pfsense squid https, alternative ?
-
Bonjour et merci d'avance pour votre aide. Je sais que c'est un sujet plusieurs fois évoqué sur les forums mais je n'ai malheurerusement pas trouvé jusqui'ici de réponse à mes questions.
Nous sommes un hotel avec un server pfsense, 2 wan, un pour la voip et l'autre pour diffuser le wifi auprès de nos clients.
Afin de répondre à nos obligations légales d'historiser les logs des personnes qui se connectent à notre réseau j'ai un serveur syslog d'un côté qui historise les connexions dhcp (avec les adresses mac), et de l'autre j'utilise squid en version transparente + ssl bump + lightsquid, qui historise toutes les connexions par adresse ip.
Jusque là tout va bien sauf que je recherche une solution alternative au ssl bump de squid afin de capter dans mon lightsquid (ou autre) les logs utilisateurs.
Je sais que WPAD fonctionne aussi avec un squid explicite (je l'ai testé), mais pas sur les Android...
Bref une solution alternative a squid pour historiser toutes les connexions ?
Merci encore pour votre aide. -
Vous faites une bonne analyse de la situation !
Le mode transparent :
- ne fonctionne que pour HTTP : la plupart des sites sont déjà passés à HTTPS,
- pour fonctionner avec HTTPS, il faut SSL BUMP : casse la sécurité, interdit le contrôle, voué à échouer à cause de HSTS, peut-être illégal, bref ...
(Vous noterez que peu de gens vérifient le certificat du site web de leur banque : du moment qu'il y a la barre verte !)
Le mode explicite :
- fonctionne pour HTTP et HTTPS sans casser la sécurité : il faut le dire !!
- WPAD fournit le proxy : (assez) facile à mettre en oeuvre, mais tous les matériels et navigateurs ne le supportent pas
Difficile de remplir l'exigence légale ...
Le meilleur (moins pire ?) pour moi est mode explicite + WPAD : ça fonctionne sur pas mal de choses, et tant pis pour les smartphone 'ils n'ont qu'à avoir du forfait !'
(Une question pour moi : quels protocoles autorisez vous pour vos clients ? http+https seulement, ou plus de choses ?)