Un pare-feux Open Office… ou presque.

Je voulais en parler hier soir, mais j’étais trop crever, et je voulais le tester avant. Mais vu que je ne vais pas le tester j’en parle vite fait!

~~~~

Albanel, avant d’être à la communication d’Orange, était ministre de la culture. A l’époque, sur le dossier HADOPI, elle avait commit une bourde sans fin en parlant d’un “pare-feux Open Office“. Gratuit selon elle, qui rendait sans fondement les arguments des anti-HADOPI.

*En quoi est-ce-que c’était c’est encore une grosse connerie:
-Open Office est une suite de logiciel de bureautique libre. Aucune vocation officiel d’être un Pare-feux
-Un pare-feux, quel qu’il soit, ne protège que votre ordinateur. Il ne protège pas votre ligne contre HADOPI (craquage WEP /WPA SeedFuck etc…)

Enfin le blogueur Pollux a créé (c’est son œuvre, Open Office n’y est pour rien) suite au dire d’Albanel (l’œuf vient après la poule dans notre cas) un pare-feux basé sur Open Office. C’est plus un “pare-feux OO”, Open Office ne servant que de console.

*Comment ça marche?
On détourne le logiciel Open Office pour s’en servir comme contrôle de pare-feux, qui lui est basé sur deux scriptes lancés avant.
OpenOffice calc sert l’interface avec une feuille de calcul (stat packet passés / bloqués)
et on va les mettre à jour en temps réel. Et c’est là qu’on commence à comprendre la vraie puissance du truc (ou pas): on va pouvoir faire des graphes ! Et, bonus point, ils seront remis à jour en temps réel !

*Ça me protège contre quoi?
En gros ça filtre les données transitant sur votre ordinateur en fonction du port de transite.
On peut bloquer le P2P sur son ordi sans payer 2 € par mois à une entreprise via un failware qui… bref.

*Performances:
L’auteur reconnaît lui même que c’est franchement pas top:

Pour les performances, c’est tout simplement assez lamentable (ici j’ai ~10 paquets par seconde)

*Cible:
Déjà la suite Open Office ne conserne pas beaucoup de monde (mais de plus en plus se qui est bien!). Mais là c’est encore moins: il faut avoir open Office, être sous un linux (Unbutu & friend), et
1) faire une redirection de packets vers NFQUEUE en root.
2) lancer deux scriptes (shell & pyton) un en root et un en user
3) lancer Open Office pas en root.

D’abord, on envoie tout le trafic TCP sortant vers le module Kernel NFQUEUE:
# iptables -A OUTPUT -o eth0 -p tcp -j NFQUEUE
On lance le serveur XML-RPC avec OpenOffice sur le poste de l’admin:
$ ./startPyUnoServer.sh &
Et, sur le pare-feu, on lance le script:
$ sudo python2.6 oowall.py
localhost – – [16/Jun/2010 22:00:37] “POST /RPC2 HTTP/1.0” 200 –
/home/pollux/oowall.ods

Bref, avec un tuto détaillé n’importe qui peut le faire, à condition de:
-ne pas avoir peur de Linux.
-comprendre un tant soit peut le principe pour ne pas avoir peur de faire des boulettes.

*Implications:
C’est surtout et avant tout un Proof Of Concept: “vous dites que c’est pas possible? Et bien moi je vais vous prouver qu’en informatique rien n’est impossible!”
Après l’outil peut évoluer avec des macros / évolution des scripts si quelqu’un est intéressé par le concept / …

Attention: ce script ne surveille que les ports par le contenu qui passe dedans (protocole et contenu). Certain bidouilleurs informatique peuvent changer les ports d’entrée / sortis standard de certain logiciels. Exemple simple avec aMSN qu’on peut faire transiter par le port 80 (réservé à l’HTTP -indispensable pour la navigation sur le web-, toujours ouvert en théorie).

~

sources & images: Pollux le créateur du concept & Korben qui a remit l’information à ma portée ^^

Téléchargement des packets.

~ by so0n on 2010/06/17.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: