Squid log adresse mac

Thomas11

Bonsoir,

Dans le cadre d'un milieu professionnel, j'aimerai pouvoir rajouter dans le fichier access.log dans le dossier /var/squid/logs les adresses mac dans le cadre de la loi du 26 mars 2006 sur la sauvegarde des données des utilisateurs sur 1 an.

Merci pour votre aide.

Cordialement,
Thomas

chris4916

1 - tu trouveras de l'aide ici.
2 - Probablement faisable sur un Squid "externe" (sur celui de pfSense, je ne sais pas si c'est jouable / intéressant / utile)
3 - Attention à cette approche que j'avoue avoir un peu du mal à comprendre: l'adresse MAC n'est pas quelque chose d'immuable. Il est assez facile de la changer et d'en forger une autre. De plus, un utilisateur qui passe par un routeur montrera à Squid non pas sa propre adresse MAC mais celle du routeur et enfin ce mécanisme, à supposer qu'il soit "fiable", n'identifie pas un utilisateur mais une machine. Tu ne sauvegardes donc pas les données utilisateur.

les adresses mac dans le cadre de la loi du 26 mars 2006 sur la sauvegarde des données des utilisateurs sur 1 an

ccnet

les adresses mac dans le cadre de la loi du 26 mars 2006 sur la sauvegarde des données des utilisateurs sur 1 an

.
Cette méthode n'est pas conforme à ce que demande la loi. Elle n'a, fondamentalement, (votre méthode) aucune force probante puisqu'il est absolument trivial de changer l'adresse mac envoyée sur le réseau. Dans l'hypothèse où ce ne serait pas le cas vous pourriez, au mieux, prétendre "authentifier" une machine. Notez la présence des guillemets. Par ailleurs cette solution à un défaut conceptuel majeure : dès que la trame traverse un dispositif réseau actif (pont, routeur, …) l'adresse mac source est modifiée au passage par le dispositif en question conformément au principe de fonctionnement d'ethernet.

Thomas11

Bonjour,

Merci pour vos réponses.

Pour le lien que tu m'as envoyé chris4916 je l'avais déjà intégrer en dur dans le fichier squid.conf mais rien y fait …
ccnet :  Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.
Netinary l'intègre dans ces solutions.
Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense ...

chris4916

@Thomas11:

Pour le lien que tu m'as envoyé chris4916 je l'avais déjà intégrer en dur dans le fichier squid.conf mais rien y fait …

::)  si tu ne donnes pas plus d'informations sur ce que tu as déjà fait et donc sur ce qu'est exactement ton problème, ne t'étonne pas de recevoir des réponses qui de suggèrent de regarder ce que tu as déjà mis en place  ;D

Netinary l'intègre dans ces solutions.
Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense …

Un des points qui est soulevé est que le contrôle par adresse MAC n'est pas fiable car sujet à spoofing et l'adresse MAC n'est pas transportée de bout en bout selon la nature du réseau.

• Quel est le mode de fonctionnement de ton proxy actuel ?
• Qu'as-tu dans le log ?

ccnet

Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.

Je ne comprend pas ce que cela veut dire.

Je ne vois pas pourquoi, je n'arriverai pas à le faire sur PfSense …

Ce n'est vraiment pas le problème. A supposer que ce soit possible cela ne sert à rien compte tenu de l'objectif.

chris4916

@ccnet:

Squid est utilisé par plusieurs pare-feu qui fait la sauvegarde de log.

Je ne comprend pas ce que cela veut dire.

Très probablement qu'il y a une solution de type rsyslog mise en place pour ne traiter qu'un seul fichier log  ;)
C'est ce que je fais avec toutes mes machines ou presque  8)

Thomas11

Une infrastructure toute simple :

Une borne wifi relié à un PfSense sur la pâte LAN.
Sur cette pâte LAN, j'ai un serveur DHCP.
Sur la borne wifi, il peut y avoir des smartphones des pc portable …

Sur PfSense j'installe le packet SQUID qui est configuré en tant que proxy transparent et me permet de récupérer les logs des pages visités.
Actuellement dans les logs j'ai la date, l'adresse IP , le status, l'adresse de la page visité et la destination (adresse IP de la page visitée)

ccnet

Il est impossible de se conformer à la loi que vous évoquez avec un tel dispositif.
Je vous rappelle les termes de l'article Art. R. 10-13. - I. du décret n° 2006-358 du 24 mars 2006

En application du II de l'article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
« a) Les informations permettant d'identifier l'utilisateur ;

Étant entendu que la jurisprudence assimile les entreprises mettant à disposition un accès à internet à un opérateur.

chris4916

Vois avec l'éditeur du package Squid pour pfSense si il a compilé Squid avec l'option "–enable-eui"
mais si tu fais des recherches, tu noteras également qu'il y a un bug enregistré pour Squid en 3.4.4 à ce propos.

chris4916

@Thomas11:

Sur PfSense j'installe le packet SQUID qui est configuré en tant que proxy transparent et me permet de récupérer les logs des pages visités.

Une partie de la solution au problème est là.
Avec un proxy non pas transparent mais explicite, il est possible de demander à l'utilisateur de s'authentifier. Dès lors, plus de problème de MAC address car on a le login de l'utilisateur  ;)

Thomas11

Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
Cela doit se faire de manière totalement transparente.

ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.
En quoi Squid ne serai pas conforme ?

chris4916

@Thomas11:

Il n'est pas envisageable de demander aux clients de configurer le navigateur par rapport au proxy.
Cela doit se faire de manière totalement transparente.

Ce qui est un autre aspect (certes valide) pour lequel la réponse est WPAD  ;)

ccnet, je ne vois pas pourquoi cela ne serait pas conforme.
La loi demande la possibilité d'identifier les personnes (par adresse mac) et les sites qui visite.

Es-tu certain que la loi demande d'identifier les adresses MAC ? je peux changer la mienne chaque matin  ;)  De plus, cela n'identifierait que les adresses MAC, et donc à la limite les machines, pas les personnes qui sont derrière la machine.

En quoi Squid ne serai pas conforme ?

Ce n'est pas Squid qui ne serait pas conforme mais l'usage que tu en fais.

ccnet

J'allais répondre. Chris4916 l'a fait pour moi. J'adhère à 100%.

Thomas11

Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visités

La loi précise bien qui faut les adresses mac.

Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?

Merci pour vos réponses.

ccnet

Élaborer une politique d'authentification

Une référence du texte qui l'indique ?

chris4916

@Thomas11:

Je te prend un exemple, tu vas au mcdo qui fonctionne avec squid qui est intègré dans leur boitier netinary.
Sans parler des logiciels qui te permet de changer ton adresse mac, aux yeux de la loi leur installation est légal puisqu'elle récupère les adresses mac et sites visités

Je n'en sais rien car je ne vais jamais au McDo  >:(

La loi précise bien qui faut les adresses mac.

Je veux bien un pointeur vers la partie de la loi qui dit ça  ;)

Pour ce qui est de WPAD s'installe t'il en ligne de commande ou est-il configurable depuis PfSense ?

WPAD est un mécanisme qui vise à fournir automatiquement aux navigateurs l'adresse du serveur web qui contient le fichier proxy.pac qui va dire au navigateur où se trouve le proxy et comment l'utiliser.
WPAD est décrit par un draft de RFC (je ne sais pas si celui-ci a finalement été adopté  :-[)

En gros, il faut:

• un serveur WEB avec un fichier proxy.pac
• un mécanisme qui pousse cette info:
      DHCP: option 252
      DNS: différents mécanisme (dont le "well known alias")
      SLP (Service Location Protocol)

Si tu lis l'anglais, j'avais écrit il y a quelques années [url=https://wiki.zentyal.org/wiki/Select_Right_HTTP_Proxy_Design]un truc pour ça, pour une autre plate-forme.

Pour la partie DNS, DHCP et serveur web (proxy.pac), oui tu peux faire ça avec pfSense  :)

Thomas11

Expliques moi alors comment sa marche sur les autres plateformes ?
Comment veux-tu être en règle avec cette loi ?

Pour le WPAD
Est-ce-que je peux mettre mon proxy.pac dans le PfSense ?
Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

ccnet

Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

Non. La vraie question est pourquoi une page présente t elle un certificat non valide ? Il va être de plus en plus difficile avec les navigateurs à jour de passer outre. Ce qui est fortement déconseillé. Même lorsque les certificats sont reconnus comme valides, ce n'est pas forcément une garantie, lorsque l'identité ne peut être vérifiée …

chris4916

@Thomas11:

Expliques moi alors comment sa marche sur les autres plateformes ?
Comment veux-tu être en règle avec cette loi ?

Je ne sais pas à quoi tu fais référence avec les autres plateformes  mais la loi est d'abord faite pour les FAI et autres fournisseurs de service. Pour le FAI, ce à quoi il s'engage, c'est à fournir des informations relatives à "d'où vient et où va la requête sur internet"  mais d'où signifie l'équipement qui est sous son contrôle, à savoir l'adresse IP associée à l'équipement à l'extrémité de leur ligne.
Et encore cette information n'est pas aussi précise que cela:

• tu peux par exemple, chez cetains fournisseurs, remplacer la box du fournisseur avec ton propre équipement (et donc ton adresse MAC change)
• ton adresse IP est aussi potentiellement variable

En revanche, il y a des fournisseurs qui font sur leur réseau un filtrage par adresse MAC: même si tu peux changer d'équipement, seules les adresses MAC enregistrées dans leur base, et donc associées à un contrat avec un client son autorisées.

Pour le McDo, encore une fois, je n'y vais pas  ;D  et idem pour les cybercafé mais la plupart du temps, je pense que c'est assez mal fait. Tant que tu n'as pas un portail captif qui te demandes des infos qui permettent d'associer la connexion à ta personne, il n'y a pas grand chose à faire.

Pour le WPAD
Est-ce-que je peux mettre mon proxy.pac dans le PfSense ? Si je comprend bien le système cette solution pourrait aussi résoudre mon problème de certificat non valide quand un client à une page d'accueil web en https

Oh ! MITM  :o :o :o ce n'est pas bien ça  ;D ;D ;D  même si pfSense le permet  ::)

oui tu peux mettre ton fichier proxy.pac où tu veux, y compris sur pfSense mais je n'ai jamais regardé de près comment fonctionne le serveur web de pfSense (je connais assez mal cette plate-forme).
Si tu peux faire un vhost (au sens Apache du terme) sur pfSense, alors il n'y a aucun problème.