LE pare-feu OpenOffice

« June 2010
Mon	Tue	Wed	Thu	Fri	Sat	Sun
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Par pollux | Wednesday 16 June 2010 à 21:31 | Security | #46 | rss

Internet ça a du bon. Enfin, pas toujours .. Et en combinant une jolie boulette avec quelques outils, on peut réaliser des choses dont personne n'aurait pensé au début ..

En bref, et notamment pour faire suite au challenge que certaines personnes m'ont lancé au SSTIC 2010 (très bonne année d'ailleurs), le voila: LE pare-feu OpenOffice ! Mais attention: pas un truc codé à l'arrache, nan, un vrai pare-feu avec un design toussa

Donc, comment ça marche:

on veut filtrer des paquets avec OpenOffice, donc on a besoin d'OpenOffice
n'ayant pas eu le temps de planifier le portage d'OpenOffice en mode noyau, j'ai donc fait l'inverse: amener les paquets en espace utilisateur avec nfqueue + python
on manipule OO avec python-uno

Donc, je commence à coder: on crée une feuille calc avec les numéros de ports à filtrer, je récupère la valeur des cellules (et là je peux vous le dire: quand on a l'habitude de LaTeX, OO c'est pas la joie), et on s'en sert pour filtrer les paquets récupérés par nfqueue.

Premier problème: pour utiliser nfqueue, il faut être root. Et faire tourner OpenOffice en root (donc avec une interface graphique) sur le firewall, c'est pas top. Pas de problème ! On va donc séparer les idées, pour pouvoir:

installer la couche de filtrage (en root) sur le pare-feu
installer OpenOffice sur le poste de l'administrateur, avec une couche de communication entre les deux.

Donc, le design de la solution (schéma faire avec OO - et surtout du mal - pour pas multiplier les technos):

Design OOwall

Pour le serveur XML-RPC, j'ai pris pyUNOserver

Après, il reste à définir le format de la feuille calc. Au départ, je comptais juste utiliser une colonne pour avoir les numéros de port à autoriser, mais quand même on fait un pare-feu qui s'adresse à des décideurs, donc va falloir faire mieux. Donc, idée: on va ajouter des colonnes pour avoir des compteurs de paquets droppés ou acceptés, et on va les mettre à jour en temps réel. Et c'est là qu'on commence à comprendre la vraie puissance du truc (ou pas): on va pouvoir faire des graphes ! Et, bonus point, ils seront remis à jour en temps réel !

Après le bla-blah, les screenshots:

Le prototype original

La version améliorée:

Et donc, le code dans tout ça ?

D'abord, on envoie tout le trafic TCP sortant vers NFQUEUE:

# iptables -A OUTPUT -o eth0 -p tcp -j NFQUEUE

On lance le serveur XML-RPC avec OpenOffice sur le poste de l'admin:

$ ./startPyUnoServer.sh &

Et, sur le pare-feu, on lance le script:

$ sudo python2.6 oowall.py
localhost - - [16/Jun/2010 22:00:37] "POST /RPC2 HTTP/1.0" 200 -
/home/pollux/oowall.ods
...

Et ça marche !

Le code est dispo (j'ai juste copié les fichiers ...) sur: http://www.wzdftpd.net/downloads/oowall/

J'ai fait une video, dispo ici: http://www.wzdftpd.net/downloads/oowall/video_oowall.avi ou sur youtube: http://www.youtube.com/watch?v=pftjkGAORkA

Conclusion

Il fallait faire mieux que le pare-feu météo, là je pense que l'objectif a été atteint. Seule déception: pas avoir pu le faire à temps pour les rumps du SSTIC :/ Maintenant, vous pourrez générer en live des statistiques, des rapports PDF, des présentations, donc la sécurité rejoint enfin le côté user-friendly.

Il y a pas mal d'évolutions possibles, notamment le fait d'utiliser des macros, pouvoir sécuriser la connexion XML-RPC etc.

Pour les performances, c'est tout simplement assez lamentable (ici j'ai ~10 paquets par seconde), mais finalement c'est mieux parce que ça empêchera surtout le peer to peer :)

update: apparemment, j'ai été un peu pessimiste, j'ai réussi à atteindre presque 200 paquets / seconde :)

Trackbacks

1. Le Thursday 17 June 2010 à 00:55, de Tenshy's IT Blog

Le pare-feu OpenOffice (via Pollux’s Blog)

Une information que je ne pouvais décemment pas laisser passer, enfin l’arrivée de ce logiciel que Mme Albanel nous avait tant vanté, et que tous devraient installer pour se prémunir contre le téléchargement illégal. Et ne vous y trompez...

2. Le Thursday 17 June 2010 à 01:57, de Ma petite parcelle d'Internet...

Firewall OpenOffice : on en rêvait, Polux l' a fait !

Honte à vous, légions de détracteurs de l'ex-ministre de la Culture. Gaussés vous vous êtes à sa désormais célèbre phrase sur le firewall OpenOffice...

3. Le Monday 21 June 2010 à 21:43, de Everything is a Freaking DNS problem

A parallel universe

What happens when you mention Open Office and Firewall in once sentence, in public ? People start actually building it (French Article) Then add to that list that there's also people out there that think that running MySQL over NFS is providing them

To add a trackback on this entry: http://www.wzdftpd.net/blog/tb.php?id=46

Comments

1. Le Wednesday 16 June 2010 à 23:17, par Zeck

Je l'ai vu tourner... Impressionnant, et sur-réaliste !

2. Le Thursday 17 June 2010 à 00:00, par xeno

tout simplement énorme =)

3. Le Thursday 17 June 2010 à 00:04, par MatToufoutu

AWESOME !!!!

4. Le Thursday 17 June 2010 à 00:08, par styx

Merci Pollux pour cette contribution salutaire consistant à redorer le blason de Mme Albanel, qui quand elle l'avait annoncé fut la risée de l'internet !! N'en déplaise aux détracteurs de cette grande Ministre et qui est aujourd'hui preuve en est Directrice des contenus chez Orange !!

5. Le Thursday 17 June 2010 à 00:08, par OlivierG

Pas mal. Maintenant tu peux faire la feuille oocalc pour changer le mot de passe admin de Jboss !?

6. Le Thursday 17 June 2010 à 00:17, par jz - LQDN

Notre regretée ministre Albanel (paix à son âme) était en réalité une visionnaire futuriste qui avait anticipé ce hack hilarant!

Comme tous les grands génies, elle fût incomprise... coquin de sort!

7. Le Thursday 17 June 2010 à 01:01, par Tenshy

tenshyit.wordpress.com/20...

8. Le Thursday 17 June 2010 à 05:06, par Martin

Il n'y a plus qu'à l'envoyer à notre ex Ministre qui travaille chez Orange. Peut-être que son employeur proposera cette solution à hauteur de 2 € par mois ?

9. Le Thursday 17 June 2010 à 06:42, par Tengu

roooh énorme! Par contre tu gères pas les ranges ip autorisées/refusées, dommage. J'sens que si tu ajoutes ça, je pourraigérer les firewalls de mes serveurs :D
/me est déjà dehors

10. Le Thursday 17 June 2010 à 07:21, par Guirec

Il fallait le faire, tu l'as fait :p

Vraiment énormisime ! Christine et plein d'autres te disent merci ! (ou pas ^^)

11. Le Thursday 17 June 2010 à 08:30, par Cyprien

Excellent travail ! Toujours au top de l'innovation :-D

12. Le Thursday 17 June 2010 à 08:57, par YvesTan

Génial ! Est-ce que ce logiciel sera prochainement validé par l'Hadopi ?

13. Le Thursday 17 June 2010 à 09:43, par Rem

Vraiment incroyable. Ça me rappelle certains pare-feu administrables depuis une interface Web (mais ça nécessite l'install d'un serveur web...). En revanche vous devriez faire un peu de pub, en mettant ça en anglais voir sur sourceforge ou dans les contribs d'OO.

14. Le Thursday 17 June 2010 à 10:04, par Rodolphe

Salut Pierre,

Joli création :) Il fallait le faire !!!
Cela m'a bien fait rire de voir ton nom sur ce projet ! Et en meme temps cela ne m'étonne pas vraiment !
Ah il est bien loin le temps des installations multiboot des salles de Tp, des montages de baie serveur en G106 ;)
Je me rappelle déjà qu'à l'époque tu avais un faible pour open office ou une allergie à microsoft office :))

15. Le Thursday 17 June 2010 à 10:50, par Erwan

ENORME :) avec ça, même Christine peut configurer un pare-feu :)

16. Le Thursday 17 June 2010 à 11:48, par Hobeur

Excellent boulot !

j'ai perdu 5 minutes de boulot pour arrêter de dire :D

continues comme ca

17. Le Thursday 17 June 2010 à 12:01, par miib

Je savais que ce couscous passé à "enfiler des PERL" et la nuit blanche qui a suivi seraient profitables pour ce parefeu hors du commun
L'idée était "séduisante" et son développement est de qualité.... pour preuve ça se réplique sur la toile : www.korben.info/le-verita...
(maintenant je te dois une mousse)

18. Le Thursday 17 June 2010 à 12:05, par jop

;)

19. Le Thursday 17 June 2010 à 16:31, par Fajr Breeze - Yuxx

C’est très bien vu et très malin !

A quand la suite de protection complète ? ^^

20. Le Thursday 17 June 2010 à 17:06, par pollux

Merci à tous :D

J'ai même eu une proposition de logo (par totoffe): ici

D'autre part, pour rassurer les gens, non ça ne deviendra pas l'interface d'administration officielle d'EdenWall

21. Le Thursday 17 June 2010 à 23:52, par Christine A.

Je savais très bien de quoi je parlais quand je vous ai dit que OpenOffice était un firewall !!!
Nous chez Orange Services on utilise Winamp pour les emails et Calculatrice pour les documents pdf, et je peux vous dire que ça fonctionne très bien !

Cordialement

Christine A.
Orange Services

22. Le Friday 18 June 2010 à 14:10, par pollux

Bon, ayant déjà reçu des contributions (merci Éric ;) je me sens obligé de créer un projet :

OOwall official github project: github.com/chifflier/oowa...

23. Le Saturday 19 June 2010 à 00:06, par fanch

Super !
Ne reste plus qu'à faire aussi l'antivirus à jOOour ! ;)

24. Le Monday 21 June 2010 à 11:02, par Gedeon

Oui, mais comment elle va faire Christine pour utiliser son firewall sous windows ?
nfqueue, c'est pour linux ça...
Elle va être déçue la pauvre... abandonner un système fermé pour passer à un truc fait par des hackers, ça va être un choc.

G.

25. Le Wednesday 23 June 2010 à 19:35, par Palu

Superbe... Époustouflant... Mais pourquoi ne pas le porter sous Exel?
Sinon, je ne connais pas ce pare-feu météo... Qu'est-ce donc?

26. Le Monday 28 June 2010 à 23:38, par bugs

Juste pour information j'ai découvert une erreur qui fait que sa marche que si le script les fichier sont placé dans le dossier /home/pollux/ donc pour résoudre le problème il faut éditer le fichier oowall.py rajouter après import sys (donc y mettre à la ligne du dessous):
import os
dir = os.getcwd()
et à la ligne 9 remplacé /home/pollux/oowall.ods par dir+'/oowall.ods'
et voilà le problème est résolu

27. Le Monday 28 June 2010 à 23:47, par bugs

Et voila un petit script à mettre dans un fichier pour démarrer complètement le firewall.
#!/bin/bash
sudo iptables -A OUTPUT -o ${1} -p tcp -j NFQUEUE
xterm -e './startPyUnoServer.sh' &
sleep 10s
sudo python2.6 oowall.py

28. Le Thursday 29 July 2010 à 20:25, par Debianaddicted

Quand je dis qu'avec le logiciel libre on peut tout faire (merci iptables quand même ;-))

Prochaine étape le OOCafé...

29. Le Wednesday 1 September 2010 à 14:22, par Adam

j'ai des erreurs !
===================================================
Traceback (most recent call last):
File "oowall.py", line 96, in <module>
sheet_list = oo_instance.getBookSheets(session, book)
File "/usr/lib/python2.6/xmlrpclib.py", line 1199, in __call__
return self.__send(self.__name, args)
File "/usr/lib/python2.6/xmlrpclib.py", line 1483, in __request
allow_none=self.__allow_none)
File "/usr/lib/python2.6/xmlrpclib.py", line 1132, in dumps
data = m.dumps(params)
File "/usr/lib/python2.6/xmlrpclib.py", line 677, in dumps
dump(v, write)
File "/usr/lib/python2.6/xmlrpclib.py", line 699, in __dump
f(self, value, write)
File "/usr/lib/python2.6/xmlrpclib.py", line 703, in dump_nil
raise TypeError, "cannot marshal None unless allow_none is enabled"
TypeError: cannot marshal None unless allow_none is enabled
========================================================

Et "bugs" ton petit script ma l'air pratique mais
j'obtien une erreur lier à la commande concernant netfilter :
==================================================
xxxxx@xxxx:~/fire_wall_ooo$ sudo ./FireWallStart
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
^C
==================================================

Quelqu'un peut m'aider?

30. Le Wednesday 1 September 2010 à 14:29, par Adam

Heu pour le petit script de bugs autant pour moi j'avais meme pas remarquer l'argument qui étais utiliser pour lancer le script.
Donc c'est : ./lescript linterface
dans mon cas : ./FireWallStart eth0

( Pollux's blog )

Calendar

Important

Languages

Categories

Archives

Links

Subscribe