• Bonjour,

    je suis en stage et je dois installer un portail captif ce qui est fais. J'en viens à mon sujet mon maître de stage m'as demander de sauvegarder les logs des utilisateurs (savoir sur quels sites ils vont) au cas ou la police viendrait dans l'entreprise. Donc voila mon prof m'as parler d'un serveur syslog mais le problème est que je n'en ai jamais fais et les tutos que je trouve sur internet ne m'aide pas beaucoup.

    Alors je voudrais savoir si quelqu'un aurait un bon tuto mis à jour et pas très compliqué ? et si quelqu'un peut également m'en, dire plus sur le serveur syslog ? merci

    PS : je travail avec un ubuntu version 13.10 en virtuel pour mes tests (donc la ou sera le serveur syslog). car dans l’entreprise ils ont un serveur ubuntu mais l'informaticien qui est avec moi pense que je pourrais également mettre le syslog sur le firewall.

    merci d'avance pour vos réponses

    A7X


  • mais l'informaticien qui est avec moi pense que je pourrais également mettre le syslog sur le firewall

    Surement pas !! On ne stocke pas des logs sur un firewall. On ne fait s’exécuter sur un firewall que les processus strictement nécessaires.

    Pour le reste la question n'est pas liée à Pfsense. Vous pouvez regarder une solution comme graylog2. Il y a une procédure d'installation documentée. La solution est plus performante qu'un syslog de base pour exploiter les logs de multiples systèmes.
    Une dernière chose : toutes les applis ne produisent pas des logs dans le même format, typiquement Squid qui est spécifique.

    Alors je voudrais savoir si quelqu'un aurait un bon tuto mis à jour et pas très compliqué

    Et si vous cherchiez un peu, juste histoire d'apprendre quelque chose ? C'est surtout pour vous. Pour moi je sais chercher, lire les docs, apprendre …


  • Il a dit que le firewall avait peut etre un système syslog donc après je ne sais pas.
    j'ai chercher mais ya toujours un truc qui merde dans les tutos que je trouve donc le problème ne viens pas de moi :)


  • Si vous souhaitez perdurer dans ce métier, il va falloir songer à vous prendre en main.


  • Si je pose une question ici c'est justement parce que je ne connais pas et que je veux apprendre mais bon c'est sur que quand on demande quelque chose la seule réponse que l'on a c'est :" fais des recherches, moi je sais faire " ça ne m'aide pas beaucoup donc si vous avez une réponse sérieuse à ce que j'ai demandez je suis prêt à l'entendre (enfin la lire) sinon ce n'est pas la peine de prendre ce ton de supériorité.

    Cordialement

    quelqu'un souhaitant progresser :)


  • la seule réponse que l'on a c'est :" fais des recherches, moi je sais faire "

    Vous déformez mes propos. Voici exactement ce que je vous ai répondu :

    Vous pouvez regarder une solution comme graylog2. Il y a une procédure d'installation documentée. La solution est plus performante qu'un syslog de base pour exploiter les logs de multiples systèmes.
    Une dernière chose : toutes les applis ne produisent pas des logs dans le même format, typiquement Squid qui est spécifique.

    Tout ce que vous trouvez à répondre c'est :

    j'ai chercher mais ya toujours un truc qui merde dans les tutos que je trouve donc le problème ne viens pas de moi

    Ceci 20 minutes après ma réponse. C'est un peu court pour quelqu'un qui souhaite progresser. En 20 minutes vous n'avez pas beaucoup creusé.

    Où sera votre valeur ajouté si vous n'êtes pas capable de traiter un problème dans le déroulement d'une procédure ? N'importe quel individu juste capable de lire et d' appuyer sur les touches fera l’affaire. On vous remplacera rapidement par une personne non qualifiée et moins couteuse.

    Des solutions j'en donne toutes les semaines. Si pour vous une solution sérieuse c'est une solution presse bouton alors je n'en donne pas. Le terrain c'est un peu plus compliqué que de suivre des procédures.


  • Mes recherches ont été faite tout l'après midi hier et ce matin donc oui effectivement j'ai fais des recherches. donc dans les 20 minutes entre les deux posts j'ai pas fait de recherches. mais sinon juste me dire que

    Vous pouvez regarder une solution comme graylog2. Il y a une procédure d'installation documentée. La solution est plus performante qu'un syslog de base pour exploiter les logs de multiples systèmes.
    Une dernière chose : toutes les applis ne produisent pas des logs dans le même format, typiquement Squid qui est spécifique.

    cela me suffisait pas la peine de rajoutez que vous savez faire une recherche et d'insinuer que je ne sais pas en faire.

    Alors ok effectivement je peux apprendre en lisant des docs et étant encore étudiant je sais qu'on peut aussi apprendre en demandant car au moins si on a des questions supplémentaires on peut demander alors qu'un document ni répondra peut etre pas.


  • mon maître de stage m'as demander de sauvegarder les logs des utilisateurs (savoir sur quels sites ils vont)

    Si vous aviez parcouru SEULEMENT ce forum, vous auriez surement observé que la MÊME question est posé dans un autre fil de cette MÊME semaine !
    On peut dire que vous n'avez pas vraiment cherché ou que l'efficacité de votre recherche est assez faible !

    Je vais donc répéter : il y a 2 types de logs

    • les logs type syslog
    • les logs type Squid

    Question : quel type de logs demandés par votre maitre de stage ?

    Il est parfaitement clair que

    • il est judicieux de créer un serveur (interne) centralisateur de log (syslog) et de configurer le firewall (et tous les serveurs souhaitables) pour envoyer vers ce serveur centralisateur.
    • il n'est pas du tout judicieux de placer un Squid sur un firewall.

    Concernant syslog, pfSense n'est pas conçu pour porter un serveur syslog : ce serait même un total non sens d'en mettre un !

    NB : Le parcours du forum aurait évité de monter dans les tours inutilement …


  • Des utilisteurs vont ce connecter sur mon portail captif je veux sauvegarder les logs de ces utilisateurs pour savoir si monsieur X va sur le site facebook par exemple. je l'ai dit dans mon premier post.


  • Cela nous l'avons compris. Donc Graylog2, Splunk sont des solutions possibles. JDH en a donné une autre.

    pour savoir si monsieur X va sur le site facebook par exemple

    Ce point nécessite une remarque. Vous n'avez pas le droit de regarder ce que Monsieur X fait avec la connexion que vous mettez à sa disposition. Les éléments juridiques, les lois qui s'appliquent, sont indiqués dans ce fil.
    https://forum.pfsense.org/index.php/topic,71206.0.html

    Compte tenu des obligations légales le portail captif ne répondra pas aux besoins. Il vous faut aussi un proxy. La loi dispose que vous devez conserver les logs pendant une année. Mais vous n'avez pas le droit de les consulter pour ce qui est des données nominatives. Vous pouvez faire des statistiques. Par exemple Monsieur X a échangé tel volume de données, mais pas consulter la liste des sites visités par Monsieur X. Enfin pour être conforme d'un point de vue juridique les utilisateurs doivent être informés de l'existence de l'enregistrement de leur activité sur internet. Très peu de gens et d'entreprises sont correctement informés sur les dispositions légales qui s'appliquent. Ce domaine est mal connuu mais fait aussi partie des questions sécurité du SI.


  • Graylog2 m'as l'air bien je vais essayer cela. oui voila il faut conserver les logs pas les consulter je me suis mal exprimer.

    Encore une question : ou doit être mis le proxy et quel rôle va-t-il jouer ?

    Merci pour vos réponses et excusez moi de m’être emporter


  • Alors, répondez d'abord à la question : de quel type de log s'agit-il ? autrement dit, est ce syslog ou Squid ?

    En fait, si la réponse ne vous est pas immédiate, c'est que vous ne comprenez pas comment fonctionne un portail captif.
    Commencez par lire Wikipedia : http://en.wikipedia.org/wiki/Captive_portal (en particulier les "Limitations")
    (Ne négligez pas et commencez toujours par Wikipedia : c'est simple, c'est intéressant, et souvent assez complet pour une première approche !)

    NB : ccnet qui a posté avant moi donne le début de la réponse …


  • @A7X:

    Encore une question : ou doit être mis le proxy et quel rôle va-t-il jouer ?

    Basiquement on peut dire cela du fonctionnement cible.
    1. Le portail captif permet de contrôler l'accès au réseau Wifi. C'est à dire que je m'assure au moyen d'une authentification que seul les utilisateurs à qui j'en donne le droit utilise ma connectivité à internet.
    2. Ensuite, si l'utilisateur est autorisé, le proxy permet :
    L'enregistrement et le stockage des logs d'accès, conformément à la loi.
    Le filtrage éventuel des contenus du web, malware, virus, etc … http://squidclamav.darold.net/
    Le contrôle des sites accessibles ou non sur la base de blacklists par exemple http://www.squidguard.org/
    Les blacklists sont téléchargeables de façon automatisée : http://dsi.ut-capitole.fr/blacklists/

    Typiquement le proxy est protégé (puisque qu'il contient des informations qui doivent être protégées) dans une dmz. Si c'est sensible on utilise un réseau d'administration distinct pour accéder à l'interface de gestion du proxy. Chez certains de mes clients toutes les interfaces d’administration des systèmes sont dans un réseau dédié avec des accès limités.


  • Bonjour,

    et bien si j'ai bien compris ce sont des logs de types syslog.
    D'accord pour le proxy mais la blacklist est géré par mon pare-feu en principe. j'en ai parler à l'informaticien qui est avec moi et il ne comprend pas pourquoi il faut mettre un proxy puisque ce qu'on me demande c'est juste d'envoyer les logs vers un serveur afin que ces logs puissent être sauvegarder.


  • Et non !
    Vous n'avez pas compris comment ça fonctionne (… ce qu'on soupçonnait !)

    Le portail captif ne sert qu'à ouvrir, après authentififcation, la traversée du firewall. Point barre.
    Il est sans doute possible de trouver dans sylog l'autorisation (identifiant -> @ip).

    Une fois, la traversée autorisée, il faut passer au travers d'un proxy (Squid) pour voir les url cherchées.
    On trouvera donc dans les logs Squid, les url cherchées par @ip (et non identifiant).
    (Et SEUL Squid est capable de reconnaitre l'url !!!)

    Il n'est donc pas simple d'associer des url à un identifiant du portail captif ...


  • Donc on reprend voici ce que donne mon schéma actuel dans un premier temps, mon utilisateur s'identifie et peut accéder à internet si c'est bon, il traverse donc le portail et le firewall.
    Dans un second temps je veux rajouter un serveur connecter à pfsense me permettant de sauvegarder les logs des utilisateurs (comme vous l'avez surement déjà compris). Donc ce sont des logs de type squid (est-ce bien cela ?) que je dois sauvegarder sur le serveur de logs. Etant un peu perdu dans toutes ces infos :
    Que dois-je installer sur mon serveur afin que pfsense envoi les logs sur ce serveur pour que les logs soient sauvegarder et ce qui me permettrait de voir ces logs ?

    ![schéma actuel.jpg](/public/imported_attachments/1/schéma actuel.jpg)
    ![schéma actuel.jpg_thumb](/public/imported_attachments/1/schéma actuel.jpg_thumb)
    ![schéma log.jpg](/public/imported_attachments/1/schéma log.jpg)
    ![schéma log.jpg_thumb](/public/imported_attachments/1/schéma log.jpg_thumb)


  • Rapidement je n'ai pas beaucoup de temps ces jours ci. Pour activer les logs distant sur Pfsense :

    Click Status > System Logs
    Click the Settings tab
    Check Enable syslog'ing to remote syslog server
    Type the IP of your logging server in the box next to Remote syslog server
    Check the boxes for the log entries you would like to forward
    Click Save
    You should start to see log messages flowing to the target system.

    Bref RTFM.

    Pour le proxy c'est autre chose. Vous l'avez monté sur Pfsense ?


  • ça ok je l'ai fais mais pas le proxy par contre


  • Le proxy :
    1 . Il ne devrait pas être sur Pfsense.
    2 . C'est un package, donc ce n'est pas Pfsense, donc c'est un autre paramétrage. Je ne savais pas ce que les concepteurs du package avait prévu et j'ai trouvé ceci : https://forum.pfsense.org/index.php?topic=49351.0
    Le serveur distant doit être capable de comprendre les logs Squid pour vous les présenter agréablement. De mémoire Splunk le fait, d'autres aussi.


  • Ne vous inquiétez pas pour nous (ccnet ou moi) : nous connaissons suffisamment les problématiques générales du sujet !

    Ce que vous écrivez (à 9h32 sur le forum) montre que vous n'avez pas (plus) compris ce que j'ai écrit (à 8h40) !

    Il faut mettre en place un proxy Squid (et pas sur pfSense) qui sauvegardera les logs et permettra de les visualiser !

    pfSense ne vous indiquera (par syslog) que "date, heure, identifiant, @ip"
    le proxy Squid stocke des logs "@ip, date, heure, url …"


  • D'accord, j'avais compris que c'était bien de squid qu'il était question et ce qu'il affichait comme logs, ce que je n'arrivait pas à visualiser c'était comment le mettre en place mais ça commence à venir, je vais faire des recherches sur ce sujet maintenant que j'ai plus d'infos.
    merci pour vos réponses


  • Bonjour AX7

    pour le syslog, une machine autre que pfsense est a utiliser.

    personnellement j'utilise un smeserver pour le faire

    sme est en mode serveur only

    sur pfense dans le syslog j'envoie tout vers le serveur de log

    dans le sme serveur j'ai  1 utilisateur qui archive les données du "message" ( syslog  ) du sme
    journaliérement

    il faut une tache cron pour effacer automatiquement les archives de plus de 750 jours ,
    la legislation ne permet pas un archivage de plus de 2 ans.

    il ne faut pas oublier de backuper le syslog ( en cas de panne)

    eric


  • D'accord mais l'idéal serait d'enregistrer les logs sur ubuntu


  • Sur l'autre fil j'ai donné un lien pour installer LogAnalyzer pour Debian …
    Ca devrait pas être diffcile pour Ubuntu !

    (Installer SME pour recueillir des syslog sans qu'il y ait une appli spécifique, c'est juste pas adapté.)


  • ok jvais regarder ça


  • Bonjour,

    juste une petite question j'ai bien noté le fait que le firewall n'est pas fait pour sauvegarder les logs. Mais quand je vais dire dire à mon maitre de stage il va me demander pourquoi.

    pouvez vous m'expliquer pourquoi il ne faut pas sauvegarder les logs sur le firewall ?

    Merci


  • Le firewall n'est pas fait pour sauvegarder AUCUN log !

    Ca semble évident.


  • Je vais essayer d'être un peu didactique, même si cela semble aussi à mon sens assez évident.
    Partons de questions simples que je vous pose. Pourquoi sauvegarde t on des logs ?
    Quelles sont les conséquences techniques, organisationnelles ?


  • On sauvegarde les logs pour garder une trace des connexions en cas de problème, au niveau de la loi on doit garder une trace des logs pendant une durée minimale d'un an.

    Oui je pense avoir compris qu'il n'est pas fais pour ça, seulement il va surement me demander pourquoi ? Je suis bien conscient que ce n'est pas son rôle premier mais pourquoi ne pourrait-t-il pas les garder


  • Je suis d'accord sur la réponse. Qu'est ce que cela va impliquer ? Un indice : "une trace des connexions en cas de problème".
    Pensez plus généralement sur cette question des logs.


  • Et bien je pense que c'est une sécurité pour l'entreprise déja parce que si elle ne sauvegarde pas ces logs l'entreprise est en infraction au niveau de la loi et que si un utilisateur visite un site pas recommandable (exemple : drogue, explosifs etc…) une enquête judiciaire peut avoir lieu et l'entreprise doit pouvoir fournir ces logs afin de savoir qui c'est connecter tel jour à tel heure.


  • Il y a (au moins) 2 raisons parfaitement évidentes (si on réfléchit 2 minutes) :

    • les logs (syslog) NE DOIVENT PAS rester car en cas de compromission ou en cas d'arrêt, les logs deviennent non valables ou inaccessibles !
    • un firewall traite des paquets et n'est pas une machine de stockage.
      (Notez que je ne parle pas des logs de proxy puisque le proxy ne se place pas sur le firewall !)

    Il faut juste prendre 2 minutes de recul (… comme l'indique parfaitement les questions de ccnet).

    Puisque j'ai indiqué qu'il y a plusieurs type de logs, merci de préciser à chaque fois, de quel logs vous parlez !
    Visiblement, il FAUT ajouter de la précision dans vos propos : vous gagnerez en efficacité parce que vous serez plus précis.


  • @A7X:

    Et bien je pense que c'est une sécurité pour l'entreprise déja parce que si elle ne sauvegarde pas ces logs l'entreprise est en infraction au niveau de la loi et que si un utilisateur visite un site pas recommandable (exemple : drogue, explosifs etc…) une enquête judiciaire peut avoir lieu et l'entreprise doit pouvoir fournir ces logs afin de savoir qui c'est connecter tel jour à tel heure.

    Oui ok pour l'aspect juridique, mais pas seulement. Il faut aller au bout des conséquences.


  • Je parle des logs d'authentification donc des logs squid si j'ai tout bien compris.


  • Ok on sauvegarde les logs pour répondre à des obligations juridiques et, ou réglementaires. C'est dit.
    On le fait aussi pour des raisons d'exploitation et de sécurité. Lors de l'apparition d'un dysfonctionnement on a très souvent besoin des logs pour comprendre ce qui se passe. Ici les critères impactés en terme de sécurité sont potentiellement le disponibilité, l'intégrité, voire la traçabilité.
    Autres raisons de sécurité : pour certains réseaux on utilise des outils de corrélation et d'analyse de logs pour détecter des anomalies, des trafics ou des comportements suspects ou dangereux.
    On a donc besoin d'accéder (applications, utilisateurs) aux logs. On a besoin de rechercher dans les logs, de les extraire, etc  ….
    Vous comprendrez dès lors que pour la sécurité d'un équipement sensible comme le firewall il soit hors de question de faire toutes ces opérations sur notre précieux firewall. De plus les personnes habilités à exploiter des logs ne le sont pas nécessairement à accéder au firewall. Du moins c'est préférable.
    Avec nos deux réponses il me semble que vous avez quelques arguments et éléments de compréhension du pourquoi. Comme vous le voyez ce n'est pas une question de principe mais de sécurité.


  • Très bien je vous remercie pour ces explications =)