Squid log adresse mac



  • Bonsoir,

    Dans le cadre d'un milieu professionnel, j'aimerai pouvoir rajouter dans le fichier access.log dans le dossier /var/squid/logs les adresses mac dans le cadre de la loi du 26 mars 2006 sur la sauvegarde des données des utilisateurs sur 1 an.

    Merci pour votre aide.

    Cordialement,
    Thomas



  • 1 - tu trouveras de l'aide ici.
    2 - Probablement faisable sur un Squid "externe" (sur celui de pfSense, je ne sais pas si c'est jouable / intéressant / utile)
    3 - Attention à cette approche que j'avoue avoir un peu du mal à comprendre: l'adresse MAC n'est pas quelque chose d'immuable. Il est assez facile de la changer et d'en forger une autre. De plus, un utilisateur qui passe par un routeur montrera à Squid non pas sa propre adresse MAC mais celle du routeur et enfin ce mécanisme, à supposer qu'il soit "fiable", n'identifie pas un utilisateur mais une machine. Tu ne sauvegardes donc pas les données utilisateur.

    les adresses mac dans le cadre de la loi du 26 mars 2006 sur la sauvegarde des données des utilisateurs sur 1 an



  • les adresses mac dans le cadre de la loi du 26 mars 2006 sur la sauvegarde des données des utilisateurs sur 1 an

    .
    Cette méthode n'est pas conforme à ce que demande la loi. Elle n'a, fondamentalement, (votre méthode) aucune force probante puisqu'il est absolument trivial de changer l'adresse mac envoyée sur le réseau. Dans l'hypothèse où ce ne serait pas le cas vous pourriez, au mieux, prétendre "authentifier" une machine. Notez la présence des guillemets. Par ailleurs cette solution à un défaut conceptuel majeure : dès que la trame traverse un dispositif réseau actif (pont, routeur, …) l'adresse mac source est modifiée au passage par le dispositif en question conformément au principe de fonctionnement d'ethernet.



  • Bonjour,

    Merci pour vos réponses.

    Pour le lien que tu m'as envoyé chris4916 je l'avais déjà intégrer en dur dans le fichier squid.conf mais rien y fait …
    ccnet :  Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.
    Netinary l'intègre dans ces solutions.
    Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense ...



  • @Thomas11:

    Pour le lien que tu m'as envoyé chris4916 je l'avais déjà intégrer en dur dans le fichier squid.conf mais rien y fait …

    ::)  si tu ne donnes pas plus d'informations sur ce que tu as déjà fait et donc sur ce qu'est exactement ton problème, ne t'étonne pas de recevoir des réponses qui de suggèrent de regarder ce que tu as déjà mis en place  ;D

    Netinary l'intègre dans ces solutions.
    Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense …

    Un des points qui est soulevé est que le contrôle par adresse MAC n'est pas fiable car sujet à spoofing et l'adresse MAC n'est pas transportée de bout en bout selon la nature du réseau.

    • Quel est le mode de fonctionnement de ton proxy actuel ?
    • Qu'as-tu dans le log ?


  • Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.

    Je ne comprend pas ce que cela veut dire.

    Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense …

    Ce n'est vraiment pas le problème. A supposer que ce soit possible cela ne sert à rien compte tenu de l'objectif.



  • @ccnet:

    Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.

    Je ne comprend pas ce que cela veut dire.

    Très probablement qu'il y a une solution de type rsyslog mise en place pour ne traiter qu'un seul fichier log  ;)
    C'est ce que je fais avec toutes mes machines ou presque  8)



  • Une infrastructure toute simple :

    Une borne wifi relié à un PfSense sur la pâte LAN.
    Sur cette pâte LAN, j'ai un serveur DHCP.
    Sur la borne wifi, il peut y avoir des smartphones des pc portable …

    Sur PfSense j'installe le packet SQUID qui est configuré en tant que proxy transparent et me permet de récupérer les logs des pages visités.
    Actuellement dans les logs j'ai la date, l'adresse IP , le status, l'adresse de la page visité et la destination (adresse IP de la page visitée)



  • Il est impossible de se conformer à la loi que vous évoquez avec un tel dispositif.
    Je vous rappelle les termes de l'article Art. R. 10-13. - I. du décret n° 2006-358 du 24 mars 2006

    En application du II de l'article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
    « a) Les informations permettant d'identifier l'utilisateur ;

    Étant entendu que la jurisprudence assimile les entreprises mettant à disposition un accès à internet à un opérateur.



  • Vois avec l'éditeur du package Squid pour pfSense si il a compilé Squid avec l'option "–enable-eui"
    mais si tu fais des recherches, tu noteras également qu'il y a un bug enregistré pour Squid en 3.4.4 à ce propos.



  • @Thomas11:

    Sur PfSense j'installe le packet SQUID qui est configuré en tant que proxy transparent et me permet de récupérer les logs des pages visités.

    Une partie de la solution au problème est là.
    Avec un proxy non pas transparent mais explicite, il est possible de demander à l'utilisateur de s'authentifier. Dès lors, plus de problème de MAC address car on a le login de l'utilisateur  ;)



  • Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
    Cela doit se faire de manière totalement transparente.

    ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
    La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.
    En quoi Squid ne serai pas conforme ?



  • @Thomas11:

    Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
    Cela doit se faire de manière totalement transparente.

    Ce qui est un autre aspect (certes valide) pour lequel la réponse est WPAD  ;)

    ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
    La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.

    Es-tu certain que la loi demande d'identifier les adresses MAC ? je peux changer la mienne chaque matin  ;)  De plus, cela n'identifierait que les adresses MAC, et donc à la limite les machines, pas les personnes qui sont derrière la machine.

    En quoi Squid ne serai pas conforme ?

    Ce n'est pas Squid qui ne serait pas conforme mais l'usage que tu en fais.



  • J'allais répondre. Chris4916 l'a fait pour moi. J'adhère à 100%.



  • Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
    Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visités

    La loi précise bien qui faut les adresses mac.

    Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?

    Merci pour vos réponses.



  • Élaborer une politique d'authentification

    Une référence du texte qui l'indique ?



  • @Thomas11:

    Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
    Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visités

    Je n'en sais rien car je ne vais jamais au McDo  >:(

    La loi précise bien qui faut les adresses mac.

    Je veux bien un pointeur vers la partie de la loi qui dit ça  ;)

    Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?

    WPAD est un mécanisme qui vise à fournir automatiquement aux navigateurs l'adresse du serveur web qui contient le fichier proxy.pac qui va dire au navigateur où se trouve le proxy et comment l'utiliser.
    WPAD est décrit par un draft de RFC (je ne sais pas si celui-ci a finalement été adopté  :-[)

    En gros, il faut:

    • un serveur WEB avec un fichier proxy.pac
    • un mécanisme qui pousse cette info:
          DHCP: option 252
          DNS: différents mécanisme (dont le "well known alias")
          SLP (Service Location Protocol)

    Si tu lis l'anglais, j'avais écrit il y a quelques années [url=https://wiki.zentyal.org/wiki/Select_Right_HTTP_Proxy_Design]un truc pour ça, pour une autre plate-forme.

    Pour la partie DNS, DHCP et serveur web (proxy.pac), oui tu peux faire ça avec pfSense  :)



  • Expliques moi alors comment sa marche sur les autres plateformes ?
    Comment veux-tu être en règle avec cette loi ?

    Pour le WPAD
    Est-ce-que je peux mettre mon proxy.pac dans le PfSense ?
    Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https



  • Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

    Non. La vraie question est pourquoi une page présente t elle un certificat non valide ? Il va être de plus en plus difficile avec les navigateurs à jour de passer outre. Ce qui est fortement déconseillé. Même lorsque les certificats sont reconnus comme valides, ce n'est pas forcément une garantie, lorsque l'identité ne peut être vérifiée …



  • @Thomas11:

    Expliques moi alors comment sa marche sur les autres plateformes ?
    Comment veux-tu être en règle avec cette loi ?

    Je ne sais pas à quoi tu fais référence avec les autres plateformes  mais la loi est d'abord faite pour les FAI et autres fournisseurs de service. Pour le FAI, ce à quoi il s'engage, c'est à fournir des informations relatives à "d'où vient et où va la requête sur internet"  mais d'où signifie l'équipement qui est sous son contrôle, à savoir l'adresse IP associée à l'équipement à l'extrémité de leur ligne.
    Et encore cette information n'est pas aussi précise que cela:

    • tu peux par exemple, chez cetains fournisseurs, remplacer la box du fournisseur avec ton propre équipement (et donc ton adresse MAC change)
    • ton adresse IP est aussi potentiellement variable

    En revanche, il y a des fournisseurs qui font sur leur réseau un filtrage par adresse MAC: même si tu peux changer d'équipement, seules les adresses MAC enregistrées dans leur base, et donc associées à un contrat avec un client son autorisées.

    Pour le McDo, encore une fois, je n'y vais pas  ;D  et idem pour les cybercafé mais la plupart du temps, je pense que c'est assez mal fait. Tant que tu n'as pas un portail captif qui te demandes des infos qui permettent d'associer la connexion à ta personne, il n'y a pas grand chose à faire.

    Pour le WPAD
    Est-ce-que je peux mettre mon proxy.pac dans le PfSense ? Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

    Oh ! MITM  :o :o :o ce n'est pas bien ça  ;D ;D ;D  même si pfSense le permet  ::)

    oui tu peux mettre ton fichier proxy.pac où tu veux, y compris sur pfSense mais je n'ai jamais regardé de près comment fonctionne le serveur web de pfSense (je connais assez mal cette plate-forme).
    Si tu peux faire un vhost (au sens Apache du terme) sur pfSense, alors il n'y a aucun problème.



  • La loi est un peu tordu toute façon car sur n'importe quel système on pourra changer son adresse mac.
    J'ai trouvé une solution alternative.
    Utilisez arpwatch avec squid.
    Donc si j'ai un soucis, j'aurai juste à donné le fichier arp.dat du paquet arpwatch pour les adresses mac et le fichier access.log pour les sites visités.
    Il y aura juste à faire la correspondance avec les adresses IP.

    Pour le WAPD, merci de l'astuce je vais voir sa de plus prêt.



  • tu peux par exemple, chez cetains fournisseurs, remplacer la box du fournisseur avec ton propre équipement (et donc ton adresse MAC change)

    Vu le nombre de routeurs traversés avant la collecte d'informations de connexion, l'adresse mac n'a de toute façon aucun sens puisque ce sera celle de l'interface de sortie du dernier routeur.



  • @Thomas11:

    La loi est un peu tordu toute façon car sur n'importe quel système on pourra changer son adresse mac.
    J'ai trouvé une solution alternative.Utilisez arpwatch avec squid.
    Donc si j'ai un soucis, j'aurai juste à donné le fichier arp.dat du paquet arpwatch pour les adresses mac et le fichier access.log pour les sites visités.
    Il y aura juste à faire la correspondance avec les adresses IP.

    Je ne comprends pas pourquoi tu te focalises sur les adresses MAC  ???

    arpwatch va te dire quels sont, à un instant donné, les équipements sur le réseau, tu peux donc en déduire quelle était l'adresse MAC qui a fait une requête web mais tu ne sais toujours pas qui c'est  :P



  • @ccnet:

    Vu le nombre de routeurs traversés avant la collecte d'informations de connexion, l'adresse mac n'a de toute façon aucun sens puisque ce sera celle de l'interface de sortie du dernier routeur.

    Indeed. Se fixer sur l'adresse MAC pour faire ce genre de contrôle n'a pas de sens.



  • La question est : Je fais quoi alors pour être conforme à la loi avec du PfSense ?



  • @Thomas11:

    La question est : Je fais quoi alors pour être conforme à la loi avec du PfSense ?

    C'est effectivement, au moins partiellement, la bonne question.
    "Que faire pour être en règle avec cette loi ?"

    Note que ce n'est pas nécessairement avec pfSense  ;)

    Définitivement, en entreprise, l'authentification via un proxy HTTP est la bonne solution, ce qui veut donc dire proxy non transparent. C'est, avec le portail captif, le seul moyen de savoir qui (et non pas quoi) accède à internet.



  • J''installe du netinary dans du camping et hôtel avec portail captif ou il est parfois demandé juste d'accepter les conditions générale sans devoir renseigner une identité ou quoi que se soit.
    Et le produit est bien certifié pour la loi puisque je peux récupérer les logs.
    La solution du PfSense serait vachement plus économique…



  • Tu entres là dans une discussion à laquelle je ne vais pas participer, d'abord parce que ce n'est pas ma spécialité mais ensuite parce que ce n'est pas un débat technique.
    Si c'est si important, adresse toi à un avocat spécialiste qui te dira comment la loi peut être interprétée et qu'est-ce qu'il est acceptable de faire ou pas.

    ça te permettra de prendre un décision en connaissance de cause.

    Pour le reste, les comparaison de coût et de fonctionnalité entre pfSense et d'autres produits… je ne crois pas que ce soit l'endroit pour en parler  ;)



  • Merci en tout cas pour vos réponses.

    Bonne fin de journée :)



  • Je ne vais pas non plus entrer dans cette discussion. Deux commentaires toutefois.

    1.  Je me suis rendu sur le site de ce fournisseur qui nous déclare que ses produits "sont conformes aux dispositions relatives à la lutte contre le terrorisme et aux obligations légales s'adressant à tout organisme permettant une connexion gratuite ou payante au public".
    Ma lecture de cette information est que cela n'engage que l'entreprise qui le déclare et surtout ceux qui le prennent pour argent comptant. Cela me rappelle  ce qui c'est passé avec un fournisseur à l'image réputée, Blucoat, dont un des produits, un proxy d'entreprise s'est révélé très déficient sur sa capacité à fournir le service attendu. Cela à fait l'objet d'articles dans la presse spécialisée.

    2. Vous parlez de "produit [qui] est bien certifié pour la loi". Je comprend ce que vous voulez probablement dire par là. Mais, pour moi, dans le domaine de la sécurité la certification à un sens bien précis. Soit il s'agit de certification sur le plan organisationnel, par exemple une certification ISO 27001 soit il s'agit de certification technique. En France, à mon sens,  une certification technique qui a un sens (une valeur me permettant d'accorder un certain niveau de confiance) serait celle délivrée par l'Anssi par exemple. Pour être plus précis il faut parler non de la certification, mais d'une certification puisqu'il en existe plusieurs, à différents niveau.

    Je conseille donc à tous de ne pas prendre trop au sérieux les déclarations des éditeurs et constructeurs. Ou, plus exactement, de les pendre très au sérieux et de les vérifier ainsi que les conditions et périmètres dès lors que des certifications sont mises en avant. Ceci surtout sii votre besoin de sécurité est tributaire des ces assertions. Ceux qui ont vu l'arrivé de Windows NT4 Server se souviennent peut être de cette merveilleuse publicité de Microsoft mettant en avant la certification C2. Le concept est toujours d'actualité.



  • @ccnet:

    Ceux qui ont vu l'arrivé de Windows NT4 Server se souviennent peut être de cette merveilleuse publicité de Microsoft mettant en avant la certification C2. Le concept est toujours d'actualité.

    Et ce n'était pas un mensonge  ::)  Windows NT4 était effectivement en ligne avec les critères de l'Orange Book (TCSEC).
    Microsoft ne se serait pas risqué à un mensonge à ce sujet.

    Ce que tout le monde oubliait à l’époque, c'était les conditions dans lesquelles la certification était valide. Le serveur était inutilisable  ;D ;D

    (je le sais pour m'être intéressé de près au problème pour un projet lors duquel cette certification était requise, long time ago)



  • Absolument. Aucun mensonge. Pour ceux qui n'ont pas vécu ce grand moment de communication, rappelons les conditions dans lesquelles Microsoft avait obtenu cette certification.
    1. Valable pour un seul et unique modèle de serveur de marque Compaq.
    2. Sans lecteur de disquette ni lecteur de CD.
    3. Le meilleur pour la fin : la machine devait n'être connectée à aucun réseau.