Solution de collecte de flux HTTP/HTTPS pour HotSpot Public
-
Bonjour,
Je suis débutant sur PFsense et dans le monde libre en général.
Contexte : Dans un milieu Pro il faut donner un accès internet à du public (type coworking, accès gratuit etc...), cet accès doit être logger (aucun filtrage pour l'instant, juste logger) pour des questions juridiques.
Je recherche un package dans PFsense qui pourrait logger toute les connexions HTTP et HTTPS avec au minimum leur adresse MAC.
J'avais commencer par monter un Squid, c'est OK pour du HTTP mais pas pour du HTTPS car je n'aurais pas accès aux PC venant de l’extérieur pour leur installer un certificats et faire du proxy HTTPS.
Ensuite j'ai fait des règles sur le Firewall HTTP et HTTPS pour les auditer mais il manque l'adresse MAC et ce n'est pas très ergonomique.En ce moment je recherche peut être une solutions de collecteur de flux, voici certains packages que je vais étudier :
bandwidthd
darkstat
Nmap
pfblockerng-devel
rrd summary
status traffic totals
ntopng
softflowdAvez-vous des conseils, recommandations, ou avez vous déjà eu a faire a cette problématique ?
PS : Existe t-il une sorte de portail captif ou l'utilisateur doit obligatoirement mettre son nom prénom adresse mail (sans création de compte coté admin) et ensuite les connexions sont logger ? Un peu comme a L’hôtel ou au MacDo.
-
Quelques rappels importants :
- les protocoles HTTP et HTTPS sont des protocoles applicatifs, donc de couche 7 dans le modèle OSI (ou 4 au sens IP),
- de facto, ces protocoles ne sont pas 'traités' par un firewall, en dehors de l'ouverture ou non,
- de facto, l'analyse de ces protocoles ne peut être réalisée que par un 'mandataire adapté', c'est à dire un proxy (Squid).
Le détail des URL visitées, par adresse ip, ne peut être réalisé que par le proxy (Squid). Squid est capable de traiter et HTTP et HTTPS.
Il est possible de fonctionner avec un proxy 'transparent', c'est à dire que le navigateur ne voit pas que le trafic passe par un proxy, mais cela ne fonctionne QUE pour HTTP. (Je vous laisse comprendre pourquoi cela ne peut fonctionner pour HTTPS : c'est utile pour votre progression de comprendre cela ...)
Il est bien préférable de passer en proxy 'explicite', ce qui va permettre de traiter et HTTP et HTTPS (sans bricoler le certificat d'origine pour HTTPS). C'est assez facile grâce à la méthode WPAD. Je vous laisse chercher sur le forum ... NB: cela fonctionne 'de base' pour IE, Edge et Chrome, et pour Firefox en faisant un petit réglage (indiqué dans le fil sur WPAD ...).
Pour le portail captif,
Il n'y a pas dans pfSense, par défaut, de portail captif avec juste saisie d'éléments d'identification simple. Mais le portail captif est personnalisable, donc avec un peu d'expertise c'est possible de le créer.
Un client qui se connecte au réseau, va recevoir une adresse ip,puis passer par le portail captif et enfin passer par le proxy. Au moment du portail captif, on est capable d'associer l'adresse ip (du proxy) aux éléments d'identification (mais le log du proxy ne mentionne que l'adresse ip).
NB : je parle d'or, car en fait je n'ai pas expérimenté la situation. En particulier si WPAD fonctionne, le PC fait appel au proxy et le portail captif n'est pas opérant !
-
@jdh Merci pour les informations je vais regarder la methode WPAD
-
@ervan said in Solution de collecte de flux HTTP/HTTPS pour HotSpot Public:
J'avais commencer par monter un Squid, c'est OK pour du HTTP mais pas pour du HTTPS car je n'aurais pas accès aux PC venant de l’extérieur pour leur installer un certificats et faire du proxy HTTPS.
Mais il n'y a pas besoin de certificat pour logger dans le proxy le fluc HTTP. Même avec HTTPS, HTTP CONNECt passe en clair.
Tu n'as besoin de truster le certificat exposé par le proxy que si tu veux te positionner au milieu du tunnel (Man in the middle) pour par exemple analyser du contenu.
Mais juste pour lister les connexions des utilisateurs, ce n'est pas nécessaire