Squid log adresse mac
-
Pour le lien que tu m'as envoyé chris4916 je l'avais déjà intégrer en dur dans le fichier squid.conf mais rien y fait …
::) si tu ne donnes pas plus d'informations sur ce que tu as déjà fait et donc sur ce qu'est exactement ton problème, ne t'étonne pas de recevoir des réponses qui de suggèrent de regarder ce que tu as déjà mis en place ;D
Netinary l'intègre dans ces solutions.
Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense …Un des points qui est soulevé est que le contrôle par adresse MAC n'est pas fiable car sujet à spoofing et l'adresse MAC n'est pas transportée de bout en bout selon la nature du réseau.
- Quel est le mode de fonctionnement de ton proxy actuel ?
- Qu'as-tu dans le log ?
-
Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.
Je ne comprend pas ce que cela veut dire.
Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense …
Ce n'est vraiment pas le problème. A supposer que ce soit possible cela ne sert à rien compte tenu de l'objectif.
-
Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.
Je ne comprend pas ce que cela veut dire.
Très probablement qu'il y a une solution de type rsyslog mise en place pour ne traiter qu'un seul fichier log ;)
C'est ce que je fais avec toutes mes machines ou presque 8) -
Une infrastructure toute simple :
Une borne wifi relié à un PfSense sur la pâte LAN.
Sur cette pâte LAN, j'ai un serveur DHCP.
Sur la borne wifi, il peut y avoir des smartphones des pc portable …Sur PfSense j'installe le packet SQUID qui est configuré en tant que proxy transparent et me permet de récupérer les logs des pages visités.
Actuellement dans les logs j'ai la date, l'adresse IP , le status, l'adresse de la page visité et la destination (adresse IP de la page visitée) -
Il est impossible de se conformer à la loi que vous évoquez avec un tel dispositif.
Je vous rappelle les termes de l'article Art. R. 10-13. - I. du décret n° 2006-358 du 24 mars 2006En application du II de l'article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
« a) Les informations permettant d'identifier l'utilisateur ;Étant entendu que la jurisprudence assimile les entreprises mettant à disposition un accès à internet à un opérateur.
-
Vois avec l'éditeur du package Squid pour pfSense si il a compilé Squid avec l'option "–enable-eui"
mais si tu fais des recherches, tu noteras également qu'il y a un bug enregistré pour Squid en 3.4.4 à ce propos. -
Sur PfSense j'installe le packet SQUID qui est configuré en tant que proxy transparent et me permet de récupérer les logs des pages visités.
Une partie de la solution au problème est là.
Avec un proxy non pas transparent mais explicite, il est possible de demander à l'utilisateur de s'authentifier. Dès lors, plus de problème de MAC address car on a le login de l'utilisateur ;) -
Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
Cela doit se faire de manière totalement transparente.ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.
En quoi Squid ne serai pas conforme ? -
Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
Cela doit se faire de manière totalement transparente.Ce qui est un autre aspect (certes valide) pour lequel la réponse est WPAD ;)
ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.Es-tu certain que la loi demande d'identifier les adresses MAC ? je peux changer la mienne chaque matin ;) De plus, cela n'identifierait que les adresses MAC, et donc à la limite les machines, pas les personnes qui sont derrière la machine.
En quoi Squid ne serai pas conforme ?
Ce n'est pas Squid qui ne serait pas conforme mais l'usage que tu en fais.
-
J'allais répondre. Chris4916 l'a fait pour moi. J'adhère à 100%.
-
Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visitésLa loi précise bien qui faut les adresses mac.
Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?
Merci pour vos réponses.
-
Élaborer une politique d'authentification
Une référence du texte qui l'indique ?
-
Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visitésJe n'en sais rien car je ne vais jamais au McDo >:(
La loi précise bien qui faut les adresses mac.
Je veux bien un pointeur vers la partie de la loi qui dit ça ;)
Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?
WPAD est un mécanisme qui vise à fournir automatiquement aux navigateurs l'adresse du serveur web qui contient le fichier proxy.pac qui va dire au navigateur où se trouve le proxy et comment l'utiliser.
WPAD est décrit par un draft de RFC (je ne sais pas si celui-ci a finalement été adopté :-[)En gros, il faut:
- un serveur WEB avec un fichier proxy.pac
- un mécanisme qui pousse cette info:
DHCP: option 252
DNS: différents mécanisme (dont le "well known alias")
SLP (Service Location Protocol)
Si tu lis l'anglais, j'avais écrit il y a quelques années [url=https://wiki.zentyal.org/wiki/Select_Right_HTTP_Proxy_Design]un truc pour ça, pour une autre plate-forme.
Pour la partie DNS, DHCP et serveur web (proxy.pac), oui tu peux faire ça avec pfSense :)
-
Expliques moi alors comment sa marche sur les autres plateformes ?
Comment veux-tu être en règle avec cette loi ?Pour le WPAD
Est-ce-que je peux mettre mon proxy.pac dans le PfSense ?
Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https -
Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https
Non. La vraie question est pourquoi une page présente t elle un certificat non valide ? Il va être de plus en plus difficile avec les navigateurs à jour de passer outre. Ce qui est fortement déconseillé. Même lorsque les certificats sont reconnus comme valides, ce n'est pas forcément une garantie, lorsque l'identité ne peut être vérifiée …
-
Expliques moi alors comment sa marche sur les autres plateformes ?
Comment veux-tu être en règle avec cette loi ?Je ne sais pas à quoi tu fais référence avec les autres plateformes mais la loi est d'abord faite pour les FAI et autres fournisseurs de service. Pour le FAI, ce à quoi il s'engage, c'est à fournir des informations relatives à "d'où vient et où va la requête sur internet" mais d'où signifie l'équipement qui est sous son contrôle, à savoir l'adresse IP associée à l'équipement à l'extrémité de leur ligne.
Et encore cette information n'est pas aussi précise que cela:- tu peux par exemple, chez cetains fournisseurs, remplacer la box du fournisseur avec ton propre équipement (et donc ton adresse MAC change)
- ton adresse IP est aussi potentiellement variable
En revanche, il y a des fournisseurs qui font sur leur réseau un filtrage par adresse MAC: même si tu peux changer d'équipement, seules les adresses MAC enregistrées dans leur base, et donc associées à un contrat avec un client son autorisées.
Pour le McDo, encore une fois, je n'y vais pas ;D et idem pour les cybercafé mais la plupart du temps, je pense que c'est assez mal fait. Tant que tu n'as pas un portail captif qui te demandes des infos qui permettent d'associer la connexion à ta personne, il n'y a pas grand chose à faire.
Pour le WPAD
Est-ce-que je peux mettre mon proxy.pac dans le PfSense ? Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en httpsOh ! MITM :o :o :o ce n'est pas bien ça ;D ;D ;D même si pfSense le permet ::)
oui tu peux mettre ton fichier proxy.pac où tu veux, y compris sur pfSense mais je n'ai jamais regardé de près comment fonctionne le serveur web de pfSense (je connais assez mal cette plate-forme).
Si tu peux faire un vhost (au sens Apache du terme) sur pfSense, alors il n'y a aucun problème. -
La loi est un peu tordu toute façon car sur n'importe quel système on pourra changer son adresse mac.
J'ai trouvé une solution alternative.
Utilisez arpwatch avec squid.
Donc si j'ai un soucis, j'aurai juste à donné le fichier arp.dat du paquet arpwatch pour les adresses mac et le fichier access.log pour les sites visités.
Il y aura juste à faire la correspondance avec les adresses IP.Pour le WAPD, merci de l'astuce je vais voir sa de plus prêt.
-
tu peux par exemple, chez cetains fournisseurs, remplacer la box du fournisseur avec ton propre équipement (et donc ton adresse MAC change)
Vu le nombre de routeurs traversés avant la collecte d'informations de connexion, l'adresse mac n'a de toute façon aucun sens puisque ce sera celle de l'interface de sortie du dernier routeur.
-
La loi est un peu tordu toute façon car sur n'importe quel système on pourra changer son adresse mac.
J'ai trouvé une solution alternative.Utilisez arpwatch avec squid.
Donc si j'ai un soucis, j'aurai juste à donné le fichier arp.dat du paquet arpwatch pour les adresses mac et le fichier access.log pour les sites visités.
Il y aura juste à faire la correspondance avec les adresses IP.Je ne comprends pas pourquoi tu te focalises sur les adresses MAC ???
arpwatch va te dire quels sont, à un instant donné, les équipements sur le réseau, tu peux donc en déduire quelle était l'adresse MAC qui a fait une requête web mais tu ne sais toujours pas qui c'est :P
-
Vu le nombre de routeurs traversés avant la collecte d'informations de connexion, l'adresse mac n'a de toute façon aucun sens puisque ce sera celle de l'interface de sortie du dernier routeur.
Indeed. Se fixer sur l'adresse MAC pour faire ce genre de contrôle n'a pas de sens.