Journal Fonera et OpenWRT

Posté par  (site web personnel) .
Étiquettes : aucune
0
21
nov.
2007
En feuilletant un numéro de GLMF, je suis retombé sur l'article pour démonter la Fonera et les possibilités de reconfigurations possibles. Cela m'a rappelé que je disposait d'une Fonera que l'on m'avait donné et qui dormait dans son carton depuis un bon moment.. Ce journal n'annonce pas une nouvelle sortie de la distribution ( bien que la dernière sortie, il y a deux mois était passée inaperçue par ici ), mais c'est une présentation de ce que l'on peut faire sur ce genre de matériel..

Pour rappel la fonera[1] est un routeur wifi vendu dans le but de monter un réseau de partage du wifi où que l'on soit. Ce petit routeur possède une interface ethernet et une antenne Wifi ( avec par défaut 2 SSIDs ).

Après une recherche sur le net, qui m'a appris que les interfaces logicielles étaient bugguées et permettaient l'ouverture du port SSH[2], je me connecté pour voir un peu comment était configuré la bête. À l'intérieur, on trouve une distribution linux : OpenWRT[3]. On y trouve un serveur, un serveur SSH, et une configuration pour monter deux réseaux wifi différents.
Le système est bien fait est peut être modifié comme nous le souhaitons, bien que dans ce cas là, il n'est plus possible d'utiliser la Fonera pour partager sa connection.

Par contre, la possibilité très intéressante, est qu'il est possible de remplacer le firmware de la Fonera par un autre, et donc de reconfigurer totalement le routeur. Cela se fait assez facilement, il suffit d'initier une connection telnet au démarrage du routeur pour tomber sur le bootloader ( désolé pour les francofiles ) et de lancer l'installation d'un nouveau firmware. La page d'installation sur le wiki d'OpenWRT décrit très bien la marche à suivre pour installer le nouveau firmware.

OpenWrt est une distribution Linux destinée a être utilisée sur les routeurs ( par exemple le linksys WRT54GS ) qui a pu voir le jour grâce à certains firmware placés sous licence GPL. Elle utilise le gestionnaire de paquets IPKG. Il existe deux versions de cette distribution, White-Russian ( qui utilise NVRAM pour stocker ses données ) et Kamikaze qui est cette fois basé sur des fichiers de configurations comme on a l'habitude d'en trouver dans nos distributions.

Au final on se retrouve avec une distribution linux intégrée, à laquelle on peut accéder par ssh bien sûr, mais qui propose ensuite un large choix d'applications pour agrémenter notre routeur :

  • Serveurs HTTPs ( apache, lighthhtpd.. ), FTPs, DNS, voire même IRC

  • Outils de sécurité comme aircrack-ng, ettercap, nmap...

  • De quoi faire de la musique avec MPD ou Icecast..

  • Même des interfaces en consoles comme mutt, un client IRC et gnugo

    • ( Voir la liste complète pour plus de détails[5] )

Le wifi est géré par Madwifi, et on dispose bien sur des protocoles pour pour le chiffrement de connections. On a donc un système complet pour monter son propre réseau selon la configuration que l'on souhaite, sans forcément être limité par une interface web...

À noter que cela n'empêche pas OpenWRT de s'accompagner d'une interface[6] assez complète; par exemple en proposant d'installer les outils correspondants aux options que l'on souhaite activer ( NTP, VPN etc ). Celle-ci n'est pas disponible par défaut dans la version de Kamikaze et il faut ajouter un nouveau dépôt dans le fichier ipkg.conf pour pouvoir le télécharger
src X-Wrt http://downloads.x-wrt.org/xwrt/kamikaze/7.09/atheros-2.6/pa(...)


Bon, je dispose juste d'une Fonera ( 16Mo de RAM, 8Mo pour le flash à 183Mhz ) donc je ne vais pas la transformer en station de travail non plus ( non, Emacs n'est pas dans les paquets ! ), ça reste un routeur.
Quoique, parfois on se demande..[7]

[1] http://www.fon.com/fr/
[2] http://stefans.datenbruch.de/lafonera/
[3] http://openwrt.org/
[4] http://wiki.openwrt.org/OpenWrtDocs/Hardware/Fon/Fonera#head(...)
[5] http://downloads.openwrt.org/kamikaze/packages/i386/
[6] http://wiki.x-wrt.org/index.php/White_Russian_Presentation
[7] http://www.lefinnois.net/wp/index.php/tag/fonera/

  • # D'accord mais ...

    Posté par  (site web personnel) . Évalué à 2.

    Outils de sécurité comme aircrack-ng, ettercap, nmap


    Outils de securité ?
    J'avais eue l'impression que aircrack et ettercap étaient des outils offensifs préparant le terrain pour une intrusion dans un réseau.


    Sinon bon résumé de ce qu'on peut faire avec une fonera.
    Il manque juste un lien vers le hack hardware pour obtenir 32mo de ram.
    http://www.dd-wrt.com/wiki/index.php/LaFonera_Hardware_32MB_(...)

    • [^] # Re: D'accord mais ...

      Posté par  (site web personnel) . Évalué à 1.

      Tester la sécurité et préparer le terrain pour une intrusion, c'est pas la même chose ? :-)

      Plus sérieusement, j'ai précisé ces logiciels parce que cela m'a surpris de les voir sur une distribution destinée avant tout aux routeurs. Cela dit, on reste limité par les capacités matérielles, je pense qu'une attaque aircrack est impossible sans saturer la RAM, ou qu'une analyse des clefs prendra une bonne journée ( vu la fréquence du processeur.. ). La présence de ces outils ne permettra pas de transformer son routeur en un outil de piratage..

      Effectivement, je n'avais pas trouvé cette modification pour modifier la RAM de la fonera... Je souhaite beaucoup de patience à celui qui veut se lancer dedans !

    • [^] # Re: D'accord mais ...

      Posté par  . Évalué à 4.

      Outils de securité ?
      J'avais eue l'impression que aircrack et ettercap étaient des outils offensifs


      Ça n'est pas contradictoire, ils permettent d'auditer la résistance d'un réseau (le sien, celui d'un projet sur lequel on travaille, dans le cadre d'un audit de sécurité pur et dur, etc...).

  • # Plussage ...

    Posté par  (site web personnel) . Évalué à 9.

    Quand est-ce qu'on pourra plusser les journaux ?

    Adhérer à l'April, ça vous tente ?

    • [^] # Re: Plussage ...

      Posté par  (site web personnel) . Évalué à 10.

      Quand la fonctionnalité sera codée ?

    • [^] # Re: Plussage ...

      Posté par  . Évalué à 2.

      Entièrement d'accord. Merci à l'auteur, qui plus est pour les petits rappels facilitant la lecture (du style qu'est-ce que OpenWRT)

      Pourquoi ne pas mettre ça en dépêche, si il n'y a pas une clause empêchant le changement de firmware dans la licence à laquelle la Fonera est soumis ?

      • [^] # Re: Plussage ...

        Posté par  . Évalué à 2.

        Euh je n'ai peut-être rien compris, mais comment serait-il possible de mettre une licence sur un matériel acheté/donné qui l'empêcherait d'installer un autre firmware ?

        (c'est une vraie question)

        • [^] # Re: Plussage ...

          Posté par  . Évalué à 4.

          Non, on ne peut pas parler de licence, mais dans le temps, quand on commandait un WRT54G (c'était avant la Fonera) chez Fon à un prix dérisoir, on s'engageait en contre-partie à le faire effectivement fonctionner sur le réseau Fon.

          Bref, il y avait une clause dans le contrat de vente, qui en pratique empêchait d'installer n'importe quel firmware (puisque ça ne permettrait plus de se connecter au réseau Fon).

  • # Fonera en mode bridge

    Posté par  (site web personnel, Mastodon) . Évalué à 3.

    Je vais faire un peu de pub mais parce que j'espère que ça pourra servir :)

    J'ai fait un petit tuto d'après mon expérience pour mettre sa fonera en mode bridge (càd qu'elle ne fasse pas de masquerading mais mappe directement les paquets transitant sur le réseau privé wifi sur le réseau ethernet hôte de la fonera).

    http://blogs.kd2.org/bohwaz/?2007/10/27/186-mettre-une-foner(...)

    C'est un peu plus simple (et moins risqué) que passer directement à DD-WRT ou OpenWRT, puisque ça implique juste de modifier le firmware standard Fonera.

    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

  • # Ortho

    Posté par  . Évalué à 7.

    > pour partager sa connection
    > il suffit d'initier une connection telnet
    > le chiffrement de connections.

    connexion !

  • # linksys WRT54G....L comme Linux

    Posté par  . Évalué à 2.


    OpenWrt est une distribution Linux destinée a être utilisée sur les routeurs ( par exemple le linksys WRT54GS )


    C'est pas le linksys WRT54GL qui est flashable (et possède une distro linux dessus aussi a l'achat ) . Parce que les autres modèles ne sont plus flashable

  • # OpenWRT et serveur

    Posté par  . Évalué à 4.

    Tiens, la question me vient : est-ce que c'est une bonne idée d'utiliser un routeur flashé avec OpenWRT comme serveur web perso ? Certains modèles peuvent accueillir un disque dur externe.

    Ce serait un bon plan au niveau de la consommation électrique en évitant de brancher une machine à part, et pour un petit site ça tiendrait la charge ? De façon correctement sécurisée si on y met du sien ?

    Y'a des gens qui ont essayé ?

    • [^] # Re: OpenWRT et serveur

      Posté par  . Évalué à 2.

      Tout dépend de ton site. Si c'est pour servir du contenu static sans SSL, ça devrait être correcte pour quelques utilisateurs simultanés. Mais si tu commences à mettre du php/mysql, là je ne pense que le routeur puisse tenir la charge.

      Pour comparer, j'utilise X-Wrt sur un WRT54GSv4, il faut bien attendre 4 à 5 seconds pour l'affichage certaines pages. Pour ceux qui ne connaissent pas, X-Wrt est une interface web pour configurer OpenWRT écrit en awx (très proche des scripts awk).

      http://x-wrt.org/
      http://wiki.x-wrt.org/index.php/Programmer%27s_Guide_to_awx

      • [^] # Re: OpenWRT et serveur

        Posté par  . Évalué à 2.

        Oui, clairement quelque chose comme lighttpd, des pages statiques et 2 ou 3 scripts cgi en ash (busybox) pour des choses super lourdes comme un formulaire de contact...

  • # OpenWRT et Accès libre au wifi

    Posté par  . Évalué à 2.

    Est ce que openWRT permet de faire un accès libre à son réseau wifi (c'est à dire sans WEP ou WPA) mais avec un code à rentrer pour pouvoir l'utiliser comme routeur (en gros comme on peut trouver dans les hotels, où il n'est pas nécessaire de saisir une clé mais un mot de passe sur la page d'accueil du routeur).

    PS : Dslé pour la note négative de base, j'ai fait un commentaire malheureux sur Eolas.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.