Surveiller des utilisateurs/clients
Le
kaliderus

Bonsoir,
Sur un réseau local, avec partage d'accès par du NAT, je voudrai
transformer une machine qui sert ces accès Internet en outil de
surveillance (ok c'est peut être pas super éthique mais dans mon =
cas
c'est devenu nécessaire).
J'ai besoin d'un outil qui me permette de la supervision pour savoir
qui utilise tel ou tel service, du peer to peer, les sites consultés,
les service de tchat/messagerie etc.
J'ai la main sur certaines machines, d'autres sont uniquement de
passage sur mon réseau.
Quels seraient les outils à utiliser pour avoir une vue quasi en temps
réel des services utilisés par telle ou telle machine ou utilisat=
eur,
ainsi que de pouvoir loger toutes ces informations, et d'avoir la
possibilité d'autoriser/interdire certains accès (par service/typ=
e de
connexion/adresse ip/ ou que sais-je) ?
Merci par avance.
Sur un réseau local, avec partage d'accès par du NAT, je voudrai
transformer une machine qui sert ces accès Internet en outil de
surveillance (ok c'est peut être pas super éthique mais dans mon =
cas
c'est devenu nécessaire).
J'ai besoin d'un outil qui me permette de la supervision pour savoir
qui utilise tel ou tel service, du peer to peer, les sites consultés,
les service de tchat/messagerie etc.
J'ai la main sur certaines machines, d'autres sont uniquement de
passage sur mon réseau.
Quels seraient les outils à utiliser pour avoir une vue quasi en temps
réel des services utilisés par telle ou telle machine ou utilisat=
eur,
ainsi que de pouvoir loger toutes ces informations, et d'avoir la
possibilité d'autoriser/interdire certains accès (par service/typ=
e de
connexion/adresse ip/ ou que sais-je) ?
Merci par avance.
Le mercredi 07 décembre 2016 à 0:57, kaliderus a écrit :
Au delà du caractère éthique, si c’est en milieu professionnel (notamment),
c’est sûrement aussi illégal…
Le blocage de ce qui te pose problème, en revanche, est légal. Attention
cependant à ne pas bloquer excessivement car après, il peut devenir difficile
voire impossible de travailler.
Sébastien
Le mercredi 07 décembre 2016, kaliderus a écrit...
Il y a les outils de détection d'intrusion : NIDS, ou HIDS.
Personnellement j'utilise Ossec (www.ossec.net) avec sa réponse active.
Ça te permet d'analyser en temps réel les fichiers de log que tu
indiques, de générer des alertes, des actions. Rien ne t'empêches de
surcroit d'ajouter tes propres règles (regexp) pour repérer autre chose
que ce qui est prévu dans les règles fournies.
Snort permet de faire un peu pareil, mais au niveau réseau, donc avant
l'utilisation, ou la tentative de, du service.
--
jm
que ses communications sont surveillées et enregistrées et ce dès
l'ouverture d'une session et/ou à la connexion (je crois que c'est une
obligation légale, un peu comme quand tu entres dans un magasin et qu'on
t'informe que tu es sous vidéo-surveillance).
Également, informer l'utilisateur de ses droits concernant les données
qui le concerne.
Et oui, c'est pas du tout éthique...
Privilégier la prévention (éducation, information, formation) à la
privation (censure, blocage, surveillance) :)
Le mercredi 07 décembre 2016 à 10:44 +0100, Sébastien NOBILI a écrit :
--
Grégory Reinbold
Je note donc Snort et Ossec qui semblent correspondre à mon besoin.
Jean-Michel, tu utilise quels packages et pour quelle version ?
Les packages snort pour jessie ne sont pas dans le dépot officiel
(dans testing oui ou dans oldstable), et concernant ossec non plus.
Le 7 décembre 2016 à 12:25, Grégory Reinbold
Le mercredi 07 décembre 2016, kaliderus a écrit...
Snort, je ne l'utilise plus. Mais je l'avais utilisé à partir de
paquetage.
Ossec, je l'utilise toujours. Je suis toujours passé par l'archive de
chez ossec.net. Le fichier install.sh est très bien conçu, et je n'ai
jamais eu de souci quelque soit le type d'installation (serveur, agent,
local). J'avais même fait un script à base d'expect qui me permettait à
une époque d'automatiser les installations client/serveur.
Je n'ai jamais vu de paquetage pour Ossec dans les distributions.
--
jm