Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Solution de collecte de flux HTTP/HTTPS pour HotSpot Public

    Scheduled Pinned Locked Moved Français
    4 Posts 3 Posters 532 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      Ervan
      last edited by

      Bonjour,

      Je suis débutant sur PFsense et dans le monde libre en général.

      Contexte : Dans un milieu Pro il faut donner un accès internet à du public (type coworking, accès gratuit etc...), cet accès doit être logger (aucun filtrage pour l'instant, juste logger) pour des questions juridiques.

      Je recherche un package dans PFsense qui pourrait logger toute les connexions HTTP et HTTPS avec au minimum leur adresse MAC.

      J'avais commencer par monter un Squid, c'est OK pour du HTTP mais pas pour du HTTPS car je n'aurais pas accès aux PC venant de l’extérieur pour leur installer un certificats et faire du proxy HTTPS.
      Ensuite j'ai fait des règles sur le Firewall HTTP et HTTPS pour les auditer mais il manque l'adresse MAC et ce n'est pas très ergonomique.

      En ce moment je recherche peut être une solutions de collecteur de flux, voici certains packages que je vais étudier :
      bandwidthd
      darkstat
      Nmap
      pfblockerng-devel
      rrd summary
      status traffic totals
      ntopng
      softflowd

      Avez-vous des conseils, recommandations, ou avez vous déjà eu a faire a cette problématique ?

      PS : Existe t-il une sorte de portail captif ou l'utilisateur doit obligatoirement mettre son nom prénom adresse mail (sans création de compte coté admin) et ensuite les connexions sont logger ? Un peu comme a L’hôtel ou au MacDo.

      C 1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by jdh

        Quelques rappels importants :

        • les protocoles HTTP et HTTPS sont des protocoles applicatifs, donc de couche 7 dans le modèle OSI (ou 4 au sens IP),
        • de facto, ces protocoles ne sont pas 'traités' par un firewall, en dehors de l'ouverture ou non,
        • de facto, l'analyse de ces protocoles ne peut être réalisée que par un 'mandataire adapté', c'est à dire un proxy (Squid).

        Le détail des URL visitées, par adresse ip, ne peut être réalisé que par le proxy (Squid). Squid est capable de traiter et HTTP et HTTPS.

        Il est possible de fonctionner avec un proxy 'transparent', c'est à dire que le navigateur ne voit pas que le trafic passe par un proxy, mais cela ne fonctionne QUE pour HTTP. (Je vous laisse comprendre pourquoi cela ne peut fonctionner pour HTTPS : c'est utile pour votre progression de comprendre cela ...)

        Il est bien préférable de passer en proxy 'explicite', ce qui va permettre de traiter et HTTP et HTTPS (sans bricoler le certificat d'origine pour HTTPS). C'est assez facile grâce à la méthode WPAD. Je vous laisse chercher sur le forum ... NB: cela fonctionne 'de base' pour IE, Edge et Chrome, et pour Firefox en faisant un petit réglage (indiqué dans le fil sur WPAD ...).

        Pour le portail captif,

        Il n'y a pas dans pfSense, par défaut, de portail captif avec juste saisie d'éléments d'identification simple. Mais le portail captif est personnalisable, donc avec un peu d'expertise c'est possible de le créer.

        Un client qui se connecte au réseau, va recevoir une adresse ip,puis passer par le portail captif et enfin passer par le proxy. Au moment du portail captif, on est capable d'associer l'adresse ip (du proxy) aux éléments d'identification (mais le log du proxy ne mentionne que l'adresse ip).

        NB : je parle d'or, car en fait je n'ai pas expérimenté la situation. En particulier si WPAD fonctionne, le PC fait appel au proxy et le portail captif n'est pas opérant !

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        E 1 Reply Last reply Reply Quote 1
        • E
          Ervan @jdh
          last edited by

          @jdh Merci pour les informations je vais regarder la methode WPAD

          1 Reply Last reply Reply Quote 0
          • C
            chris4916 @Ervan
            last edited by

            @ervan said in Solution de collecte de flux HTTP/HTTPS pour HotSpot Public:

            J'avais commencer par monter un Squid, c'est OK pour du HTTP mais pas pour du HTTPS car je n'aurais pas accès aux PC venant de l’extérieur pour leur installer un certificats et faire du proxy HTTPS.

            Mais il n'y a pas besoin de certificat pour logger dans le proxy le fluc HTTP. Même avec HTTPS, HTTP CONNECt passe en clair.

            Tu n'as besoin de truster le certificat exposé par le proxy que si tu veux te positionner au milieu du tunnel (Man in the middle) pour par exemple analyser du contenu.
            Mais juste pour lister les connexions des utilisateurs, ce n'est pas nécessaire

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.