bonjour,
Quelles solutions connaissez vous pour journaliser les accès aux sites web au travers d'un routeur sans utiliser de proxy (type squid) ?
typiquement un routeur linux avec plusieurs cartes réseaux.
merci
Bonjour,
Tout va dépendre de ton routeur, de ses capacités et de se que l'on veut dans la trace. Routeur linux, c'est quoi ? Un PC qui fait office de routeur ?
Un système de log (R)syslog pourrait faire l'affaire tout dépend de ton besoin final sur la trace conserver.
Une solution brutale capture permanente total du trafic avec post traitement et purge régulière.
Xavier
-----Message d'origine----- De : Christophe Dezé [mailto:christophedeze@wanadoo.fr] Envoyé : mercredi 21 décembre 2016 22:41 À : 'frsag@frsag.org' Objet : [FRsAG] journalisation des accès http/https sans proxy
bonjour,
Quelles solutions connaissez vous pour journaliser les accès aux sites web au travers d'un routeur sans utiliser de proxy (type squid) ?
typiquement un routeur linux avec plusieurs cartes réseaux.
merci
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 21/12/2016 à 22:40, Christophe Dezé a écrit :
avec un firewall Fortinet, tu peux faire cela (avec authent transparente AD, blocage par catégorie, par application, déchiffrement SSL, antivirus) le filtrage se fait à la volée, sans proxy. tu as les logs en local une semaine, dans l'interface d'admin.
ensuite, tu peux envoyer les logs : - par syslog (logs bruts) - par internet, sur leur plateforme FortiCloud (avec analyse, reporting) - en local, sur un FortiManager ou Analyzer (idem)
gu!llaume
Le 21/12/2016 à 22:40, Christophe Dezé a écrit :
Depuis un routeur GNU/Linux sur la route? urlsnarf (binaire venant avec la suite Dsniff, se basant sur pcap), ça sort du CLF (le format simple utilisé par Apache). Tu pourras même filtrer des accès à des outils internes par exemple.
Par contre, évidemment, tu louperas le trafic chiffré.
Cordialement,
Charles-Antoine
Ha pas mal, je connaissais pas :-)
Par contre, ça doit bouffer du CPU ce truc, car il doit parser tous les packets. La solution du proxy sock me semble ce qu'il y'a de plus indiqué pour ses besoin, mais vu qu'il veut pas l'utiliser ... -- MrJK GPG: https://jeznet.org/jez.asc
Le 22 décembre 2016 à 13:38, Charles-antoine Guillat-Guignard xarli@xarli.net a écrit :
Le Wed, Dec 21, 2016 at 10:40:45PM +0100, Christophe Dezé [christophedeze@wanadoo.fr] a écrit:
Soit tu veux logger le trafic HTTP comme tel, et tu mets une proxy en mode transparent (squid ou autre), qui sortira de beaux vrais logs avec les noms des sites et les pages. Si en prime tu veux l'HTTPS, faut intercepter la negociation SSL, des vrai-faux certificats émis a la demande (avec une CA ajoutée dans les navigateurs).
Sinon, si tu veux juste "mieux que rien du tout", du log iptables te donnera les ip "sources" (privées, je suppose que t'as du NAT), et destination avec les ports.
Y'a surement des solutions avec capture et analyse du trafic, mais ca sera sans doute lourd en CPU et ca ne te donnera pas d'indication précise sur le trafic HTTPS.
Pour le HTTPS, il est également possible de se contenter du SNI de la requête et des champs Subject et SAN du certificat dans la réponse, ça ne donne pas l’URL précise, mais déjà une bonne indication du « site » visité.
2016-12-22 14:02 GMT+01:00 Dominique Rousseau d.rousseau@nnx.com:
-
Charles-antoine Guillat-Guignard -
Christophe Dezé -
Dominique Rousseau -
Guillaume Tournat -
Landry Minoza -
Mrjk -
Xavier ROCA