Bonjour
De toute façon, si tu ne proxifies pas le https, tu ne pourras pas
obtenir les urls qui sont chiffrées, tu ne peux voir que les ports et
adresses IPs concernées. Tu ne peux pas donc pas te passer d'installer
un CA perso sur les appareils BYOD (et proxifier) si tu souhaites
logguer plus de détails.
Tu peux éventuellement proxifier uniquement le http (même pour le BYOD)
pour tes besoins.
Cordialement,
Dylan
On 22/12/2016 16:50, Christophe Dezé wrote:
bonjour,
Le problème de logguer au niveau 3 c'est que l'on n'a pas les vrais
url interrogés.
En fait, le fond de mon problème n'est pas le proxy en soit, ca marche
trés bien sur des postes managés.
le soucis arrive sur du BYOD, on ne peut pas les forcer à mettre une
CA sur les smartphones, tablettes. et en plus WPAD ca marche pas bien
sur android.
donc pas evident de trouver une solution open source qui loggue comme
un proxy (meme sans la partie cache, filtrage, ...), sur des postes
non managés ...
Le 22/12/2016 à 13:43, Mrjk a écrit :
Yop,
Alors, oui, tout depends de ce que sait faire ton routeur. Partons sur
le principe qu'il s'agisse d'une box Linux pas trop castrée (genre au
moins un OpenWRT).
A ce moment là, tu a plusieurs approches:
- Soit tu loggue au niveau 2/3, les connexion TCP et le NAT qui va
derrière. Cependant, j'ai aucune idée de savoir comment il faut faire
pour ne pas laisser echapper des connexion. Il se trouve qu'iptables
permette de logguer les requetes. J'irai voir de ce coté là. Par
contre, j'ai peur que tu y perde pas mal coté perfs. Par ailleurs,
c'est des logs de bas niveau, donc ca va pas etre super interressant.
- Soit tu met un proxy HTTP/HTTPS transparent qui va faire ça tout
bien comme il faut, et tu devrais pouvoir obtenir des logs avec un
format du type apache2. Ca prends un HaProxy, mais tu dois egalement
pouvoir utiliser Privoxy, ou encore Varnish (varnish peut etre cool,
mais faut une box 64bits, et c'est pas l'usage premier de varnish)
Je pense que mon premier point réponds plus à ta question, mais j'ai
peur que ca soit pas super efficace.
--
MrJK
GPG: https://jeznet.org/jez.asc
Le 22 décembre 2016 à 12:17, Christophe Dezé
<christophed...@wanadoo.fr> a écrit :
oui ca serait un serveur linux debian.
rsyslog ne capture pas le traffic reseau.
Le 22/12/2016 à 09:38, Xavier ROCA a écrit :
Bonjour,
Tout va dépendre de ton routeur, de ses capacités et de se que l'on
veut
dans la trace.
Routeur linux, c'est quoi ?
Un PC qui fait office de routeur ?
Un système de log (R)syslog pourrait faire l'affaire tout dépend de
ton
besoin final sur la trace conserver.
Une solution brutale capture permanente total du trafic avec post
traitement et purge régulière.
Xavier
-----Message d'origine-----
De : Christophe Dezé [mailto:christophed...@wanadoo.fr]
Envoyé : mercredi 21 décembre 2016 22:41
À : 'frsag@frsag.org'
Objet : [FRsAG] journalisation des accès http/https sans proxy
bonjour,
Quelles solutions connaissez vous pour journaliser les accès aux
sites web
au travers d'un routeur sans utiliser de proxy (type squid) ?
typiquement un routeur linux avec plusieurs cartes réseaux.
merci
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
