BLOG

24 Novembre 2024

Log dei Web Server a norma di legge per l’autorità giudiziaria ed il GDPR

La gestione dei log a norma di legge e conforme alla GDPR in concomitanza all’uso di tecnologie CDN e Reverse Proxy come CloudFlare e simili.

Introduzione

Negli ultimi decenni, internet è diventato una componente essenziale della vita quotidiana di miliardi di persone. Navigare sul web è un’attività abituale sia per scopi personali che professionali, coinvolgendo individui di ogni età e background. Tuttavia, questa crescente dipendenza dalla rete ha portato anche a un aumento dei comportamenti illeciti, che vanno dal semplice insulto su un social media a crimini più gravi come frodi informatiche, truffe online e reati di pedopornografia.

Dietro ogni azione digitale rimangono delle tracce, spesso registrate nei log dei web server, ovvero file che raccolgono informazioni sulle attività svolte dagli utenti durante la navigazione. Questi dati possono rivelare chi ha visitato una determinata pagina, caricato un file o lasciato un commento.

Per questo motivo, webmaster, hosting provider e sistemisti si trovano talvolta a rispondere a richieste delle autorità giudiziarie, che necessitano di accedere ai log dei web server per identificare i responsabili di atti illeciti. Tuttavia, la gestione di queste informazioni deve avvenire in conformità con la legge, in particolare rispettando la normativa italiana e il Regolamento Generale sulla Protezione dei Dati (GDPR).

Questo articolo analizza come conservare i log dei web server a norma di legge, rispettando sia le esigenze delle autorità che quelle della protezione dei dati personali, offrendo una guida pratica ai professionisti del settore IT.

Cos’è il GDPR?

Il Regolamento Generale sulla Protezione dei Dati (GDPR), introdotto dall’Unione Europea e operativo dal 25 maggio 2018, rappresenta uno dei più importanti quadri normativi sulla protezione dei dati personali. Il suo obiettivo principale è garantire che i dati raccolti e trattati dalle organizzazioni siano gestiti in modo trasparente, sicuro e rispettoso dei diritti degli individui.

Il GDPR si applica a qualsiasi soggetto che tratti dati personali di cittadini dell’UE, sia che operi all’interno dell’Unione sia al di fuori. Per dati personali si intendono tutte le informazioni che possono identificare una persona fisica, direttamente o indirettamente, come nome, indirizzo IP, email o informazioni di localizzazione.

Cos’è un log del web server?

Un server web è un software progettato per ricevere e rispondere alle richieste HTTP e HTTPS provenienti dai client, tipicamente browser o altre applicazioni. In altre parole, è il componente che consente la visualizzazione di siti e applicazioni web su internet. Tra i server web più utilizzati e conosciuti troviamo:

  • Apache HTTP Server: Uno dei più longevi e popolari server web, molto versatile e supportato da un’ampia comunità open source.
  • NGINX: Famoso per la sua efficienza nella gestione di connessioni simultanee, spesso utilizzato sia come server web che come proxy inverso.
  • LiteSpeed: Apprezzato per le sue elevate prestazioni, in particolare in ambienti di hosting condiviso e con CMS come WordPress.

Ogni server web genera dei file chiamati log, che registrano le attività svolte sul server stesso. I log dei web server contengono una cronologia dettagliata di ciò che accade quando il server gestisce richieste da parte degli utenti. Tra le informazioni tipicamente registrate troviamo:

  • Indirizzo IP dell’utente: Identifica il dispositivo da cui proviene la richiesta.
  • Data e ora della richiesta: Indica quando l’utente ha interagito con il server.
  • URL richiesti: Specifica quali risorse sono state richieste (pagine, file, immagini, ecc.).
  • Metodo HTTP utilizzato: Segnala il tipo di operazione eseguita, come GET, POST o DELETE.
  • Risposta del server: Riporta il codice di stato restituito dal server, ad esempio 200 (successo), 404 (pagina non trovata) o 500 (errore del server).
  • User agent: Contiene informazioni sul browser, sistema operativo e dispositivo utilizzato dall’utente.

access-log

Questi dati sono essenziali per il funzionamento, la sicurezza e l’ottimizzazione dei siti web, consentendo di diagnosticare problemi, monitorare il traffico e rilevare attività sospette. Tuttavia, molte di queste informazioni, come gli indirizzi IP, possono essere considerate dati personali ai sensi del GDPR, richiedendo una gestione attenta e conforme alla normativa.

Normativa italiana e conservazione dei log

In Italia, la gestione e la conservazione dei log dei web server sono regolate da un insieme articolato di normative che si intrecciano con il Regolamento Generale sulla Protezione dei Dati (GDPR). Queste norme spesso aggiungono dettagli e obblighi specifici rispetto al quadro europeo, soprattutto in relazione a esigenze di sicurezza, indagini giudiziarie e prevenzione di illeciti.

Il Codice delle Comunicazioni Elettroniche

Un riferimento centrale è il Codice delle Comunicazioni Elettroniche (D.Lgs. 259/2003), che stabilisce obblighi precisi per i fornitori di servizi di telecomunicazione e di accesso a internet. In particolare, il Codice prevede che i dati relativi al traffico, raccolti per finalità di accertamento e repressione dei reati, debbano essere conservati per un periodo minimo di 12 mesi. Questi dati includono:

  • Origine e destinazione della comunicazione (indirizzi IP e numeri di porta).
  • Data, ora e durata della connessione.
  • Protocollo utilizzato (ad esempio, HTTP, HTTPS o FTP).

L’obbligo di conservazione per almeno un anno è pensato per garantire che le informazioni necessarie a un’indagine possano essere recuperate dalle autorità competenti.

Obblighi per i provider di servizi

I fornitori di servizi internet, hosting e telecomunicazione sono soggetti a regole più stringenti rispetto ad altri operatori. In Italia, questi soggetti devono conservare i log non solo per finalità tecniche o amministrative, ma anche per rispondere a eventuali richieste da parte delle autorità giudiziarie. La mancata ottemperanza a questi obblighi può comportare sanzioni amministrative o penali, a seconda della gravità della violazione.

Per quanto riguarda i provider di hosting, pur non essendo espressamente equiparati ai fornitori di telecomunicazioni, vi sono obblighi indiretti di collaborazione con le autorità. Ad esempio, i log del web server potrebbero essere richiesti per identificare chi ha caricato contenuti illeciti su una piattaforma ospitata o per rintracciare l’autore di una frode.

Conservazione prolungata in casi specifici

In situazioni particolari, come indagini su reati gravi (ad esempio terrorismo o pedopornografia), la conservazione dei log può essere estesa oltre i termini standard. In tali casi, su richiesta delle autorità giudiziarie, i dati possono essere mantenuti per un periodo più lungo, purché la richiesta sia giustificata e avvenga nel rispetto della normativa sulla protezione dei dati personali.

Differenze tra GDPR e normativa italiana

A differenza del GDPR, che lascia spazio a interpretazioni più generali in merito alla durata di conservazione, la normativa italiana è spesso più dettagliata e prescrittiva. Questo crea un quadro complesso, dove i professionisti IT devono bilanciare:

  1. Durata minima: In Italia, la conservazione dei dati di traffico per almeno 12 mesi è obbligatoria per finalità di pubblica sicurezza e accertamento di illeciti.
  2. Durata massima: Il GDPR impone il principio della “limitazione della conservazione”, per cui i dati non devono essere conservati oltre il necessario per le finalità dichiarate.
  3. Compatibilità tra le normative: La legge italiana può ampliare i requisiti del GDPR, ma non può contraddirli. Ad esempio, non può richiedere la conservazione dei log per un periodo indefinito senza una base giuridica solida.

Altri riferimenti normativi

Altri strumenti legislativi che influenzano la conservazione dei log in Italia includono:

  • Codice in materia di protezione dei dati personali (D.Lgs. 196/2003): Integrato con il GDPR, specifica i criteri per la conservazione dei dati personali in ambito nazionale.
  • Legge contro il terrorismo (D.Lgs. 155/2005): Introduce obblighi di collaborazione specifici per il monitoraggio e la conservazione dei dati legati a potenziali minacce terroristiche.
  • Regolamento AGCOM: Per i fornitori di contenuti digitali, impone responsabilità indirette nella gestione dei dati relativi agli utenti e alle attività online.

Errori da evitare nella gestione dei log e degli IP con l’utilizzo di CDN e Reverse proxy

Quando si utilizza una CDN (Content Delivery Network) o una tecnologia di reverse proxy come Varnish, NGINX, Cloudflare o Caddy, si introduce uno strato intermedio tra l’utente e il server originario che, se non configurato correttamente, può alterare i dati raccolti nei log. Un errore frequente consiste nel registrare nei file di log l’indirizzo IP del reverse proxy invece dell’IP reale dell’utente che ha effettuato la richiesta. Questo accade perché, nella configurazione predefinita, il server originario vede come indirizzo sorgente quello del proxy o del nodo CDN che ha inoltrato la richiesta, non quello del client finale.

Tale problematica può avere implicazioni significative. Registrare l’indirizzo IP del proxy compromette la validità dei log per diverse finalità. Dal punto di vista della sicurezza, rende difficile identificare l’origine effettiva di eventuali attacchi, come tentativi di intrusione o attività sospette. Sul piano della conformità legale, questo errore può invalidare la capacità di soddisfare le richieste delle autorità giudiziarie, che spesso necessitano dei log per rintracciare l’identità dell’utente responsabile di un’attività online illecita. Inoltre, in ambito di analisi del traffico, la mancata registrazione degli IP reali degli utenti può portare a dati imprecisi, riducendo l’affidabilità di metriche fondamentali per l’ottimizzazione e la gestione del sito web.

Questa sfida diventa ancora più rilevante in scenari complessi, dove il traffico viene distribuito su molteplici nodi CDN o attraverso più livelli di proxy. Per evitare questi errori, è indispensabile configurare il sistema per preservare l’IP originale dell’utente, utilizzando header specifici forniti dalla tecnologia adottata, come X-Forwarded-For o CF-Connecting-IP. In assenza di tale configurazione, i log non solo diventano inutilizzabili per scopi investigativi, ma possono anche esporre il fornitore di servizi a potenziali violazioni normative, soprattutto in contesti regolamentati come quelli del GDPR o della legislazione italiana.

Perché avviene questo errore?

Le tecnologie di reverse proxy e le CDN fungono da intermediari tra l’utente e il server originario. Quando una richiesta passa attraverso un proxy come Varnish o una CDN come Cloudflare, il server web originario vede solo l’indirizzo IP del proxy e non quello del client reale. Questo accade perché la connessione tra il proxy e il server originario non preserva l’IP dell’utente a meno che non venga configurata correttamente.

Come evitare di loggare l’IP del proxy

Con Varnish

Varnish, essendo una tecnologia di reverse proxy caching, non gestisce direttamente il traffico HTTPS, ma si affida a un server come NGINX o Caddy per la terminazione SSL. Per assicurarsi di loggare l’IP reale dell’utente, è necessario configurare il logging nella fase di terminazione HTTPS. Ad esempio:

  • Configurare NGINX o Caddy per aggiungere l’header X-Forwarded-For alla richiesta in ingresso. Questo header include l’indirizzo IP originale del client.
  • Su Varnish, configurare i log per leggere e registrare l’IP dall’header X-Forwarded-For, anziché dall’indirizzo IP della connessione diretta.

Esempio di configurazione in Varnish VCL:

sub vcl_recv {
set req.http.X-Real-IP = client.ip;
}

Con Cloudflare e altre CDN

Cloudflare e servizi simili (Akamai, Incapsula di Imperva, Sucuri, Fastly) forniscono guide specifiche per ripristinare l’IP reale dell’utente. È necessario:

  1. Configurare il server web originario (ad esempio NGINX o Apache) per leggere gli header personalizzati aggiunti dalla CDN, come CF-Connecting-IP (Cloudflare) o True-Client-IP (Akamai).
  2. Abilitare il Real IP Module in NGINX o il modulo equivalente in Apache, specificando gli intervalli di IP della CDN come trusted proxies.

Esempio di configurazione per NGINX con Cloudflare:

set_real_ip_from 173.245.48.0/20; # Intervalli IP di Cloudflare
set_real_ip_from 103.21.244.0/22;
real_ip_header CF-Connecting-IP;

Con altre CDN

Questo approccio si applica anche ad altre CDN che operano come reverse proxy. Ad esempio:

  • Fastly: Utilizza l’header Fastly-Client-IP.
  • Sucuri: Utilizza l’header X-Forwarded-For.
  • Incapsula (Imperva): Utilizza l’header True-Client-IP.

Implicazioni e rischi

Non configurare correttamente il logging degli indirizzi IP reali può avere conseguenze significative:

  • Compliance GDPR e normativa italiana: Se i log contengono solo gli IP dei proxy, potrebbero non essere considerati validi per ricostruire le attività di un utente in caso di richieste legali.
  • Sicurezza: Gli strumenti di rilevamento delle intrusioni o di analisi delle anomalie possono essere inefficaci se non lavorano con gli IP reali degli utenti.
  • Debugging e analisi del traffico: La visibilità sul comportamento reale degli utenti è compromessa.

Per evitare errori nella gestione dei log con l’uso di reverse proxy e CDN, è fondamentale configurare i server per registrare gli IP reali degli utenti, sfruttando gli header appositi forniti da ciascuna tecnologia. Che si utilizzi Varnish, NGINX, Cloudflare, Akamai, Incapsula, o altre soluzioni, seguire le best practice per il ripristino dell’IP è essenziale per garantire log affidabili e conformi alla normativa.

Conclusione

La gestione dei log dei web server è un aspetto cruciale per garantire conformità legale, sicurezza e trasparenza. In Italia, le normative richiedono un’attenta conservazione dei log, rispettando sia le regole stringenti del Codice delle Comunicazioni Elettroniche sia i principi generali del GDPR, come la minimizzazione e la limitazione della conservazione dei dati. Questo equilibrio deve essere mantenuto con attenzione, soprattutto quando si utilizzano tecnologie avanzate come reverse proxy e CDN.

L’uso di servizi come Cloudflare, Akamai, Fastly o Varnish introduce complessità nella gestione degli indirizzi IP reali, che possono essere sostituiti dagli IP dei proxy se non configurati correttamente. Questo errore può invalidare i log per scopi legali o di sicurezza e ridurre la loro utilità per analisi tecniche. È fondamentale implementare le configurazioni necessarie per registrare correttamente gli IP reali, ad esempio utilizzando gli header specifici delle tecnologie di reverse proxy.

Inoltre, è essenziale stabilire una comunicazione chiara con i clienti, in particolare quando gestiscono autonomamente i loro domini. Nelle fasi preliminari del contratto, i fornitori di hosting dovrebbero informare i clienti sui potenziali impatti delle CDN o dei reverse proxy sulla registrazione dei log. Qualora un cliente decidesse di utilizzare tecnologie come Cloudflare, è importante che lo notifichi al fornitore per garantire che il sistema sia configurato correttamente.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto