j'ai oublié de dire que j'avais aussi regardé du coté de suricata/snort mais je n'ai pas réussi à faire ce que je voulais avec ...
Le 22/12/2016 à 16:50, Christophe Dezé a écrit :
bonjour,
Le problème de logguer au niveau 3 c'est que l'on n'a pas les vrais url interrogés.
En fait, le fond de mon problème n'est pas le proxy en soit, ca marche trés bien sur des postes managés.
le soucis arrive sur du BYOD, on ne peut pas les forcer à mettre une CA sur les smartphones, tablettes. et en plus WPAD ca marche pas bien sur android.
donc pas evident de trouver une solution open source qui loggue comme un proxy (meme sans la partie cache, filtrage, ...), sur des postes non managés ...
Le 22/12/2016 à 13:43, Mrjk a écrit :
Yop,
Alors, oui, tout depends de ce que sait faire ton routeur. Partons sur le principe qu'il s'agisse d'une box Linux pas trop castrée (genre au moins un OpenWRT).
A ce moment là, tu a plusieurs approches:
- Soit tu loggue au niveau 2/3, les connexion TCP et le NAT qui va
derrière. Cependant, j'ai aucune idée de savoir comment il faut faire pour ne pas laisser echapper des connexion. Il se trouve qu'iptables permette de logguer les requetes. J'irai voir de ce coté là. Par contre, j'ai peur que tu y perde pas mal coté perfs. Par ailleurs, c'est des logs de bas niveau, donc ca va pas etre super interressant.
- Soit tu met un proxy HTTP/HTTPS transparent qui va faire ça tout
bien comme il faut, et tu devrais pouvoir obtenir des logs avec un format du type apache2. Ca prends un HaProxy, mais tu dois egalement pouvoir utiliser Privoxy, ou encore Varnish (varnish peut etre cool, mais faut une box 64bits, et c'est pas l'usage premier de varnish)
Je pense que mon premier point réponds plus à ta question, mais j'ai peur que ca soit pas super efficace.
-- MrJK GPG: https://jeznet.org/jez.asc
Le 22 décembre 2016 à 12:17, Christophe Dezé christophedeze@wanadoo.fr a écrit :
oui ca serait un serveur linux debian.
rsyslog ne capture pas le traffic reseau.
Le 22/12/2016 à 09:38, Xavier ROCA a écrit :
Bonjour,
Tout va dépendre de ton routeur, de ses capacités et de se que l'on veut dans la trace. Routeur linux, c'est quoi ? Un PC qui fait office de routeur ?
Un système de log (R)syslog pourrait faire l'affaire tout dépend de ton besoin final sur la trace conserver.
Une solution brutale capture permanente total du trafic avec post traitement et purge régulière.
Xavier
-----Message d'origine----- De : Christophe Dezé [mailto:christophedeze@wanadoo.fr] Envoyé : mercredi 21 décembre 2016 22:41 À : 'frsag@frsag.org' Objet : [FRsAG] journalisation des accès http/https sans proxy
bonjour,
Quelles solutions connaissez vous pour journaliser les accès aux sites web au travers d'un routeur sans utiliser de proxy (type squid) ?
typiquement un routeur linux avec plusieurs cartes réseaux.
merci
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/