo un network firewall e router, sistema di rilevamento e protezione (IPS), gateway anti-virus, VPN e filtri Web e applicativo.

Opportunamente impostato, Kerio Control è un valido ausilio nel rispetto delle specifiche del GDPR. In questo tutorial verrà spiegato quali sezioni e funzionalità di Kerio Control ottimizzare per raggiungere la compliance GDPR ed anche come raccogliere i log e identificare il data breach.

Funzionalità di Kerio Control

Prima di entrare nel merito delle impostazioni per il GDPR è opportuno riepilogare che cosa fa esattamente Kerio Control. Ebbene, il prodotto è un server VPN con client multipiattaforma (Windows, Mac OSX, Linux) con possibilità illimitata di tunnel tra sedi remote; principalmente svolge tre compiti, ossia firewall, antivirus e content filtering: questi ultimi due sono moduli addizionali, quindi la licenza del firewall è una e se si desidera aggiungere le funzionalità antivirus e content filtering occorre acquistare un’ulteriore licenza per esse.

Kerio Control può essere implementato sia a livello hardware (integrato in firewall fisici, ossia Control Hardware Appliance) sia a livello software: nel primo caso la licenza d’uso è integrata per tutte e tre le funzionalità (soluzione hardware) mentre per la soluzione software (Kerio Control da installare su server) è modulare e il costo varia base ai moduli attivati.

Va notato che tramite il portale MyKerio, accessibile dal sito web https://my.kerio.com, è possibile (previa registrazione) gestire tutti i firewall installati da un’unica console, con evidente praticità e risparmio di tempo.

Gestione utenti

Kerio Control permette l’esecuzione di mapping trasparenti degli utenti da Active Directory o dal database interno degli utenti: prima di concedere l’accesso alla rete è possibile forzare l’autenticazione al firewall da parte degli utenti. Le policy di accesso alla rete e al Web vengono applicate in modo personalizzato ai singoli utenti a prescindere dal dispositivo di accesso utilizzato. Gli amministratori possono monitorare con precisione il comportamento dei singoli utenti sul Web.
Protezione unificata
Kerio Control integra antivirus gateway, filtro Web, filtro per reti P2P, sistema di prevenzione delle intrusioni, blocco dei file in base al tipo, filtro per parole chiave e oggetti Web. Le reti e gli utenti vengono protetti da virus, spyware, drive-by downloads e altro malware. Le aziende vengono tutelate da eventuali responsabilità legali contribuendo a ridurre le perdite in termini di produttività.
Server VPN
In Kerio Control è possibile attivare più tunnel VPN contemporanei, sia site-to-site sia client-to-site. Rende disponibili client VPN multipiattaforma per Windows, Mac e Linux, nonché l’accesso VPN SSL senza client mediante un browser Web. Le installazioni VPN per le configurazioni VPN più avanzate risultano più semplici. Kerio VPN Client, utilizzabile con semplici clic, garantisce l’accesso sicuro ad alta velocità per qualsiasi utente da qualsiasi computer.
Kerio Control: versione 9.2.5
Come tutti i prodotti Kerio, Kerio Control è mantenuto e aggiornato costantemente e di norma la Kerio rilascia due major release all’anno; l’ultima di queste è stata la 9.2.5, che ha introdotto le novità seguenti rispetto alla major release 9.2:

  • aggiornamento di sicurezza per IPSEC VPN e completa la rimozione del codice PHP nel codice del server;
  • miglioramento dell'avvio e arresto del client VPN su Linux Debian 8;
  • aggiornamento di strongSwan 5.5.1;
  • il VPN Client ora supporta macOS High Sierra.

I fix e gli aggiornamenti riguardano prettamente le VPN.
Tenete presente che sul pannello di controllo (la Dashboard) di Kerio Control è possibile verificare la disponibilità di aggiornamenti e provvedere al download e all’installazione.

Tipologie di installazione

Kerio Control prevede varie tipologie di installazione, che sono sia software, sia soluzioni hardware; per quanto riguarda la prima categoria sono disponibili Software Appliance e Virtual Appliance.
Software Appliance è un pacchetto software disponibile in formato ISO, basato su una speciale versione di Linux, installabile su PC senza sistema operativo o appliance; per l’esattezza,
Kerio Control si basa su Linux kernel versione 3.2.
I requisiti di sistema per la Software Appliance sono:

  • CPU: 500 MHz;
  • RAM: 1 GB;
  • Hard drive: 8 GB HDD di spazio per sistema operativo, prodotto, log e dati statistici;
  • Interfacce di rete: 2 ethernet (10/100/1.000 Mbit).

Quanto alla Virtual Appliance, è la versione dedicata alle installazioni su host virtuali ed è supportata dai i seguenti hypervisor:

  • Vmware;
  • Hyper-V;
  • Paralles.

Il vantaggio sostanziale dell’installazione su VM è che possiamo installare un numero illimitato di schede di rete virtuali, quindi estendere notevolmente le capacità di interfacciamento e gestione di kerio Control, quindi gestire più punti di routing su una stessa rete, agendo su ciascuna sottosezione.
I requisiti di sistema per la tipologia Virtual Appliance sono:

  • VMware hypervisor;
  • VMware Workstation 7.0 or 8.0;
  • VMware Fusion 3.0 or 4.0;
  • VMware Player 3.0 or 4.0;
  • VMware ESX 4.1 or 5.0;
  • VMware ESXi/vSphere Hypervisor 4.1 , 5.0 , 5.5 , 6.0 o successivi;
  • CPU: 2 GHz;
  • RAM: 1 GB assegnato alla macchina virtuale;
  • Hard drive: 8 GB assegnati all’HDD come spazio per sistema operativo, prodotto, log e dati statistici
  • Interfacce di Rete: 2 schede fisiche assegnate alla scheda di rete virtuale

I requisiti di sistema per la Virtual Appliance da installare su hypervisor Hyper-V (quindi in ambiente Microsoft) sono sostanzialmente riconducibili al sistema operativo, che deve essere:

  • Windows Server 2012 e 2012 R2;
  • Windows Server 2008 R2;
  • Windows Server 2016.

Per quanto riguarda i requisiti hardware relativi ad Hyper-V sono:

  • CPU da 2 GHz;
  • 1 GB di RAM assegnata alla macchina virtuale;
  • Hard drive: 8 GB assegnati al HDD spazio per sistema operativo, prodotto, log e dati statistici;
  • Interfacce di Rete: 2 schede fisiche assegnate alla scheda di rete virtuale.

Ci sono poi le soluzioni implementate in hardware, che sono:

  • Control Box; è il device hardware con il Software Appliance preinstallato ed è disponibile in due modelli, ossia 1120 e 3120;
  • Control Hardware Appliance; si tratta di una serie di dispositivi hardware con il Software Appliance preinstallato; i modelli standard offerti da Kerio sono NG100, NG300 e NG500 e i modelli con WiFi integrato sono NG100W e NG300W.

GDPR: Log e Data Breach

E veniamo a quello che attiene la parte della configurazione di Kerio Control che lo rende GDPR-compliant partendo da alcune funzionalità che il prodotto offre per la riservatezza e la tutela dei dati; proprio tali funzionalità consentono di soddisfare i requisiti del GDPR.
Partiamo dicendo che con Kerio Control è possibile gestire:

  • comunicazioni tra client e firewall utilizzando il canale VPN, crittografate (questo è il primo elemento di compliance GDPR);
  • conservazione e cancellazione delle informazioni statistiche degli utenti;
  • log di accesso e di sistema;
  • attivazione di notifiche e di alert personalizzati.

Notare che le notifiche e gli alert vengono generati al verificarsi di determinati eventi e nello specifico soddisfano i requisiti del GDPR per quanto riguarda eventi di Data Breach (contemplato dall’art. 33 del GDPR), ossia di effrazione delle protezioni e accesso fraudolento ai dati riservati.

Con Kerio Control è inoltre possibile effettuare:

  • l’attivazione della encryption sulle statistiche degli utenti;
  • l’implementazione dei diritti degli utenti per permettere l’accesso, la modifica e la cancellazione dei dati statistici;
  • la gestione delle retention di backup;
  • l’esportazione delle statistiche utenti in formato xlsx e pdf.

Iniziamo a vedere nella pratica le funzioni che interessano il GDPR dando uno sguardo alla Dashboard di kerio Control, che nell’immagine seguente è aperta sulla sezione Interfacce (Interfaces). Alla Dashboard si accede in ogni momento facendo clic sul pulsante con l’ingranaggio posto nella barra azzurra a sinistra della schermata.


Le interfacce rappresentano tutte quelle strutture hardware e software che permettono l’interfacciamento fra la rete locale e l’esterno, quindi sono sia schede di rete, sia Server VPN ecc. L’immagine riporta quelle configurate su un server di test utilizzato per questo tutorial, divise in gruppi; va notato che le interfacce possono essere spostate tramite drag & drop da un gruppo all’altro in base alle esigenze.

Per creare nuove interfacce è disponibile un wizard che può essere richiamato con questa procedura:

  1. dalla Dashboard, fare clic su Interfaces;
  2. Fare clic su More Actions > Configure in Wizard.

Oppure, dalla Dashboard, facendo clic sul pulsante Configuration Assistant.
Durante la configurazione iniziale del firewall attraverso il wizard, le interfacce saranno disposte automaticamente in gruppi, comunque modificabili successivamente. Le interfacce possono comunque essere configurate direttamente nella sezione Interfaces.

Le interfacce e la loro configurazione rientrano nel discorso sul GDPR; più precisamente, il Server VPN, per il quale, a prescindere da quale tipo sia stato impostato. Per configurare il VPN bisogna cliccare, all’interno della sezione VPN di Interfaces, con il pulsante destro del mouse su Server VPN ed accedere alla finestra di dialogo mostrata nell’immagine seguente.

Qui abbiamo la possibilità di scegliere tra due tipi di Server VPN, che sono quello IPSec e quello Kerio nativo; nel primo caso possiamo far comunicare il nostro firewall con qualsiasi altri firewall che operi con il protocollo IPSec, così come possiamo permettere a un tablet o un qualsiasi altro device che utilizza IPSec per la connessione VPN di collegarsi al mio al nostro ambiente aziendale (alla nostra rete aziendale) utilizzando il firewall kerio con il server VPN della Kerio integrato.

Le modalità possono essere attivate entrambe, quindi se utilizziamo il server Kerio abbiamo il suo client nativo, ma possiamo anche definire come nativa una sola delle due soluzioni.

Sempre dal menu contestuale accessibile cliccando con il pulsante destro del mouse su Server VPN possiamo impostare dei tunnel VPN, accedendo alla relativa finestra di dialogo proposta dall’immagine seguente.

Kerio Control: statistiche e GDPR

Un’altra sezione delle impostazioni di Kerio Control che fornisce compliance con il GDPR, è quella delle statistiche (Statistics); per l’esattezza nella sezione di gestione delle statistiche è possibile:

  • definire se e per quanto tempo registrare le attività utente;
  • rimuovere i dati statistici;
  • definire quali utenti possono accedere in visualizzazione.

La sezione Statistiche è accessibile dalla Dashboard nella parte di amministrazione, dove troviamo la sezione degli Host attivi in cui vengono visualizzate quelle che sono le connessioni attive, le connessioni VPN attive, il traffico e le performance della macchina. A tale sezione si accede cliccando, tra i pulsanti della barra verticale azzurra alla sinistra della schermata, su quello con le barre di altezza crescente (tipo quello della forza del segnale nei cellulari). La schermata che si apre così facendo è Active Hosts (Host Attivi) ed è quella mostrata nell’immagine seguente.

In questa sezione vi sono diverse voci nel menu di sinistra, ognuna delle quali dà accesso a una schermata riepilogativa; ai fini del GDPR ci interessa Statistiche (User Statistics) che contiene le statistiche del traffico relative all’utente connesso, ovvero non riferite ad un utente ma alla macchina che ha effettuato la connessione (Host) a seconda dell’impostazione fatta.

Da qui è possibile definire se e per quanto tempo registrare le attività di ciascuno degli utenti (User) e per che periodo di tempo conservare i dati corrispondenti per averli disponibili in caso di sospette violazioni della sicurezza dei dati. Inoltre le statistiche servono quando sia necessario presentare una relazione sulla conservazione dei dati dell’utente, sulle attività di un certo utente (vale a dire una persona fisica dell’azienda) per esempio che cosa visita quando si connette ad Internet, descrivendone le attività previste e le forme di tutela dei dati che lo riguardano, giacché il GDPR va a tutelare le informazioni proprie delle persone.
I dati dell’utente sono dati di uso aziendale, però ovviamente sono riferiti alla persona fisica e per questo contemplati nel GDPR.

Dalla sezione è possibile rimuovere dati statistici, quindi effettuare la cancellazione dei statistici; in questo caso non è ancora possibile rimuoverli in maniera specifica e quindi dettagliata sullo specifico utente, ma possiamo rimuovere i dati statistici in generale.
Con l’arrivo del TO BE ci sarà la possibilità di cancellare dati statistici del singolo utente.

Possiamo definire quali utenti possono accedere alla visualizzazione, quindi adesso è possibile definire quelli che sono gli utenti che possono accedere alla visualizzazione delle statistiche, quindi possiamo definire utenti che possono vedere le proprie statistiche e utenti che possono vedere tutte quante le statistiche (si tratta degli utenti amministrativi).

Altra funzione accessibile dalla sezione Statistiche è la raccolta delle Statistiche di utilizzo Internet, utile a verificare l’uso che il personale dell’azienda fa della connessione Internet, ma anche a capire come distribuire la banda con le apposite funzioni tra cui la QoS. Per accedere alle statistiche di utilizzo Internet bisogna andare sulla solita Dashboard, facendo clic sul pulsante con l’ingranaggio posto nella barra azzurra a sinistra della schermata. A questo punto, nel menu di sinistra si deve cliccare su Segnalazioni e monitoraggio, aprendo così la finestra di dialogo corrispondente, divisa in quattro tab, delle quali Raccolta Dati (visibile nell’immagine seguente) è quella che ci interessa in questa fase.

La funzione si attiva ponendo il segno di spunta su Raccogli statistiche utilizzo Internet e, volendo registrare l’attività, anche su Raccogli record attività utente, quindi con il pulsante Seleziona andiamo a definire un elenco di utenti (per esempio utenti locali e utenti di dominio, selezionabili dall’apposito menu a tendina accanto alla voce Dominio:).

Per ciascun utente possiamo, cliccandovi sopra, aprire la finestra di dialogo nella quale definire (tramite specifiche tab) su quali utenti o gruppi di utenti può agire, quali diritti ha e via di seguito. Nella tab Diritti, nello specifico, possiamo scegliere se l’utente ha permessi amministrativi e ha diritto di accesso completo all’amministrazione, ha accesso in sola lettura all’amministrazione o non ha accesso all’amministrazione (sezione Diritti di amministrazione, visibile nell’immagine seguente).

Nella sezione Ulteriori diritti, visibile sempre nell’immagine, è possibile spuntare diritti supplementari dell’utente come lo sblocco delle regole del filtro contenuti, il controllo delle connessioni remote e la possibilità di stabilire connessioni tramite VPN.

Quindi già abbiamo, per l’accesso al firewall, una possibilità di impostare i diritti, ma per quello che riguarda il discorso sulle statistiche l’accesso completo all'amministrazione mi permette di avere un accesso per visualizzare queste statistiche utenti posso comunque filtrare successivamente anche come amministratore magari non ho diritto ad accedere a tutte le statistiche ma solamente le mie questo è solo andiamo a vedere adesso

Definiti quelli che sono i permessi, per tutti gli utenti viene attivata la registrazione delle statistiche dal momento in cui si autenticano, quindi verrà tracciata e registrata la navigazione Internet.
Per fare in modo che avvenga la registrazione occorre impostare le policy di connessione, ovvero, stabilire che gli utenti per accedere al web si debbano autenticare; tale impostazione si effettua, sempre dalla schermata di amministrazione della dashboard, cliccando su Domini e login utente che si trova nella sezione Utenti e gruppi, allorché si accede all’omonima finestra di dialogo proposta nell’immagine seguente.

Qui bisogna spuntare la casella Richiedi sempre autenticazione utenti per l’accesso al web.
Quindi questi dati possiamo decidere di non raccoglierli o se li raccogliamo, per quanto tempo devono rimanere a disposizione (scrivendo il periodo nella casella Elimina statistiche antecedenti il) e via di seguito.

Possiamo anche raccogliere dati di gruppo per determinati gruppi, quindi selezionare dei gruppi di utenti scegliendoli tramite il pulsante Seleziona accanto alla casella Raccogli statistiche di gruppo per questi gruppi; si accede così alla finestra di dialogo nella quale selezionare utenti e gruppi.

Dalla tab Accesso e statistiche si ha la possibilità di accedere a tutte le statistiche degli utenti, vale a dire a tutte le statistiche proprie, a quelle di tutti gli utenti o specificamente a determinati gruppi di utenti o di persone registrate all’interno del firewall.
L’impostazione per singolo utente si effettua cliccando sul nome dell’utente, tra quelli riportati nella sezione Diritti di accesso e rapporti via e-mail (immagine seguente).

 

Nella sezione più in basso della schermata possiamo definire anche la periodicità di ricezione dei report, scegliendo tra giornaliero, Settimanale o Mensile.

Le statistiche raccolte possono essere consultate cliccando sul pulsante con il grafico a torta collocato nella solita toolbar azzurra a sinistra della schermata: questa operazione apre una finestra del browser contenente la pagina di login, dove deve autenticarsi l’utente in possesso dei diritti di accesso alle statistiche stesse. Una volta loggato, l’utente può accedere alla pagina delle statistiche aggregate, che è come quella mostrata nell’immagine seguente.

Facendo clic su Rapporto di riepilogo, otteniamo la finestra dell’immagine seguente, la quale mostra dei grafici dove le informazioni sono organizzate, categorizzate e tradotte in grafici a istogramma e a torta, in apposite presentazioni, disponibili a richiesta via web o via e-mail. 

Anche in questo caso abbiamo la possibilità di filtrare le informazioni ad esempio di traffico diviso per utenti (Utenti per traffico o User by Traffic), quelle sui siti visitati, sulle categorie web visitate, ovvero avere una visualizzazione generale.

Dunque, con le impostazioni descritte riguardanti raccolta di dati e statistiche Kerio Control è conforme agli articoli 24, 25 e 32 del GDPR.

Kerio Control: configurare il log

La funzionalità riguardante i log rappresenta la parte più sostanziosa dal punto di vista della compliance GDPR perché in Kerio Control, dalla specifica sezione Log, possiamo:

  • attivare e gestire la registrazione di tutti gli eventi di networking che avvengono sul firewall;
  • specificare il periodo di rotazione e la conservazione;
  • registrare i Log su un SysLog esterno, ad esempio verso GFI Events Manager;
  • cancellare i Log.

A garantire la sicurezza e la compliance GDPR c’è il fatto che solo gli utenti con diritti di accesso in lettura e scrittura possono effettuare modifiche; tali utenti saranno quelli abilitati, secondo il DPGR, alla gestione dei dati. Tali diritti possono essere impostati a piacimento come spiegato in precedenza.

La sezione Log fornisce informazioni in Real Time che indicano in modo evidente e tempestivo quello che sta succedendo e sono semplici da leggere ed esaustivi; la sezione espone un menu che permette di gestire e visualizzare vari eventi, quindi Alert, eventi di accesso, di security, warning ecc. Un esempio di schermata di Log è riportato nell’immagine seguente e riguarda gli Alert, ossia i log di eventi di alert di cui è stata impostata la richiesta.

La sezione Log contiene varie funzioni e ogni voce di menu corrisponde a una schermata; più esattamente, abbiamo:

  • Config per visualizzare gli eventi di configurazione (impostazione di kerio Control);
  • Connection per visualizzare gli eventi di connessione dei vari utenti;
  • Security che riguarda i logo di sicurezza, quindi notifiche dell’antivirus, blocco di connessioni non autorizzate, interventi del firewall, tentativi di accesso falliti;
  • Error, che riporta gli eventi di errore;
  • Alert, che mostra gli eventi alert impostati e verificatisi;
  • Web, riguardante i log di accesso al web e contenenti i percorsi visitati e via di seguito

L’immagine seguente mostra la finestra corrispondente a Config, accessibile cliccando sull’omonima voce: vi trovate cronologicamente tutti gli eventi di configurazione, attraverso cui scorrere con la rotellina di scroll del mouse.

Invece l’immagine che segue propone la schermata accessibile dal comando Security. Le informazioni Contenute in Security contengono, per esempio, anche eventi di scanning e tutte possono essere importate nel SySlog. 

Tramite la voce di menu Debug possiamo impostare il debug di problematiche emerse dai log, quindi personalizzarle i log in modo da poter definire quelli che sono nelle varie funzionalità, connessioni, protocolli, insomma quelli che dobbiamo tenere controllati in un determinato momento per fare debug su un determinato tipo di connessione, su un certo tipo di attacco in rete, su un determinato tipo di attività da monitorare.

La funzione è utile anche quando non ci si riesce a collegare in rete, perché non si riesce a utilizzare un protocollo di invio ecc

Connection fornisce un dettaglio di tutto quello che viene fatto dagli utenti, cioè non solo da parte delle macchine, specialmente per quello riguarda le web e le http login, in cui ogni singolo utente viene riportato, ovvero viene segnalato per ogni singolo utente che cosa sta visualizzando, quando l’ha visualizzato e quant’altro.

Possiamo gestire in modo personalizzato i log forniti cliccando con il pulsante destro all’interno della finestra che riporta gli eventi, quindi impartendo, dal menu contestuale che si apre, il comando Impostazioni log; si accede così alla finestra di dialogo corrispondente (vedere immagine seguente) che ha due schede, delle quali vediamo Registrazione File.

Da qui possiamo definire di abilitare una registrazione sul file di log per vari eventi: nel caso dell’immagine bisogna spuntare la voce Abilita registrazione su file (config). ma ciò che è tra parentesi dipende dalla finestra dalla quale il comando è stato invocato; quindi se apriamo il menu contestuale dalla finestra Alert avremo la voce Abilita registrazione su file (alert). e via di seguito.


Dalla stessa tab possiamo definire quella che è la rotazione e la conservazione di questi dati: nell’immagine proposta ad esempio abbiamo una rotazione settimanale, cioè praticamente viene gestito un log di una settimana, dopodiché ne viene creato uno nuovo. Sempre nella figura abbiamo impostato un numero di log che teniamo pari a 10, quindi se ci occorre possiamo andare indietro fino a 10 settimane e vedere i log corrispondenti.
Possiamo inoltre stabilire che la rotazione del file di log avvenga al raggiungimento di un certo spazio di archiviazione, spuntando la casella Ruota quando la dimensione file supera (MB): e tale impostazione è utile ad esempio se i file di log vanno gestiti da parte di software che hanno un limite di dimensioni dei file trattati, se ci sono problemi di limitazione dello spazio di archiviazione e via di seguito.

Ovviamente per quello che riguarda la gestione di tutti questi dati (quelli contemplati nella sezione Log), specialmente per quello che riguarda il traffico fatto gli utenti, le connessioni e altre informazioni che possono essere oggetto di indagine, devono essere conservate ed è importante, quindi, avere attivi i log, così da essere conformi al GDPR.

Vediamo ora un’ulteriore funzione accessibile dal menu contestuale che si apre cliccando con il pulsante destro del mouse nella schermata delle funzionalità di log: si tratta del comando
Evidenziazione, che ci dà la possibilità di contrassegnare con un colore evidenziatori dei log filtrandoli per parola chiave spuntata nella finestra di dialogo che si apre.

Sempre dal menu contestuale possiamo impartire il comando Cancella log, disponibile solo per gli account amministrativi e che permette di eliminare i log registrati, che perciò andranno persi.

Concludiamo l’analisi di questa sezione con le impostazioni SysLog, ossia con la possibilità, offerta da Kerio Control, di registrare le informazioni di log esternamente al sistema, ad esempio per renderle diponibili in remoto o ad un altro software come GFI Events Manager.
Le impostazioni corrispondenti sono eseguibili attraverso la scheda Registrazione esterna della finestra di dialogo Impostazioni log: nell’immagine seguente vedete il caso sempre di Config.

La registrazione su SygLog Server è distinta in:

  • Facility (Funzione) = il valore predefinito è “16:Local use 0”, ma è possibile scegliere quale impostare;
  • Severity (gravità) = il valore è fisso per ogni log e dipende dal tipo di log di cui vogliamo effettuare la registrazione esterna (Notice per Security, Alert per Alert ecc.).

Facility può essere modificato cliccandovi e scegliendo la funzione di registrazione tra quelle preseti nel menu a tendina che si apre.
Ricordiamo che nella casella Server Syslog bisogna specificare l’indirizzo IP del server su cui registrare i log.
L’attivazione delle notifiche di sistema permette di essere costantemente informati sugli eventi che si desidera monitorare come accessi, modifiche di configurazione, ecc. Il tutto, in base alla schermata dalla quale si apre la finestra Impostazioni log.

L’immagine seguente mostra la finestra di dialogo aperta dalla schermata Alert, con la compilazione della scheda Registrazione esterna.

Questo tipo di registrazione è molto importante ai fini del GDPR perché gli alert rappresentano notifiche riguardanti tentativi di effrazione dei dati e quindi il verificarsi di Data Breach, nonché eventi rilevanti ai fini della tutela dei dati.
Insomma, grazie alla possibilità di attivare le notifiche di sistema possiamo essere costantemente informati sugli eventi che desideriamo monitorare. Notate che è possibile effettuare un monitoraggio delle attività tra cui i tentativi di connessione e le modifiche di Sistema. Inoltre è possibile essere aggiornati praticamente in tempo reale su questi eventi potendo notificare in tempo il verificarsi del Data Breach in caso di effrazioni.
Queste funzionalità Kerio Control permettere di essere GDPR-compliant.

Gestione del Data Breach e modifica avvisi e filtro contenuti

Kerio Control mette a disposizione una serie di strumenti per la gestione del Data Breach, utili ad affrontare le prescrizioni del GDPR e, nello specifico, dell’articolo 33; tra questi abbiamo quindi le informazioni che ci arrivano per notificarci che è avvenuto un determinato evento.

Per l’impostazione del caso operiamo in combinazione con alcune delle funzionalità di Kerio COntrol; per prima cosa andiamo, nella Dashboard di amministrazione (schermata accessibile dal pulsante a ingranaggio presente nella barra azzurra a sinistra dello schermo), a cliccare su Segnalazioni e monitoraggio e, nella finestra omonima che si apre, accediamo alla tab Impostazioni avvisi (immagine seguente).

Qui definiamo quelle che sono le informazioni dell’evento che genera una notifica; se ancora non è stato fatto, bisogna configurare un server SMTP per poter inviare le notifiche via e-mail (la relativa impostazione si fa cliccando sul link è possibile configurare il server SMTP in servizi remoti).

Nella sezione Avvisi possiamo sia creare una nuova regola di alert, sia modificarne una esistente, semplicemente cliccandovi sopra: in quest’ultimo caso appare la finestra di dialogo Modifica avvisi, nella quale viene mostrato l’utente coinvolto negli alert (nella sezione in alto definiamo il nome dell’utente o l’indirizzo e-mail a seconda del tipo di notifica che vogliamo ottenere) e sotto, nella sezione Avvisi, gli alert previsti. Se si sta creando una regola di alert da zero, appare invece la finestra di dialogo seguente, che è Aggiungi avviso (Add Alert).

Per esempio in essa è possibile creare i seguenti tipi di Alert:

  • Alert di Sistema = cliccando sulla relativa icona (quella più a sinistra, con lo scudo) tra le quattro mostrate è disponibile un elenco di alert tra cui scegliere;
  • Alert sulle regole di traffico = cliccando sulla seconda icona da sinistra si attivano direttamente sulle regole di traffico (Traffic rules) già presenti nel firewall;
  • Alert sui contenuti = con la terza icona si attivano direttamente regole dei contenuti (Content rules) già presenti nel firewall;
  • Alert sui log = è possibile creare regole ad hoc per gli amministratori per monitorare specifici eventi (Log message).

Quindi dalla finestra andiamo a creare delle regole di alert personalizzate per ogni utente.
La differenza tra la finestra Add alert e la Modifica Avvisi è che in quest’ultima troviamo già delle regole, mentre nella prima le dobbiamo aggiungere, ma i pulsanti relativi alle quattro categorie di alert sono gli stessi vedere l’immagine seguente).

Molto interessante è l’alert sui log (Messaggio di log) cliccando sulla cui icona accediamo a una finestra di dialogo dove possiamo definire una stringa personalizzata che verrà generata come log al verificarsi dell’evento correlato (immagine seguente).

In Nome: scriviamo il nome da dare al log, in Condizione: scegliamo (nel menu a tendina) a cosa si riferisce il log, tra gli eventi previsti in Kerio COntrol (Config, Error, Filter, Security ecc.) e poi definiamo la frequenza di invio del log.

Altra funzione interessante è quella di test password, visibile nella solita finestra Modifica avvisi che ci permette, cliccando sopra il nome test password, di accedere alla finestra di dialogo mostrata nell’immagine seguente, dove impostare la generazione di un evento di log al verificarsi di una condizione correlata con la password.

Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft