Récupérer les logs du trafic réseau



  • Contexte : Bonjour à tous ! Suite à la réception d'une cinquantaines de tablettes dans un lycée, je me retrouve à devoir déployer un réseau pour ces dernières. J'ai un niveau passable en réseau mais je suis totalement nouveau sur Pfsense. J'avais installé à l'époque Ipcop mais n'étant plus mis à jour, j'ai décidé de déployer ce réseau sous Pfsense qui répondra mieux à mes attentes !

    Schéma :
    WAN (modem) : La connexion arrive directement d'un câble qui est connecté au modem/routeur orange. IP: 192.168.1.100

    LAN : nombre 1, utilisé uniquement par moi en cas de de soucis technique.

    VLAN : 4
    VLAN Wifi avec Unifi 50.1.1.1
    VLAN Administratif 20.1.1.1
    VLAN Salle Info 40.1.1.1
    VLAN Prof 30.1.1.1
    Tous configurés et fonctionnant parfaitement

    Packages ajoutés : PfNlockerNG

    Question : J'ailerais savoir si un log, ou un package existe qui me permette d'avoir l'historique des adresses IP connectées suivi des adresses qu'ils ont consultés ( d'avoir un traçage en gros ). Sachant que j'utilise un blocage DNS (DNSBL) J'arrive à avoir les ip interceptées + le nom de domaine dans les logs de DNSBL , mais pas le traffice autorisé

    Recherches : J'ai tenté d'installer plusieurs package ( blockpng, bandswitchd ) mais je n'ai pas trouvé min bonheur.

    Merci de votre aide encore une fois :)



  • @Lebleu said in Récupérer les logs du trafic réseau:

    VLAN Wifi avec Unifi 50.1.1.1
    VLAN Administratif 20.1.1.1
    VLAN Salle Info 40.1.1.1
    VLAN Prof 30.1.1.1

    Ces numéros de réseau ne sont pas conforme à la RFC 1918. A terme vous n'aurez que des ennuis avec ce choix d'adressage.

    L’outil dont vous avez besoin s'apelle un proxy. C'est un vrai projet avec implications juridiques et RGPD notamment.



  • Merci, je me suis renseigner sur la norme RFC 1918 et j'ai prévu de changer ces adresses afin qu'elles soient conforme.

    D'accord, je connais sur Pfsense les paquets Squid , SquidGuard et LightSquid. Ils cohabiteront sans soucis avec DNSBL.

    Deuxième question du coup, pourrais je avoir les adresses ip + site consultés en configurant le proxy en mode transparent ? il me semblais avoir eu ce soucis lorsqu'il s'agissait de bloquer des sites en https. Vu que là je veux seulement avoir une trace et non un filtrage je n'aurai pas ce problème du coup ?



  • Pour reprendre Ccnet, mettre en oeuvre un proxy (seule solution qui permet de savoir qui=adresse ip accède à quoi=url de sites) nécessite

    • une compréhension de ce qui se passe (au plan technique)
    • une compréhension des outils (proxy, wpad, ...) et choix possibles (proxy transparent, proxy explicite, ...)
    • une compréhension de l'aspect juridique avec qu'est ce qui est exigé, quelles informations sont fournies aux utilisateurs, impact par rapport à RGPD.

    Sur les points techniques, cela a été moultes fois exposé sur le forum, donc lire les fils sur le sujet. Pour commencer, quelques BONNES pratiques, que moi ou ccnet ou d'autres recommandons :

    • utiliser WPAD, pour faciliter la config des navigateurs,
    • utiliser un proxy dédié, pour limiter la charge sur le firewall, surtout fonction du traffic et du nombre d'utilisateurs,
    • ne pas penser proxy transparent, puisque https ne fonctionne pas,
    • ne pas penser à (l'horrible) SSLBUMP qui casse la sécurité https, trompe l'utilisateur final, et finira par ne plus fonctionner (à cause de HSTS).


  • Bien merci ! J'ai fait une petite révision sur les termes cités plus haut, et j'ai découvert le principe et fonctionnement du wpad

    Pour commencer en interne, je vais configurer le proxy sur mon pfsense. Puis je m'aider de ce tuto ? Merci
    https://datalogus.blogspot.com/2016/06/pfsense-231-security-explicit-squid.html


Log in to reply