Avoir des logs sur qui va sur quel site



  • Bonjour à tous,

    J'ai installer PFsense avec un netgate 3100. J'ai activer le portail captif et j'ai installer et activer squid et lightsquid. J'ai des logs qui me permette de voir quelle adresse IP va sur quelle site.

    Mon problème est qu'une écolé a reçu un courrier d'hadopi car un film a été téléchargé. Avec mon installation je suis incapable de savoir qui car au mieux je vais trouver le site web de téléchargement et l'adresse IP. Mais comme on est en DHCP je ne sais pas quel PC possède cette adresse.

    Je n'ai pas la main sur les PC des étudiants pour installer un proxy avec authentification car ce sont des étudiants qui ne reste qu'une semaine et qui reparte.

    J'avais essayer y'a un an d'installer WPAD mais le problème est qu'il ne fonctionne pas avec les applications des smartphone. Si onlance par exemple l'application le bon coin on ne peut pas lui donner des paramètres de proxy...

    Comment faire pour avoir des logs des connexions pour savoir qui fait quoi ?

    Merci



  • Salut salut

    bon pour faire simple est cassant ==> avec des dé à 12 faces, un bol monstre, sans plus d'information que votre structure nous irons pas plus loin.

    Donc a lire ce qu'il y a si après, car nos ne sommes ni devins ni omniscient.
    https://forum.netgate.com/topic/71599/a-lire-en-premier-charte-à-respecter-pour-la-demande-d-aide

    Il vous manque une chose élémentaire à première lecture de ce premier post que vous nous présenté là

    @carbone said in Avoir des logs sur qui va sur quel site:

    Bonjour à tous,
    J'ai installer PFsense avec un netgate 3100. J'ai activer le portail captif et j'ai installer et activer squid et lightsquid. J'ai des logs qui me permette de voir quelle adresse IP va sur quelle site.
    Mon problème est qu'une écolé a reçu un courrier d'hadopi car un film a été téléchargé. Avec mon installation je suis incapable de savoir qui car au mieux je vais trouver le site web de téléchargement et l'adresse IP. Mais comme on est en DHCP je ne sais pas quel PC possède cette adresse.
    Je n'ai pas la main sur les PC des étudiants pour installer un proxy avec authentification car ce sont des étudiants qui ne reste qu'une semaine et qui reparte.
    J'avais essayer y'a un an d'installer WPAD mais le problème est qu'il ne fonctionne pas avec les applications des smartphone. Si onlance par exemple l'application le bon coin on ne peut pas lui donner des paramètres de proxy...
    Comment faire pour avoir des logs des connexions pour savoir qui fait quoi ?



  • Ces problématiques sont maintes et maintes fois posées sur le forum.
    Comme la base est de commencer par se faire une opinion avec ce qui est déjà évoqué sur le forum, je ne vois pas l'utilité de 're-poser' les questions pour la Nième fois, sauf à écrire sur 'j'ai décidé de faire comme ça'.

    Quelques bons principes :

    • éviter de mettre le proxy sur le firewall !
    • mettre en place wpad : pour éviter d'intervenir sur les navigateurs des utilisateurs, facile et sans contrainte.
    • tant pis pour les applications qui ignorent les proxy(ies) ou qui ignorent la découverte de proxy par wpad : les développeurs c'est comme les chasseurs, il y a le bon chasseur et le mauvais chasseur !
    • les logs demandés exige une adresse ip, pas un identifiant : différence subtile mais importante, d'ailleurs pourrait on être redevable d'une identification précise d'un individu (de quel droit ?)

    Enfin, associer une adresse ip (dans le log du proxy) et un identifiant (dans le log d'un portail captif) est tout sauf automatique et facile à faire !



  • Bonjour,

    Hadopi veut dire peer-to-peer et non téléchargement direct, cela va être difficile de retrouver le "coupable".

    1/ il a associé le torrent/magnet en dehors de votre LAN : pas de trace de visite d'un site de téléchargement. Le seul usage d'un client peer-to-peer peut être interdit par votre charte (vous en avez une bien sur !), mais n'est pas une condition suffisante pour pouvoir l'incriminer au niveau HADOPI.... (en passant on se demande bien pourquoi ce protocole est autorisé).

    2/ il a réalisé l'opération complète depuis votre LAN :

    • la visite du site annuaire torrent peut être contraire à votre charte
    • mais si on se limite aux logs DNS/proxy cela ne prouve en rien qu'il a téléchargé le fichier associé.

    Mon avis, faites en sorte que les protocoles peer-to-peer usuels ne soient pas possibles depuis le LAN avant de songer à avoir des logs.



  • Salut salut

    Pas possible de bloquer se type de protocole sous peine d'avoir quelques soucis avec

    • windows update est sur ce mode là
    • le store windows idem et les applications qui elles aussi le font.
    • dreamspark (téléchargement des iso ou exe des certain éditeurs dont Microsoft)
      -...

    J'ai eu un soucis avec cet organisme alors que j'avais plusieurs abonnement en cours avec des services de mise a dispo officiel d'iso et autre produit. quand on a des téraoctets de data qui transitent par plusieurs liens internets vers mon réseau, mais rien d'illégale, même certain fournisseurs de vod utilisent ce type de protocole pour le téléchargement à but de visualisation différé.

    La seule manière de faire dans les moins pires serait une gestion des droits sur les machines (Ad, ldap... signaux de fumé)

    • sur le compte de l'utilisateur
    • sur le poste qui accèdes à ce poste et pas à l'autre...
    • gestion des mises à jours des systèmes et applications non accessible à un quidam donc un comptes avec pouvoir de...
    • gestion horaires pour les accès à l'application x ou y par l'utilisateur 1 ou 3 mais pas par 2
    • les log et alertes , bien évidement pas sur le pare feu machine dedier (vm ou physique)
    • dispositions légales liées à l'activité et les limites de responsabilités....

    bref,
    Pour une école en France ===> éducation nationale, guichet unique, Région, chef d'établissement. quelques soit le type d'ecole primère, secondaire... il y a des responsable légaux, et aussi des impératifs que certains d'entres eux ne sont mêmes pas contients et ou ne veulent pas en être. en plus de cela on rajoute les collectivités locales qui fournissent tout ou partie du matériel.

    Bon courage



  • @Tatave merci pour l'info, sans Microsoft à la maison, j'ai pu tout bloquer sans souci. Et la vod/replay fonctionne en remplissant mes logs.

    En ligne avec la responsabilité de l'éducation nationale, mais en attendant, cela peut être une option envisageable faute de mieux :

    • pas de MAJ Microsoft pour les étudiants (je sais, c'est mal), mais il est dit qu'ils ne restent qu'une semaine.
    • MAJ pour les postes de l'école... et contrôle des applications pour éviter le P2P

    Cela irait aussi dans le bon sens, avec 2 LAN, un pour le matériel en propre, l'autre pour le BYOD.

    Pas idéal, mais on réduit les possibilités de contournement.



  • Merci pour vos réponses,

    @jdh personnellement j'ai chercher de partout et je ne trouve pas de réponse à cette problèmatique. Or, normalement tout réseau wifi public doit avoir des logs et être capable d'identifié un ordinateur ou un utilisateur

    @HuskerDu Oui l'école à une charte informatique mais bon les étudiants s'en foute hein... le problème est que si l'école se fait prendre une deuxième fois ils peuvent couper Internet...

    Est ce que vous savez du coup comment fait McDonald quand on se connecte en wifi il nous demande une adresse email et un mot de passe comme un portail captif. Je suppose qu'après il peuvent relier notre adresse email avec nos données de navigation ? Est ce qu'un proxy peut faire ça ? SI oui est ce que Pfsense fait ça ?



  • J'ai déjà expliqué que l'identification est impossible et illusoire : l'usage demande juste une adresse ip, au mieux un identifiant de portail ...

    D'ailleurs regardez ce qui est fait chez des restaurants de gastronomie américaine : on demande une adresse mail mais juste 'x@x.com' fonctionne car cela a bien la forme d'une adresse email !

    Pour des 'visiteurs irréguliers', il suffit de

    • créer un signal 'visiteur'
    • autoriser uniquement http, https et pas plus sur cette zone

    Il n'y a nul besoin de fournir quoi que ce soit d'autre ...
    Dans le sens inverse, si vous commencez à ouvrir autre chose, il en faudra toujours plus ... et il n'y aura que des emmerdes !


Log in to reply