Sauvegarder les logs

A7X

Bonjour,

et bien si j'ai bien compris ce sont des logs de types syslog.
D'accord pour le proxy mais la blacklist est géré par mon pare-feu en principe. j'en ai parler à l'informaticien qui est avec moi et il ne comprend pas pourquoi il faut mettre un proxy puisque ce qu'on me demande c'est juste d'envoyer les logs vers un serveur afin que ces logs puissent être sauvegarder.

jdh

Et non !
Vous n'avez pas compris comment ça fonctionne (… ce qu'on soupçonnait !)

Le portail captif ne sert qu'à ouvrir, après authentififcation, la traversée du firewall. Point barre.
Il est sans doute possible de trouver dans sylog l'autorisation (identifiant -> @ip).

Une fois, la traversée autorisée, il faut passer au travers d'un proxy (Squid) pour voir les url cherchées.
On trouvera donc dans les logs Squid, les url cherchées par @ip (et non identifiant).
(Et SEUL Squid est capable de reconnaitre l'url !!!)

Il n'est donc pas simple d'associer des url à un identifiant du portail captif ...

A7X

Donc on reprend voici ce que donne mon schéma actuel dans un premier temps, mon utilisateur s'identifie et peut accéder à internet si c'est bon, il traverse donc le portail et le firewall.
Dans un second temps je veux rajouter un serveur connecter à pfsense me permettant de sauvegarder les logs des utilisateurs (comme vous l'avez surement déjà compris). Donc ce sont des logs de type squid (est-ce bien cela ?) que je dois sauvegarder sur le serveur de logs. Etant un peu perdu dans toutes ces infos :
Que dois-je installer sur mon serveur afin que pfsense envoi les logs sur ce serveur pour que les logs soient sauvegarder et ce qui me permettrait de voir ces logs ?

![schéma actuel.jpg](/public/imported_attachments/1/schéma actuel.jpg)
![schéma actuel.jpg_thumb](/public/imported_attachments/1/schéma actuel.jpg_thumb)
![schéma log.jpg](/public/imported_attachments/1/schéma log.jpg)
![schéma log.jpg_thumb](/public/imported_attachments/1/schéma log.jpg_thumb)

ccnet

Rapidement je n'ai pas beaucoup de temps ces jours ci. Pour activer les logs distant sur Pfsense :

Click Status > System Logs
Click the Settings tab
Check Enable syslog'ing to remote syslog server
Type the IP of your logging server in the box next to Remote syslog server
Check the boxes for the log entries you would like to forward
Click Save
You should start to see log messages flowing to the target system.

Bref RTFM.

Pour le proxy c'est autre chose. Vous l'avez monté sur Pfsense ?

A7X

ça ok je l'ai fais mais pas le proxy par contre

ccnet

Le proxy :
1 . Il ne devrait pas être sur Pfsense.
2 . C'est un package, donc ce n'est pas Pfsense, donc c'est un autre paramétrage. Je ne savais pas ce que les concepteurs du package avait prévu et j'ai trouvé ceci : https://forum.pfsense.org/index.php?topic=49351.0
Le serveur distant doit être capable de comprendre les logs Squid pour vous les présenter agréablement. De mémoire Splunk le fait, d'autres aussi.

jdh

Ne vous inquiétez pas pour nous (ccnet ou moi) : nous connaissons suffisamment les problématiques générales du sujet !

Ce que vous écrivez (à 9h32 sur le forum) montre que vous n'avez pas (plus) compris ce que j'ai écrit (à 8h40) !

Il faut mettre en place un proxy Squid (et pas sur pfSense) qui sauvegardera les logs et permettra de les visualiser !

pfSense ne vous indiquera (par syslog) que "date, heure, identifiant, @ip"
le proxy Squid stocke des logs "@ip, date, heure, url …"

A7X

D'accord, j'avais compris que c'était bien de squid qu'il était question et ce qu'il affichait comme logs, ce que je n'arrivait pas à visualiser c'était comment le mettre en place mais ça commence à venir, je vais faire des recherches sur ce sujet maintenant que j'ai plus d'infos.
merci pour vos réponses

ercflmnt

Bonjour AX7

pour le syslog, une machine autre que pfsense est a utiliser.

personnellement j'utilise un smeserver pour le faire

sme est en mode serveur only

sur pfense dans le syslog j'envoie tout vers le serveur de log

dans le sme serveur j'ai 1 utilisateur qui archive les données du "message" ( syslog ) du sme
journaliérement

il faut une tache cron pour effacer automatiquement les archives de plus de 750 jours ,
la legislation ne permet pas un archivage de plus de 2 ans.

il ne faut pas oublier de backuper le syslog ( en cas de panne)

eric

A7X

D'accord mais l'idéal serait d'enregistrer les logs sur ubuntu

jdh

Sur l'autre fil j'ai donné un lien pour installer LogAnalyzer pour Debian …
Ca devrait pas être diffcile pour Ubuntu !

(Installer SME pour recueillir des syslog sans qu'il y ait une appli spécifique, c'est juste pas adapté.)

A7X

ok jvais regarder ça

A7X

Bonjour,

juste une petite question j'ai bien noté le fait que le firewall n'est pas fait pour sauvegarder les logs. Mais quand je vais dire dire à mon maitre de stage il va me demander pourquoi.

pouvez vous m'expliquer pourquoi il ne faut pas sauvegarder les logs sur le firewall ?

Merci

jdh

Le firewall n'est pas fait pour sauvegarder AUCUN log !

Ca semble évident.

ccnet

Je vais essayer d'être un peu didactique, même si cela semble aussi à mon sens assez évident.
Partons de questions simples que je vous pose. Pourquoi sauvegarde t on des logs ?
Quelles sont les conséquences techniques, organisationnelles ?

A7X

On sauvegarde les logs pour garder une trace des connexions en cas de problème, au niveau de la loi on doit garder une trace des logs pendant une durée minimale d'un an.

Oui je pense avoir compris qu'il n'est pas fais pour ça, seulement il va surement me demander pourquoi ? Je suis bien conscient que ce n'est pas son rôle premier mais pourquoi ne pourrait-t-il pas les garder

ccnet

Je suis d'accord sur la réponse. Qu'est ce que cela va impliquer ? Un indice : "une trace des connexions en cas de problème".
Pensez plus généralement sur cette question des logs.

A7X

Et bien je pense que c'est une sécurité pour l'entreprise déja parce que si elle ne sauvegarde pas ces logs l'entreprise est en infraction au niveau de la loi et que si un utilisateur visite un site pas recommandable (exemple : drogue, explosifs etc…) une enquête judiciaire peut avoir lieu et l'entreprise doit pouvoir fournir ces logs afin de savoir qui c'est connecter tel jour à tel heure.

jdh

Il y a (au moins) 2 raisons parfaitement évidentes (si on réfléchit 2 minutes) :

les logs (syslog) NE DOIVENT PAS rester car en cas de compromission ou en cas d'arrêt, les logs deviennent non valables ou inaccessibles !
un firewall traite des paquets et n'est pas une machine de stockage.
(Notez que je ne parle pas des logs de proxy puisque le proxy ne se place pas sur le firewall !)

Il faut juste prendre 2 minutes de recul (… comme l'indique parfaitement les questions de ccnet).

Puisque j'ai indiqué qu'il y a plusieurs type de logs, merci de préciser à chaque fois, de quel logs vous parlez !
Visiblement, il FAUT ajouter de la précision dans vos propos : vous gagnerez en efficacité parce que vous serez plus précis.

ccnet

@A7X:

Et bien je pense que c'est une sécurité pour l'entreprise déja parce que si elle ne sauvegarde pas ces logs l'entreprise est en infraction au niveau de la loi et que si un utilisateur visite un site pas recommandable (exemple : drogue, explosifs etc…) une enquête judiciaire peut avoir lieu et l'entreprise doit pouvoir fournir ces logs afin de savoir qui c'est connecter tel jour à tel heure.

Oui ok pour l'aspect juridique, mais pas seulement. Il faut aller au bout des conséquences.