Gestion des logs



  • Bonjour,

    Je me tourne vers vous pour avoir un petit renseignement.

    Pour un projet, j'ai mis en place un portail captif avec pfsense avec serveur radiuspour du wifi.
    Jusqu'ici tout fonctionne.

    Maintenant j'arrive à l'étape de gestion des logs, car comme vous le savez depuis la loi de 2006, il y a obligation de conserver les logs de navigation (date, heure, nom utilisateur, sites visités).
    J'ai donc mis en place squid avec lightsquid qui propose une interface avec les sites visités. Sauf que le problème est que je n'ai pas le nom d'utilisateur mais son adresse IP, et sachant que les client sont en dhcp, un utilisateur n'aura pas forcément la même IP à chaque fois.

    Je voudrais donc savoir si il est possible de faire le lien entre le radius et squid pour avoir le nom de mes utilisateurs.

    Merci d'avance

    Cordialement



  • Je vais détailler ma configuration.

    J'ai donc mis en place le portail captif avec redirection vers page d'authentification.

    Les logins et mot de passe des clients sont stockés dans un serveur radius interne à pfsense. J'ai utilisé le paquet freeradius et non freeradius2.

    La configuration est vraiment simple, j'ai mis une adresse à mon radius qui est donc la même adresse que pfsense vu que le serveur est interne à pfsense avec le port 1812.
    Ensuite j'ai activer les logs (Radius logging, log bad authentication et log good authentication).

    Voila

    Cordialement



  • C'est la difficulté ! (Enfin il y en a plusieurs)

    • L'identité ?
      Au niveau du firewall, on ne gère que des trafics ip (avec adresse ip). (Et une adresse MAC).

    Le trafic http peut passer par un proxy (Squid).
    Sur celui-ci, on peut ajouter une authentification (base texte, SQL, LDAP, AD, …, Radius ?)
    Avec cette authentification, le log (access.log) contiendra adresse ip et identifiant.

    Si l'identité est dans Radius, il faudra "synchroniser" les logs Radius et Squid ...

    Hors de Squid, on peut tracer les nouvelles sessions (SYN) entre une adresse ip du LAN et une adresse ip externe.
    Mais cela ne donne absolument pas une URL ni un nom de domaine !

    • autre difficulté
      La mise en place d'un proxy dédié est souvent nécessaire.
      Avec la déclaration qui va avec (WPAD).

    Les logs de Squid deviennent assez gros et rapidement. (Et ils ne passent pas par syslog !)
    Il y a lieu de travailler la rotation des logs pour les transférer vers une machine de stockage (sur laquelle il pourrait y avoir un LightSquid p.e.)



  • Tout d'abord, merci de votre réponse.

    Si je comprend bien il est donc possible de synchroniser les logs du radius avec les logs de squid. Est-ce que vous auriez une procédure ou de la documentation?
    Pour l'authentification sur squid, je ne comprend pas à quoi elle sert. Si je rajoute des utilisateurs dans squid qu'est ce que ça m'apporte?

    Pour le serveur dédié, c'est bien la le problème c'est que c'est une de mes contraintes, il faudrait que tout se fasse sur pfsense.

    Cordialement



  • Pour Squid, s'il est configuré pour une authentification, directement le log (access.log) contient ET adresse ip ET identifiant.

    Le portail captif (dont il faudrait détailler dans le fil d'origine la solution) identifie à partir de (free)Radius.
    Donc on doit trouver dans syslog une ligne horodatant l'identification (adresse ip <-> identifiant).
    A l'aide d'un programme (à écrire), on devrait pouvoir reporter l'identifiant dans les lignes d'access.log en face de l'adresse ip.
    C'est incertain mais c'est sans doute possible … (et c'est à développer ailleurs que sur le firewall/portail captif)



  • ok

    Mais est ce que avec freeradius2 il serait possible de synchroniser les logs de squid et de radius pour avoir dans lightsquid les nom des utilisateurs??



  • Je souligne que, seul, un proxy (comme Squid) sait analyser l'intérieur du flux http pour en extraire dans un log date, heure, adresse ip, url, (+ identifiant).

    Un portail captif n'est là que pour "ouvrir" la traversée d'un firewall selon une authentification (la plus souvent avec Radius).

    Sans proxy, il n'y a pas de fichier d'url.
    Sans authentification dans le proxy, il faut "synchroniser à la main" le log radius et le log du proxy.

    (Je n'ai jamais testé un portail captif ni radius, je ne donne qu'une réflexion générale …)


Log in to reply