Discussion :

[Tristan Zwingelstein]

J'ai installé un service squid transparent qui log le trafic http des machines connectées à mon serveur.

J'aimerais maintenant logé le trafic https. Seulement cela semble délicat compte tenu des certificats utilisés en https.

Y-a-t-il quand même un moyen .

Cordialement

[llaffont]

Hello,
Je suis dans le même cas que toi.
As-tu solutionné ce problème ?

Pour ma part j'ai bien tenté la solution du certificat auto-signé par mon serveur mais je cela ne fonctionne pas puisque mes interrogations https semble boucler .

Si quelqu'un à une expérience dans la chose nous sommes preneur

Désolé pour le squat de post

[Tristan Zwingelstein]

Non toujours pas de solution.

[llaffont]

Dans ce cas je me permet de squatter pour de bon ton POST. Cela évitera les doublons de sujet.

Je me demande si certain parmi vous sont parvenu à tracer l'activité HTTPS de leur réseau.

Pour ma part je n'y parviens pas. Mon proxy ne semble pas vouloir jouer le rôle de l'homme du milieu.

Voilà mon fichier squid.conf

#partie ssl
always_direct allow all
ssl_bump allow all

http_port 192.168.41.6:3128 transparent
https_port 192.168.41.6:3129 transparent ssl-bump cert=/etc/squid3/pki/XLSQUID.pem key=/etc/squid3/pki/XLSQUID.key


# Résolution DNS
dns_nameservers 192.168.42.9 8.8.8.8
positive_dns_ttl 24 hours
negative_dns_ttl 5 minutes
log_fqdn on


# Gestion du cache
cache_replacement_policy lru
cache_dir ufs /var/spool/squid3 100 16 256
minimum_object_size 0 KB
maximum_object_size 40480 KB

# Attention si vous modifiez les valeurs de la ligne suivante : lancez squid3 -f /etc/squid3/squid.conf -z pour reconstruire le cache !

# Les journaux
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt %>A
cache_access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
cache_swap_log /var/log/squid3/cache_swap.log
#emulate_httpd_log on
logfile_rotate 365

coredump_dir /var/spool/squid3

# Les balckList
#url_rewrite_program /usr/bin/squidGuard -c /etc/squid3/squidGuard.conf

url_rewrite_children 5

# Configuration minimum recommandée
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
#acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# Définition des réseaux
acl NetFroment src 192.168.42.0/24

# Les accès ou non
# !!! Attention a la priorité !!!

http_access allow NetFroment
#Ici on refuse les ports qui ne sont pas référencés sous Safe_ports
http_access deny !Safe_ports
#Ici on refuse les connexions sur les ports qui ne sont pas référencés sous SSL_ports
#http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

# Les comptes et groupes d'execution
cache_effective_user proxy
cache_effective_group proxy

# Son joli petit nom
visible_hostname XLSQUID

et mon fichier iptables

# Generated by iptables-save v1.4.12 on Fri Aug 30 14:58:20 2013
*nat
: PREROUTING ACCEPT [2051:159513]
:INPUT ACCEPT [492:58236]
:OUTPUT ACCEPT [15:900]
: POSTROUTING ACCEPT [1652:106233]
-A PREROUTING -s 192.168.42.0/24 -d 172.16.44.0/26 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.42.0/24 -d 192.168.69.0/24 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.42.0/24 -d 192.168.2.0/24 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.42.0/24 -d 192.168.101.0/24 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.42.0/24 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.41.6:3128
-A PREROUTING -s 192.168.42.0/24 -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.41.6:3129
COMMIT
# Completed on Fri Aug 30 14:58:20 2013

Avec tous cela j'obtiens sous FireFox le message m'indiquant que certificat est auto-signé.
J'accepte le jeu et pourtant j'obtiens

La page n'est pas redirigée correctement

Firefox a détecté que le serveur redirige la demande pour cette adresse d'une manière qui n'aboutira pas.

L'un de vous peut-il nous aider ?

[llaffont]

On vient de m'assurer que tracer le flux https en toute transparence n'était pas possible avec Squid. Sauf si l'on met le port d’écoute du serveur directement en 443.

J'en doute ! Car j'arrive à le mettre en pratique. Mais par contre chaque fois que je change de page https on me demande de valider le certificat du serveur. Cela même si je l'ai déjà fait pour le site que je consulte et avec le certificat serveur Squid déjà connu du poste client même résultat.

Donc, Oui ! En effet j'ai du mal à être en total transparence

[David7660]

Pas de nouvelle sur le sujet ? Je suis en train de bosser dessus en ce moment.

Même s'il faut accepter le certificat à chaque fois ça ne me dérange pas.