Enregistrement des traces

[Aku]

Bonjour,


Je possède un routeur/firewall/portail captif pfsense associé à un serveur Radius (IAS);
Chacun de mes users disposent d'un compte et je suis aujourd'hui contraint à enregistrer leurs informations de connexion (en particulier les url visitées).

Connaissez-vous un système efficace me permettant d'enregistrer ce genre de logs pouvant fonctionner avec ce type d'architecture?

Merci par avance pour vos réponses.

[jdh]

(Sur le plan juridique, cela me parait discutable.)


pfSense est doté d'un système de package dans lequel on trouve Squid (proxy qui peut fonctionner en transparent et qui logue), LightSquid (appli web de visualisation des logs de Squid), et dans la version RC3 SquidGuard (complément de filtrage par blacklist).

Il reste à bricoler un script d'extraction des logs, car le firewall ne peut stocker beaucoup de logs.

[Aku]

Bonjour,

Je suis obligé de mettre ça en place à cause d'une contrainte juridique justement , étant un établissement donnant un accès public...

J'avais vu qu'avec squid en mode transparent et pfsense il y avait des problèmes pour l'authentification.
Mais je vais tester ces solutions.
En parallèle j'ai un serveur syslog pour récupérer les logs de pfsense (Kiwi), squid est basé sur le même principe?

[jdh]

Effectivement Squid en transparent est incompatible avec l'authentification (comme cela est précisé sur le site de Squid).

Cependant, l'authentification est ici effectuée avec Radius. Donc il n'y a pas besoin de gérer une authentification dans Squid.

Il suffit de stocker les logs de Squid et en parallèle les logs d'authentification Radius. Ces fichiers doivent contenir une date/heure qui permet de faire le lien.

A noter que les logs de Squid ne passent pas par syslog (cela a été déjà dit sur ce site, il suffit de chercher un peu). Squid génère des fichiers "access.log" qui peuvent (doivent) être transférés vers une autre machine. Cela peut être sans doute fait lors de la rotation ...


(Comment fait on ? Je ne suis pas devant les PC !)

[idefix14]

salut. Je viens de lire ton poste. Je suis confronter à la même problématique, aurait-tu réaliser ce script ?

Je dois également rassembler les logs pour la législation, et dans le domaine de linux j'ai pas un niveau élevé.

Merci d'avance

[Aku]

Salut, faute de temps j'avais arrêté de travailler sur ce projet mais je viens de m'y remettre, j'ai installé les packages sur pfsense et y a plus qu à.

Si tu veux on peut voir ça ensemble.

[idefix14]

j'ai pas encore commencer de mettre en place mon réseau . J'hésite entre 3 solutions en fait :

IPCOP ou SMOOTHWALL ou PFSENSE

Après tout dépends de comment on arrive à récupérer les logs dans les trois cas

[idefix14]

je suis également sur ce projet. Je te tiendrais au courant de l'évolution pour la récupération des logs.

[ffa]

Bonjour,

Je suis très intéressé par le résultat de vos travaux car je n'ai pas trouvé de solution pour avoir les logs de squid (en mode transparent) avec le username du portail captif renseigné.

Pouvez-vous nous faire un retour de l'état d'avancement?

merci par avance

[ccnet]

Bonjour,

Je suis très intéressé par le résultat de vos travaux car je n'ai pas trouvé de solution pour avoir les logs de squid (en mode transparent) avec le username du portail captif renseigné.

Pouvez-vous nous faire un retour de l'état d'avancement?

merci par avance

Un détail cependant : je crois avoir compris que squid en mode transparent implique qu'il n' y a pas d'authentification. Si tel est bien le cas comment envisagez vous la solution ?

[ffa]

En effet, en mode transparent, squid n'a pas d'authentification mais peut être qu'un script peut renseigner les logs de SQUID avec les ouvertures et les fermetures de session des logs du portail captif (installation sur le même serveur, donc même timecode)?