Sauvegarder les logs

A7X

Il a dit que le firewall avait peut etre un système syslog donc après je ne sais pas.
j'ai chercher mais ya toujours un truc qui merde dans les tutos que je trouve donc le problème ne viens pas de moi :)

ccnet

Si vous souhaitez perdurer dans ce métier, il va falloir songer à vous prendre en main.

A7X

Si je pose une question ici c'est justement parce que je ne connais pas et que je veux apprendre mais bon c'est sur que quand on demande quelque chose la seule réponse que l'on a c'est :" fais des recherches, moi je sais faire " ça ne m'aide pas beaucoup donc si vous avez une réponse sérieuse à ce que j'ai demandez je suis prêt à l'entendre (enfin la lire) sinon ce n'est pas la peine de prendre ce ton de supériorité.

Cordialement

quelqu'un souhaitant progresser :)

ccnet

la seule réponse que l'on a c'est :" fais des recherches, moi je sais faire "

Vous déformez mes propos. Voici exactement ce que je vous ai répondu :

Vous pouvez regarder une solution comme graylog2. Il y a une procédure d'installation documentée. La solution est plus performante qu'un syslog de base pour exploiter les logs de multiples systèmes.
Une dernière chose : toutes les applis ne produisent pas des logs dans le même format, typiquement Squid qui est spécifique.

Tout ce que vous trouvez à répondre c'est :

j'ai chercher mais ya toujours un truc qui merde dans les tutos que je trouve donc le problème ne viens pas de moi

Ceci 20 minutes après ma réponse. C'est un peu court pour quelqu'un qui souhaite progresser. En 20 minutes vous n'avez pas beaucoup creusé.

Où sera votre valeur ajouté si vous n'êtes pas capable de traiter un problème dans le déroulement d'une procédure ? N'importe quel individu juste capable de lire et d' appuyer sur les touches fera l’affaire. On vous remplacera rapidement par une personne non qualifiée et moins couteuse.

Des solutions j'en donne toutes les semaines. Si pour vous une solution sérieuse c'est une solution presse bouton alors je n'en donne pas. Le terrain c'est un peu plus compliqué que de suivre des procédures.

A7X

Mes recherches ont été faite tout l'après midi hier et ce matin donc oui effectivement j'ai fais des recherches. donc dans les 20 minutes entre les deux posts j'ai pas fait de recherches. mais sinon juste me dire que

Vous pouvez regarder une solution comme graylog2. Il y a une procédure d'installation documentée. La solution est plus performante qu'un syslog de base pour exploiter les logs de multiples systèmes.
Une dernière chose : toutes les applis ne produisent pas des logs dans le même format, typiquement Squid qui est spécifique.

cela me suffisait pas la peine de rajoutez que vous savez faire une recherche et d'insinuer que je ne sais pas en faire.

Alors ok effectivement je peux apprendre en lisant des docs et étant encore étudiant je sais qu'on peut aussi apprendre en demandant car au moins si on a des questions supplémentaires on peut demander alors qu'un document ni répondra peut etre pas.

jdh

mon maître de stage m'as demander de sauvegarder les logs des utilisateurs (savoir sur quels sites ils vont)

Si vous aviez parcouru SEULEMENT ce forum, vous auriez surement observé que la MÊME question est posé dans un autre fil de cette MÊME semaine !
On peut dire que vous n'avez pas vraiment cherché ou que l'efficacité de votre recherche est assez faible !

Je vais donc répéter : il y a 2 types de logs

les logs type syslog
les logs type Squid

Question : quel type de logs demandés par votre maitre de stage ?

Il est parfaitement clair que

il est judicieux de créer un serveur (interne) centralisateur de log (syslog) et de configurer le firewall (et tous les serveurs souhaitables) pour envoyer vers ce serveur centralisateur.
il n'est pas du tout judicieux de placer un Squid sur un firewall.

Concernant syslog, pfSense n'est pas conçu pour porter un serveur syslog : ce serait même un total non sens d'en mettre un !

NB : Le parcours du forum aurait évité de monter dans les tours inutilement …

A7X

Des utilisteurs vont ce connecter sur mon portail captif je veux sauvegarder les logs de ces utilisateurs pour savoir si monsieur X va sur le site facebook par exemple. je l'ai dit dans mon premier post.

ccnet

Cela nous l'avons compris. Donc Graylog2, Splunk sont des solutions possibles. JDH en a donné une autre.

pour savoir si monsieur X va sur le site facebook par exemple

Ce point nécessite une remarque. Vous n'avez pas le droit de regarder ce que Monsieur X fait avec la connexion que vous mettez à sa disposition. Les éléments juridiques, les lois qui s'appliquent, sont indiqués dans ce fil.
https://forum.pfsense.org/index.php/topic,71206.0.html

Compte tenu des obligations légales le portail captif ne répondra pas aux besoins. Il vous faut aussi un proxy. La loi dispose que vous devez conserver les logs pendant une année. Mais vous n'avez pas le droit de les consulter pour ce qui est des données nominatives. Vous pouvez faire des statistiques. Par exemple Monsieur X a échangé tel volume de données, mais pas consulter la liste des sites visités par Monsieur X. Enfin pour être conforme d'un point de vue juridique les utilisateurs doivent être informés de l'existence de l'enregistrement de leur activité sur internet. Très peu de gens et d'entreprises sont correctement informés sur les dispositions légales qui s'appliquent. Ce domaine est mal connuu mais fait aussi partie des questions sécurité du SI.

A7X

Graylog2 m'as l'air bien je vais essayer cela. oui voila il faut conserver les logs pas les consulter je me suis mal exprimer.

Encore une question : ou doit être mis le proxy et quel rôle va-t-il jouer ?

Merci pour vos réponses et excusez moi de m’être emporter

jdh

Alors, répondez d'abord à la question : de quel type de log s'agit-il ? autrement dit, est ce syslog ou Squid ?

En fait, si la réponse ne vous est pas immédiate, c'est que vous ne comprenez pas comment fonctionne un portail captif.
Commencez par lire Wikipedia : http://en.wikipedia.org/wiki/Captive_portal (en particulier les "Limitations")
(Ne négligez pas et commencez toujours par Wikipedia : c'est simple, c'est intéressant, et souvent assez complet pour une première approche !)

NB : ccnet qui a posté avant moi donne le début de la réponse …

ccnet

@A7X:

Encore une question : ou doit être mis le proxy et quel rôle va-t-il jouer ?

Basiquement on peut dire cela du fonctionnement cible.
1. Le portail captif permet de contrôler l'accès au réseau Wifi. C'est à dire que je m'assure au moyen d'une authentification que seul les utilisateurs à qui j'en donne le droit utilise ma connectivité à internet.
2. Ensuite, si l'utilisateur est autorisé, le proxy permet :
L'enregistrement et le stockage des logs d'accès, conformément à la loi.
Le filtrage éventuel des contenus du web, malware, virus, etc … http://squidclamav.darold.net/
Le contrôle des sites accessibles ou non sur la base de blacklists par exemple http://www.squidguard.org/
Les blacklists sont téléchargeables de façon automatisée : http://dsi.ut-capitole.fr/blacklists/

Typiquement le proxy est protégé (puisque qu'il contient des informations qui doivent être protégées) dans une dmz. Si c'est sensible on utilise un réseau d'administration distinct pour accéder à l'interface de gestion du proxy. Chez certains de mes clients toutes les interfaces d’administration des systèmes sont dans un réseau dédié avec des accès limités.

A7X

Bonjour,

et bien si j'ai bien compris ce sont des logs de types syslog.
D'accord pour le proxy mais la blacklist est géré par mon pare-feu en principe. j'en ai parler à l'informaticien qui est avec moi et il ne comprend pas pourquoi il faut mettre un proxy puisque ce qu'on me demande c'est juste d'envoyer les logs vers un serveur afin que ces logs puissent être sauvegarder.

jdh

Et non !
Vous n'avez pas compris comment ça fonctionne (… ce qu'on soupçonnait !)

Le portail captif ne sert qu'à ouvrir, après authentififcation, la traversée du firewall. Point barre.
Il est sans doute possible de trouver dans sylog l'autorisation (identifiant -> @ip).

Une fois, la traversée autorisée, il faut passer au travers d'un proxy (Squid) pour voir les url cherchées.
On trouvera donc dans les logs Squid, les url cherchées par @ip (et non identifiant).
(Et SEUL Squid est capable de reconnaitre l'url !!!)

Il n'est donc pas simple d'associer des url à un identifiant du portail captif ...

A7X

Donc on reprend voici ce que donne mon schéma actuel dans un premier temps, mon utilisateur s'identifie et peut accéder à internet si c'est bon, il traverse donc le portail et le firewall.
Dans un second temps je veux rajouter un serveur connecter à pfsense me permettant de sauvegarder les logs des utilisateurs (comme vous l'avez surement déjà compris). Donc ce sont des logs de type squid (est-ce bien cela ?) que je dois sauvegarder sur le serveur de logs. Etant un peu perdu dans toutes ces infos :
Que dois-je installer sur mon serveur afin que pfsense envoi les logs sur ce serveur pour que les logs soient sauvegarder et ce qui me permettrait de voir ces logs ?

![schéma actuel.jpg](/public/imported_attachments/1/schéma actuel.jpg)
![schéma actuel.jpg_thumb](/public/imported_attachments/1/schéma actuel.jpg_thumb)
![schéma log.jpg](/public/imported_attachments/1/schéma log.jpg)
![schéma log.jpg_thumb](/public/imported_attachments/1/schéma log.jpg_thumb)

ccnet

Rapidement je n'ai pas beaucoup de temps ces jours ci. Pour activer les logs distant sur Pfsense :

Click Status > System Logs
Click the Settings tab
Check Enable syslog'ing to remote syslog server
Type the IP of your logging server in the box next to Remote syslog server
Check the boxes for the log entries you would like to forward
Click Save
You should start to see log messages flowing to the target system.

Bref RTFM.

Pour le proxy c'est autre chose. Vous l'avez monté sur Pfsense ?

A7X

ça ok je l'ai fais mais pas le proxy par contre

ccnet

Le proxy :
1 . Il ne devrait pas être sur Pfsense.
2 . C'est un package, donc ce n'est pas Pfsense, donc c'est un autre paramétrage. Je ne savais pas ce que les concepteurs du package avait prévu et j'ai trouvé ceci : https://forum.pfsense.org/index.php?topic=49351.0
Le serveur distant doit être capable de comprendre les logs Squid pour vous les présenter agréablement. De mémoire Splunk le fait, d'autres aussi.

jdh

Ne vous inquiétez pas pour nous (ccnet ou moi) : nous connaissons suffisamment les problématiques générales du sujet !

Ce que vous écrivez (à 9h32 sur le forum) montre que vous n'avez pas (plus) compris ce que j'ai écrit (à 8h40) !

Il faut mettre en place un proxy Squid (et pas sur pfSense) qui sauvegardera les logs et permettra de les visualiser !

pfSense ne vous indiquera (par syslog) que "date, heure, identifiant, @ip"
le proxy Squid stocke des logs "@ip, date, heure, url …"

A7X

D'accord, j'avais compris que c'était bien de squid qu'il était question et ce qu'il affichait comme logs, ce que je n'arrivait pas à visualiser c'était comment le mettre en place mais ça commence à venir, je vais faire des recherches sur ce sujet maintenant que j'ai plus d'infos.
merci pour vos réponses

ercflmnt

Bonjour AX7

pour le syslog, une machine autre que pfsense est a utiliser.

personnellement j'utilise un smeserver pour le faire

sme est en mode serveur only

sur pfense dans le syslog j'envoie tout vers le serveur de log

dans le sme serveur j'ai 1 utilisateur qui archive les données du "message" ( syslog ) du sme
journaliérement

il faut une tache cron pour effacer automatiquement les archives de plus de 750 jours ,
la legislation ne permet pas un archivage de plus de 2 ans.

il ne faut pas oublier de backuper le syslog ( en cas de panne)

eric