Squid log adresse mac

Thomas11

Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
Cela doit se faire de manière totalement transparente.

ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.
En quoi Squid ne serai pas conforme ?

chris4916

@Thomas11:

Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
Cela doit se faire de manière totalement transparente.

Ce qui est un autre aspect (certes valide) pour lequel la réponse est WPAD  ;)

ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.

Es-tu certain que la loi demande d'identifier les adresses MAC ? je peux changer la mienne chaque matin  ;)  De plus, cela n'identifierait que les adresses MAC, et donc à la limite les machines, pas les personnes qui sont derrière la machine.

En quoi Squid ne serai pas conforme ?

Ce n'est pas Squid qui ne serait pas conforme mais l'usage que tu en fais.

ccnet

J'allais répondre. Chris4916 l'a fait pour moi. J'adhère à 100%.

Thomas11

Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visités

La loi précise bien qui faut les adresses mac.

Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?

Merci pour vos réponses.

ccnet

Élaborer une politique d'authentification

Une référence du texte qui l'indique ?

chris4916

@Thomas11:

Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visités

Je n'en sais rien car je ne vais jamais au McDo  >:(

La loi précise bien qui faut les adresses mac.

Je veux bien un pointeur vers la partie de la loi qui dit ça  ;)

Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?

WPAD est un mécanisme qui vise à fournir automatiquement aux navigateurs l'adresse du serveur web qui contient le fichier proxy.pac qui va dire au navigateur où se trouve le proxy et comment l'utiliser.
WPAD est décrit par un draft de RFC (je ne sais pas si celui-ci a finalement été adopté  :-[)

En gros, il faut:

• un serveur WEB avec un fichier proxy.pac
• un mécanisme qui pousse cette info:
      DHCP: option 252
      DNS: différents mécanisme (dont le "well known alias")
      SLP (Service Location Protocol)

Si tu lis l'anglais, j'avais écrit il y a quelques années [url=https://wiki.zentyal.org/wiki/Select_Right_HTTP_Proxy_Design]un truc pour ça, pour une autre plate-forme.

Pour la partie DNS, DHCP et serveur web (proxy.pac), oui tu peux faire ça avec pfSense  :)

Thomas11

Expliques moi alors comment sa marche sur les autres plateformes ?
Comment veux-tu être en règle avec cette loi ?

Pour le WPAD
Est-ce-que je peux mettre mon proxy.pac dans le PfSense ?
Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

ccnet

Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

Non. La vraie question est pourquoi une page présente t elle un certificat non valide ? Il va être de plus en plus difficile avec les navigateurs à jour de passer outre. Ce qui est fortement déconseillé. Même lorsque les certificats sont reconnus comme valides, ce n'est pas forcément une garantie, lorsque l'identité ne peut être vérifiée …

chris4916

@Thomas11:

Expliques moi alors comment sa marche sur les autres plateformes ?
Comment veux-tu être en règle avec cette loi ?

Je ne sais pas à quoi tu fais référence avec les autres plateformes  mais la loi est d'abord faite pour les FAI et autres fournisseurs de service. Pour le FAI, ce à quoi il s'engage, c'est à fournir des informations relatives à "d'où vient et où va la requête sur internet"  mais d'où signifie l'équipement qui est sous son contrôle, à savoir l'adresse IP associée à l'équipement à l'extrémité de leur ligne.
Et encore cette information n'est pas aussi précise que cela:

• tu peux par exemple, chez cetains fournisseurs, remplacer la box du fournisseur avec ton propre équipement (et donc ton adresse MAC change)
• ton adresse IP est aussi potentiellement variable

En revanche, il y a des fournisseurs qui font sur leur réseau un filtrage par adresse MAC: même si tu peux changer d'équipement, seules les adresses MAC enregistrées dans leur base, et donc associées à un contrat avec un client son autorisées.

Pour le McDo, encore une fois, je n'y vais pas  ;D  et idem pour les cybercafé mais la plupart du temps, je pense que c'est assez mal fait. Tant que tu n'as pas un portail captif qui te demandes des infos qui permettent d'associer la connexion à ta personne, il n'y a pas grand chose à faire.

Pour le WPAD
Est-ce-que je peux mettre mon proxy.pac dans le PfSense ? Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

Oh ! MITM  :o :o :o ce n'est pas bien ça  ;D ;D ;D  même si pfSense le permet  ::)

oui tu peux mettre ton fichier proxy.pac où tu veux, y compris sur pfSense mais je n'ai jamais regardé de près comment fonctionne le serveur web de pfSense (je connais assez mal cette plate-forme).
Si tu peux faire un vhost (au sens Apache du terme) sur pfSense, alors il n'y a aucun problème.

Thomas11

La loi est un peu tordu toute façon car sur n'importe quel système on pourra changer son adresse mac.
J'ai trouvé une solution alternative.
Utilisez arpwatch avec squid.
Donc si j'ai un soucis, j'aurai juste à donné le fichier arp.dat du paquet arpwatch pour les adresses mac et le fichier access.log pour les sites visités.
Il y aura juste à faire la correspondance avec les adresses IP.

Pour le WAPD, merci de l'astuce je vais voir sa de plus prêt.

ccnet

tu peux par exemple, chez cetains fournisseurs, remplacer la box du fournisseur avec ton propre équipement (et donc ton adresse MAC change)

Vu le nombre de routeurs traversés avant la collecte d'informations de connexion, l'adresse mac n'a de toute façon aucun sens puisque ce sera celle de l'interface de sortie du dernier routeur.

chris4916

@Thomas11:

La loi est un peu tordu toute façon car sur n'importe quel système on pourra changer son adresse mac.
J'ai trouvé une solution alternative.Utilisez arpwatch avec squid.
Donc si j'ai un soucis, j'aurai juste à donné le fichier arp.dat du paquet arpwatch pour les adresses mac et le fichier access.log pour les sites visités.
Il y aura juste à faire la correspondance avec les adresses IP.

Je ne comprends pas pourquoi tu te focalises sur les adresses MAC  ???

arpwatch va te dire quels sont, à un instant donné, les équipements sur le réseau, tu peux donc en déduire quelle était l'adresse MAC qui a fait une requête web mais tu ne sais toujours pas qui c'est  :P

chris4916

@ccnet:

Vu le nombre de routeurs traversés avant la collecte d'informations de connexion, l'adresse mac n'a de toute façon aucun sens puisque ce sera celle de l'interface de sortie du dernier routeur.

Indeed. Se fixer sur l'adresse MAC pour faire ce genre de contrôle n'a pas de sens.

Thomas11

La question est : Je fais quoi alors pour être conforme à la loi avec du PfSense ?

chris4916

@Thomas11:

La question est : Je fais quoi alors pour être conforme à la loi avec du PfSense ?

C'est effectivement, au moins partiellement, la bonne question.
"Que faire pour être en règle avec cette loi ?"

Note que ce n'est pas nécessairement avec pfSense  ;)

Définitivement, en entreprise, l'authentification via un proxy HTTP est la bonne solution, ce qui veut donc dire proxy non transparent. C'est, avec le portail captif, le seul moyen de savoir qui (et non pas quoi) accède à internet.

Thomas11

J''installe du netinary dans du camping et hôtel avec portail captif ou il est parfois demandé juste d'accepter les conditions générale sans devoir renseigner une identité ou quoi que se soit.
Et le produit est bien certifié pour la loi puisque je peux récupérer les logs.
La solution du PfSense serait vachement plus économique…

chris4916

Tu entres là dans une discussion à laquelle je ne vais pas participer, d'abord parce que ce n'est pas ma spécialité mais ensuite parce que ce n'est pas un débat technique.
Si c'est si important, adresse toi à un avocat spécialiste qui te dira comment la loi peut être interprétée et qu'est-ce qu'il est acceptable de faire ou pas.

ça te permettra de prendre un décision en connaissance de cause.

Pour le reste, les comparaison de coût et de fonctionnalité entre pfSense et d'autres produits… je ne crois pas que ce soit l'endroit pour en parler  ;)

Thomas11

Merci en tout cas pour vos réponses.

Bonne fin de journée :)

ccnet

Je ne vais pas non plus entrer dans cette discussion. Deux commentaires toutefois.

1.  Je me suis rendu sur le site de ce fournisseur qui nous déclare que ses produits "sont conformes aux dispositions relatives à la lutte contre le terrorisme et aux obligations légales s'adressant à tout organisme permettant une connexion gratuite ou payante au public".
Ma lecture de cette information est que cela n'engage que l'entreprise qui le déclare et surtout ceux qui le prennent pour argent comptant. Cela me rappelle  ce qui c'est passé avec un fournisseur à l'image réputée, Blucoat, dont un des produits, un proxy d'entreprise s'est révélé très déficient sur sa capacité à fournir le service attendu. Cela à fait l'objet d'articles dans la presse spécialisée.

2. Vous parlez de "produit [qui] est bien certifié pour la loi". Je comprend ce que vous voulez probablement dire par là. Mais, pour moi, dans le domaine de la sécurité la certification à un sens bien précis. Soit il s'agit de certification sur le plan organisationnel, par exemple une certification ISO 27001 soit il s'agit de certification technique. En France, à mon sens,  une certification technique qui a un sens (une valeur me permettant d'accorder un certain niveau de confiance) serait celle délivrée par l'Anssi par exemple. Pour être plus précis il faut parler non de la certification, mais d'une certification puisqu'il en existe plusieurs, à différents niveau.

Je conseille donc à tous de ne pas prendre trop au sérieux les déclarations des éditeurs et constructeurs. Ou, plus exactement, de les pendre très au sérieux et de les vérifier ainsi que les conditions et périmètres dès lors que des certifications sont mises en avant. Ceci surtout sii votre besoin de sécurité est tributaire des ces assertions. Ceux qui ont vu l'arrivé de Windows NT4 Server se souviennent peut être de cette merveilleuse publicité de Microsoft mettant en avant la certification C2. Le concept est toujours d'actualité.

chris4916

@ccnet:

Ceux qui ont vu l'arrivé de Windows NT4 Server se souviennent peut être de cette merveilleuse publicité de Microsoft mettant en avant la certification C2. Le concept est toujours d'actualité.

Et ce n'était pas un mensonge  ::)  Windows NT4 était effectivement en ligne avec les critères de l'Orange Book (TCSEC).
Microsoft ne se serait pas risqué à un mensonge à ce sujet.

Ce que tout le monde oubliait à l’époque, c'était les conditions dans lesquelles la certification était valide. Le serveur était inutilisable  ;D ;D

(je le sais pour m'être intéressé de près au problème pour un projet lors duquel cette certification était requise, long time ago)