Enregistrement des traces

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Enregistrement des traces

Messagepar Aku » 05 Déc 2007 23:15

Bonjour,


Je possède un routeur/firewall/portail captif pfsense associé à un serveur Radius (IAS);
Chacun de mes users disposent d'un compte et je suis aujourd'hui contraint à enregistrer leurs informations de connexion (en particulier les url visitées).

Connaissez-vous un système efficace me permettant d'enregistrer ce genre de logs pouvant fonctionner avec ce type d'architecture?

Merci par avance pour vos réponses.
Aku
Matelot
Matelot
 
Messages: 3
Inscrit le: 05 Déc 2007 23:09

Messagepar jdh » 05 Déc 2007 23:42

(Sur le plan juridique, cela me parait discutable.)


pfSense est doté d'un système de package dans lequel on trouve Squid (proxy qui peut fonctionner en transparent et qui logue), LightSquid (appli web de visualisation des logs de Squid), et dans la version RC3 SquidGuard (complément de filtrage par blacklist).

Il reste à bricoler un script d'extraction des logs, car le firewall ne peut stocker beaucoup de logs.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Aku » 08 Déc 2007 01:25

Bonjour,

Je suis obligé de mettre ça en place à cause d'une contrainte juridique justement :D , étant un établissement donnant un accès public...

J'avais vu qu'avec squid en mode transparent et pfsense il y avait des problèmes pour l'authentification.
Mais je vais tester ces solutions.
En parallèle j'ai un serveur syslog pour récupérer les logs de pfsense (Kiwi), squid est basé sur le même principe?
Aku
Matelot
Matelot
 
Messages: 3
Inscrit le: 05 Déc 2007 23:09

Messagepar jdh » 08 Déc 2007 08:20

Effectivement Squid en transparent est incompatible avec l'authentification (comme cela est précisé sur le site de Squid).

Cependant, l'authentification est ici effectuée avec Radius. Donc il n'y a pas besoin de gérer une authentification dans Squid.

Il suffit de stocker les logs de Squid et en parallèle les logs d'authentification Radius. Ces fichiers doivent contenir une date/heure qui permet de faire le lien.

A noter que les logs de Squid ne passent pas par syslog (cela a été déjà dit sur ce site, il suffit de chercher un peu). Squid génère des fichiers "access.log" qui peuvent (doivent) être transférés vers une autre machine. Cela peut être sans doute fait lors de la rotation ...


(Comment fait on ? Je ne suis pas devant les PC !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar idefix14 » 21 Fév 2008 17:02

salut. Je viens de lire ton poste. Je suis confronter à la même problématique, aurait-tu réaliser ce script ?

Je dois également rassembler les logs pour la législation, et dans le domaine de linux j'ai pas un niveau élevé.

Merci d'avance
idefix14
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 21 Fév 2008 14:47
Localisation: Angers

Messagepar Aku » 26 Fév 2008 11:10

Salut, faute de temps j'avais arrêté de travailler sur ce projet mais je viens de m'y remettre, j'ai installé les packages sur pfsense et y a plus qu à.

Si tu veux on peut voir ça ensemble.
Aku
Matelot
Matelot
 
Messages: 3
Inscrit le: 05 Déc 2007 23:09

Messagepar idefix14 » 26 Fév 2008 13:04

j'ai pas encore commencer de mettre en place mon réseau . J'hésite entre 3 solutions en fait :

IPCOP ou SMOOTHWALL ou PFSENSE

Après tout dépends de comment on arrive à récupérer les logs dans les trois cas :)
idefix14
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 21 Fév 2008 14:47
Localisation: Angers

Messagepar idefix14 » 10 Mars 2008 11:11

je suis également sur ce projet. Je te tiendrais au courant de l'évolution pour la récupération des logs.
idefix14
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 21 Fév 2008 14:47
Localisation: Angers

Messagepar ffa » 17 Août 2008 15:43

Bonjour,

Je suis très intéressé par le résultat de vos travaux car je n'ai pas trouvé de solution pour avoir les logs de squid (en mode transparent) avec le username du portail captif renseigné.

Pouvez-vous nous faire un retour de l'état d'avancement?

merci par avance
ffa
Matelot
Matelot
 
Messages: 2
Inscrit le: 17 Août 2008 15:29
Localisation: vers-pont du gard

Messagepar ccnet » 18 Août 2008 12:03

ffa a écrit:Bonjour,

Je suis très intéressé par le résultat de vos travaux car je n'ai pas trouvé de solution pour avoir les logs de squid (en mode transparent) avec le username du portail captif renseigné.

Pouvez-vous nous faire un retour de l'état d'avancement?

merci par avance


Un détail cependant : je crois avoir compris que squid en mode transparent implique qu'il n' y a pas d'authentification. Si tel est bien le cas comment envisagez vous la solution ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ffa » 26 Août 2008 10:56

En effet, en mode transparent, squid n'a pas d'authentification mais peut être qu'un script peut renseigner les logs de SQUID avec les ouvertures et les fermetures de session des logs du portail captif (installation sur le même serveur, donc même timecode)?
ffa
Matelot
Matelot
 
Messages: 2
Inscrit le: 17 Août 2008 15:29
Localisation: vers-pont du gard


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron