Pour le HTTPS, il est également possible de se contenter du SNI de la requête et des champs Subject et SAN du certificat dans la réponse, ça ne donne pas l’URL précise, mais déjà une bonne indication du « site » visité.
2016-12-22 14:02 GMT+01:00 Dominique Rousseau d.rousseau@nnx.com:
Le Wed, Dec 21, 2016 at 10:40:45PM +0100, Christophe Dezé [ christophedeze@wanadoo.fr] a écrit:
bonjour,
Quelles solutions connaissez vous pour journaliser les accès aux sites web au travers d'un routeur sans utiliser de proxy (type squid) ?
Soit tu veux logger le trafic HTTP comme tel, et tu mets une proxy en mode transparent (squid ou autre), qui sortira de beaux vrais logs avec les noms des sites et les pages. Si en prime tu veux l'HTTPS, faut intercepter la negociation SSL, des vrai-faux certificats émis a la demande (avec une CA ajoutée dans les navigateurs).
Sinon, si tu veux juste "mieux que rien du tout", du log iptables te donnera les ip "sources" (privées, je suppose que t'as du NAT), et destination avec les ports.
Y'a surement des solutions avec capture et analyse du trafic, mais ca sera sans doute lourd en CPU et ca ne te donnera pas d'indication précise sur le trafic HTTPS.
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/