Problème SQUID + Man in the middle



  • Bonjour,

    Alors voila, je suis entrain de configurer squid (en mode transparent) sur pfsense, de façon à obtenir les logs des URL (HTTP/HTTPS) visités, pour cela j'utilise :
    _Le main in the middle (SSL filtering)
    _WPAD pour la configuration automatique des certificats sur les machines
    _Let's encrypt pour générer les certificats

    Mon problème :
    Lorsque j'active le main in the middle, mon service squid s'arréte et il n'est pas possible de le redémarrer…

    Avez-vous une solution qui pourrait me permettre de faire tourner ces services sans problèmes ?

    Merci de votre aide



  • Rien de tout cela n'a à voir avec Pfsense, si ce n'est que le pacckage est installé sur Pfsense.
    Interception https en mode transparent : je ne sais pas dans quel contexte vous comptez utilisé cela mais ne comptez ma sur moi pour les visites à La Santé ou ailleurs.



  • Le contexte de cette installation est d'installer cela chez dans des hôtels/restaurant afin de protéger le propriétaire de la ligne internet, de l'usage frauduleux que ces divers clients pourraient en faire,

    Bien entendue lors de la connexion au réseau les utilisateurs seront prévenus par une charte de confidentialité qu'ils devront obligatoirement accepter pour se connecter,

    Bref cette méthode est demandé afin de pouvoir fournir les logs aux autorités en cas de problèmes.



  • Il doit y avoir un petit problème de compréhension : SSLBump et WPAD sont 2 directions différentes. SSLBump signifie proxy transparent, WPAD implique proxy explicite



  • Merci pour ta réponse chris4916,

    Si je dis pas de bêtise, je suis obliger d'être en mode transparent pour que lightsquid marche,

    Du coup pour que ma solution marche le mieux serait de suprimer WPAD, et installer SSL_Bump à la place ?

    SSL_Bump assurera t-il la configuration du proxy sur les machines clientes (configurer en détection automatique) et l'envoie des certificats ? peut-être as tu même un tuto a me proposer pour la conf de SSL_Bump ?



  • Je le pense aussi.

    les utilisateurs seront prévenus par une charte de confidentialité qu'ils devront obligatoirement accepter pour se connecter

    je ne vois pas bien dans ce dispositif (qui n'a rien d'une charte de confidentialité) comment vous allez pouvoir justifier l'interception des données (potentiellement à caractère personnelle, voire sensibles) des utilisateurs. Ce sont potentiellement des données d'authentification qui transitent en https.

    pouvoir fournir les logs aux autorités en cas de problèmes.

    Nul besoin d'intercepter le flux https pour collecter ces données. Sur une demande de connexion faite directement en htts le hello de la négociation SSL permet de connaitre le nom du site demandé.



  • SSL_Bump assurera t-il la configuration du proxy sur les machines clientes (configurer en détection automatique) et l'envoie des certificats ? peut-être as tu même un tuto a me proposer pour la conf de SSL_Bump ?

    Nous sommes en pleine confusion.



  • Peut importe la méthode utilisé sachant que les seuls informations que nous récupéreront seront les URL des sites HTTP/HTTPS visités grâce à lightsquid et que de plus les seuls personnes qui pourront visionner ces logs seront les autorités en cas de problème

    "Nul besoin d'intercepter le flux https pour collecter ces données. Sur une demande de connexion faite directement en htts le hello de la négociation SSL permet de connaitre le nom du site demandé."
    –> Je ne vois pas du tout comment mettre ça en place

    Pouvez-vous m'expliquez l'utilisation de SSL_Bump et ce qu'il pourrait m'apporter dans ma situation?



  • @ksa.ozw:

    Peut importe la méthode utilisé

    Surement pas !

    sachant que les seuls informations que nous récupéreront seront les URL des sites HTTP/HTTPS visités grâce à lightsquid et que de plus les seuls personnes qui pourront visionner ces logs seront les autorités en cas de problème

    A partir de Mai 2018 il faudra être en mesure de le prouver, ce qui n'enlève rien à la problématique relative à la justification de cette pratique.

    ce qu'il pourrait m'apporter dans ma situation?

    Rien ! Vous n'en avez pas besoin.



  • Passons au chose que je dois faire maintenant si tu veux bien,

    Je veux seulement récupérer les adresses mac et les les URL visités par ces adresses, tout cela dans un réseau ou les machines seront jamais les même ( hotel par exemple) donc pas possible de déployer des certificat ssl via un AD,

    Comment puis-je procéder ?



  • Je veux seulement récupérer les adresses mac et les les URL visités par ces adresses

    La collecte des adresses mac ne sert a rien et ce n'est pas du tout ce qui est nécessaire. Cela ne constitue en aucun cas un élément d'identification d'un utilisateur.

    Passons au chose que je dois faire maintenant si tu veux bien,

    Vous raisonnez à l'envers. Vous imaginez des solutions techniques à un besoin que vous n'avez pas défini correctement. En admettant que votre problème soit la conformité réglementaire informatique et liberté, et d'autre part la conformité à la jurisprudence de la LCEN.

    Deux exemples : j'étais jeudi soir à l'hôtel justement. Et par ailleurs dans une très grosse société de conseil il m'arrive de me connecte avec un réseau wifi invité opéré par Orange.
    Dans mes deux cas la solution est la même. Le portail me demande mon adresse mail et me fourni un code d'authentification à validité limitée. Une information m'est donné sur les conditions de connexion. Si je les accepte je peux accéder à internet. En aucun cas le flux https est intercepté et il n'y pas d'installation de certificat sur ma machine. Par contre le portail lui me présente un certificat valide.



  • Pourquoi ladresse MAC ne me permettrait pas de pouvoir identifier un utilisateur ?

    De plus, en quoi vos exemples de connexion par adresse mail va permettre d'identifier l'utilisateur, et prouver aux autorités qu'une mauvaise utilisation du réseau n'a pas été faite par le titulaire de la ligne ?

    Pour info :

    La loi pour la confiance dans l’économie numérique du 21 juin 2004 (dite LCEN) impose aux FAI la conservation des données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elle est prestataire » (article 6 II). Ainsi, le FAI doit, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre la mise à disposition de l’autorité judiciaire d’informations, pouvoir "déconfidentialiser" les données si l’autorité judiciaire lui en fait la demande.

    –> Il faut bien identifier l'utilisateur, et être même capable de déconfidentialisé les données en cas de demande, donc mettre en place une solution qui va juste donnée accés a une adresse mail "fake@gmail.com" de se connecter, hmm... jpense pas que niveau identification ça soit grandement efficace !

    Le décret du 24 mars 2006 a ainsi créé un nouvel article R.10-13 du CPCE, qui décrit les catégories de données à conserver. Il s’agit :
    des données relatives aux équipements terminaux de communication utilisés ;
    des caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
    des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
    des données permettant d’identifier le ou les destinataires de la communication.
    Les données concernées sont, à titre d’exemple, les « log » de connexions (heures de connexion et durée de la connexion), l’adresse IP, …



  • être même capable de déconfidentialisé les données en cas de demande

    Absolument pas. Le texte ne le demande pas et par ailleurs la ;oi sur le secret des correspondances s'applique. Aucun opérateur ne fait d'interception SSL.

    Pourquoi ladresse MAC ne me permettrait pas de pouvoir identifier un utilisateur ?

    Si une adresse mac correspond à une machine à un moment donné, il est trivial d'en changer. Par ailleurs c'est juste celle de la dernière interface utilisée sur le segment de réseau. Jamais l'adresse mac, ni l'ip n'ont authentifié un utilisateur. Ces données peuvent constituer une présomption de l'origine des données mais en aucun cas une authentification utilisateur, ni même machine. Dans le cadre d'Hadopi, où l'ip a été retenu comme base d'authentification, la CNIL a émis de forte réserves sur ce point.

    donc mettre en place une solution qui va juste donnée accés a une adresse mail "fake@gmail.com" de se connecter, hmm… jpense pas que niveau identification ça soit grandement efficace !

    Je ne suis pas certain de comprendre ce que vous voulez dire.
    Le législateur considère que l'utilisateur qui fourni volontairement une adresse mail fausse contrevient au contrat d'utilisation et à la législation. Aussi absurde que cela vous paraisse. Si vous devez décliner votre identité à la demande d'un fonctionnaire habilité, vous donnez un faux nom ? Oui vous pouvez. C'est répréhensible. Je peux vous garantir que les utilisateurs de cette méthode (un très gros cabinet d'avocat au niveau mondial) savent ce qu'ils font. Il se trouve que c'est suffisant pour dégager la responsabilité de l'entreprise. Celle ci a aussi pris la précaution d'utiliser pour ce trafic invité, une ip publique distinct de celles utilisées pour les flux maitrisés, exclusivement généré par des collaborateurs salariés.
    Libre à vous.



  • Si nous résumons alors tout ce qui a été cité précédemment, ce qu'il faut mettre en place c'est :

    • Un portail captif affichant une charte de confidentialité lors de la connexion d'un utilisateur,
    • Une connexion grâce à l'adresse mail de l'utilisateur qui lui enverras un code d'authentification,
    • Les logs des URL visités par les utilisateurs,

    Imaginons maintenant que l'utilisateur exemple@gmail.com se connecte à mon réseau wifi et utilise ma connexion à des fin frauduleuses, il sera nécessaire de pouvoir "l'identifier"

    Les logs obtenus auront très certainement cette forme : Adresse IP local - date/heure de la requête - URL visité
    –> Il faudra donc avoir la possibilité de savoir que l'utilisateur possédant l'adresse mail exemple@gmail.com c'est vu attribué l'adresse 192.168.x.x à moment précis ? comment procédé ?

    De plus, si pour ses actions malveillantes l'utilisateur c'est connecté à un site utilisant le protocole HTTPS, comment avoir l'URL de ce site dans nos logs sans utilisation de SSL filtering ?

    Nul besoin d'intercepter le flux https pour collecter ces données. Sur une demande de connexion faite directement en htts le hello de la négociation SSL permet de connaitre le nom du site demandé.

    Comment mettre ça en place ?

    Merci de vos réponses.