🛡️ SecuBox — Article d’Avancement v0.16

Unified Network Security Platform for OpenWrt

🚀 L’appliance de cybersécurité 100% open source qui embarque wizard, profils et App Store sur OpenWrt 24.10.

📋 Introduction

SecuBox est une plateforme de sécurité réseau unifiée conçue pour les routeurs OpenWrt. Le projet vise à démocratiser la cybersécurité de niveau professionnel en intégrant des technologies de pointe dans une interface accessible, tout en préparant une certification ANSSI.

Ce document présente l’état d’avancement à la version 0.16, l’évolution de l’architecture, et les perspectives pour le Hub P2P collaboratif.

📊 Statistiques du Projet

Métrique Valeur
🏷️ Version 0.16.0
📦 Modules LuCI 38 applications
💾 Commits 724+
🖥️ Architectures 10 cibles (ARM64, ARM32, MIPS, x86)
📜 Licence Apache 2.0

📚 Catalogue des Modules (38 Applications LuCI)

🎯 SecuBox Core (5 modules)

Module Version Description
🏠 luci-app-secubox 0.7.1 Central dashboard/Hub for all SecuBox modules
🚪 luci-app-secubox-portal 0.7.0 Unified entry point with tabbed navigation
⚙️ luci-app-secubox-admin 1.0.0 Admin control center with appstore and monitoring
📖 luci-app-secubox-bonus 0.2.0 Documentation, local repo, and app store
🔧 luci-app-system-hub 0.5.1 Central system control with logs and backup

🔒 Security & Threat Management (9 modules)

Module Version Description
🛡️ luci-app-crowdsec-dashboard 0.7.0 Real-time CrowdSec security monitoring
🎯 luci-app-secubox-security-threats 1.0.0 Unified netifyd DPI + CrowdSec intelligence
👨‍👩‍👧 luci-app-client-guardian 0.4.0 Network access, captive portal, parental controls
🔐 luci-app-auth-guardian 0.4.0 OAuth2/OIDC authentication, voucher system
🌐 luci-app-exposure 1.0.0 Service exposure manager
🧅 luci-app-tor-shield 1.0.0 Tor anonymization dashboard
🔍 luci-app-mitmproxy 0.4.0 HTTPS traffic inspection
📰 luci-app-cyberfeed 0.1.1 Cyberpunk RSS feed aggregator
🔑 luci-app-ksm-manager 0.4.0 Cryptographic key/HSM management

🔬 Deep Packet Inspection (2 modules)

Module Version Description
📡 luci-app-ndpid 1.1.2 nDPId deep packet inspection dashboard
📊 luci-app-secubox-netifyd 1.2.1 netifyd DPI with real-time flow monitoring

🌐 Network & Connectivity (8 modules)

Module Version Description
🔀 luci-app-vhost-manager 0.5.0 Nginx reverse proxy with Let’s Encrypt SSL
⚖️ luci-app-haproxy 1.0.0 Load balancer with vhosts and SSL
🔒 luci-app-wireguard-dashboard 0.7.0 WireGuard VPN monitoring
📶 luci-app-network-modes 0.5.0 Sniffer, AP, Relay, Router modes
🔧 luci-app-network-tweaks 1.0.0 Auto Proxy DNS & Hosts from vhosts
📱 luci-app-mqtt-bridge 0.4.0 USB-to-MQTT IoT hub
💨 luci-app-cdn-cache 0.5.0 Content delivery optimization
🎬 luci-app-media-flow 0.6.4 Streaming detection (Netflix, YouTube, Spotify)

📈 Bandwidth & Traffic Management (2 modules)

Module Version Description
📊 luci-app-bandwidth-manager 0.5.0 QoS rules, client quotas, SQM integration
🚦 luci-app-traffic-shaper 0.4.0 TC/CAKE traffic shaping

🌍 Content & Web Platforms (5 modules)

Module Version Description
🐙 luci-app-gitea 1.0.0 Gitea Platform management
📝 luci-app-hexojs 1.0.0 Hexo static site generator
⚗️ luci-app-metabolizer 1.0.0 Metabolizer CMS support
🪞 luci-app-magicmirror2 0.4.0 MagicMirror2 smart display
📦 luci-app-mmpm 0.2.0 MagicMirror Package Manager

🤖 AI/LLM & Analytics (4 modules)

Module Version Description
🧠 luci-app-localai 0.1.0 LocalAI LLM management
🦙 luci-app-ollama 0.1.0 Ollama LLM management
👁️ luci-app-glances 1.0.0 Glances system monitoring
📈 luci-app-netdata-dashboard 0.5.0 Real-time Netdata monitoring

🎛️ Streaming & Data Processing (2 modules)

Module Version Description
📊 luci-app-streamlit 1.0.0 Streamlit Platform management
🍺 luci-app-picobrew 1.0.0 PicoBrew Server management

🏠 IoT & Smart Devices (1 module)

Module Version Description
📡 luci-app-zigbee2mqtt 1.0.0 Zigbee2MQTT docker management

🖥️ État Actuel — Instance C3BOX

📊 Infrastructure Déployée

L’instance de référence C3BOX (Globalscale MOCHAbin) démontre la maturité du projet avec une infrastructure complète opérationnelle :

Composant Statut Détails
⚡ Services actifs 31 running 13 publiés via HAProxy
🌐 Domaines gérés 11 domaines Certificats SSL automatiques (87+ jours)
🧅 Services Tor 2 onions Privacy-first endpoints
🚪 Ports exposés 47 ports Firewall CrowdSec actif
🛡️ Protection 3 613 paquets Bloqués par le firewall

🚀 Performance Réseau

🔒 Security Stack

🎯 Threat Monitor (v1.0.0)

Intégration netifyd DPI + CrowdSec pour détection temps réel avec score de risque 0-100. Le dashboard unifié présente l’état du firewall, les connexions bloquées, et les menaces actives.

🛡️ CrowdSec Dashboard (v0.7.0)

Gestion complète de l’écosystème CrowdSec : bouncers, alertes, décisions, et threat intelligence communautaire.

🔐 WireGuard Manager (v0.7.0)

Gestion VPN complète avec génération de QR codes, monitoring des peers en temps réel, et statistiques de trafic.

🌐 Platform Services

📝 MetaBlogizer — Web Hosting

Hébergement multi-sites avec uhttpd/HAProxy, vérification DNS automatique, et gestion des certificats SSL.

📋 Service Registry

Vue unifiée de tous les services avec URL Readiness Checker et gestion HAProxy/Tor intégrée.

📊 Streamlit Platform (v1.0.0)

Hébergement d’applications data/ML avec gestion des instances, déploiement et publication HAProxy.

🧠 LocalAI Integration (v0.1.0)

LLM local avec llama-cpp, modèles pré-configurés pour inférence embarquée.

🛠️ Workflow de Développement

Le développement s’appuie sur Claude Code pour l’assistance au codage, avec un pipeline de build et déploiement automatisé vers le routeur.

🏗️ Évolution de l’Architecture

📐 Architecture Actuelle (v0.16)

L’architecture actuelle suit un modèle centralisé où chaque instance SecuBox fonctionne de manière autonome :

1
2
3
4
5
6
7
8
9
10
11
┌─────────────────────────────────────────────────────────┐
│              SecuBox Instance (C3BOX)                   │
│  ┌─────────┐  ┌─────────┐  ┌─────────┐  ┌─────────┐    │
│  │CrowdSec │  │ Netifyd │  │ HAProxy │  │WireGuard│    │
│  └────┬────┘  └────┬────┘  └────┬────┘  └────┬────┘    │
│       └──────────┴──────────┴──────────┘               │
│                      │ LuCI SecuBox                     │
│                      ▼                                  │
│           ┌──────────────────────┐                      │
│           │   SecuBox Portal     │                      │
└───────────┴──────────────────────┴──────────────────────┘

✅ Points Forts Actuels

  • 🔋 Autonomie complète — Chaque box fonctionne indépendamment
  • 🎨 Interface unifiée — Portal SecuBox + modules LuCI cohérents
  • 🛡️ Sécurité intégrée — CrowdSec + DPI + Firewall synchronisés
  • 🔄 Flexibilité — Modes proxy (Direct, CDN Cache, Tor, MITM)

🚀 Next Step : Hub P2P Collaboratif

🎯 Vision

L’évolution majeure de SecuBox consiste à transformer les instances isolées en un réseau collaboratif décentralisé. Le Hub P2P permettra aux SecuBox de partager intelligence, ressources et services tout en préservant la souveraineté de chaque nœud.

🌐 Architecture Cible

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
┌─────────────────────────────────────────────────────────────────┐
│                    SecuBox P2P Network                          │
│                                                                 │
│     ┌──────────┐         ┌──────────┐         ┌──────────┐     │
│     │SecuBox A │◄───────►│SecuBox B │◄───────►│SecuBox C │     │
│     │  (Home)  │         │ (Office) │         │  (Lab)   │     │
│     └────┬─────┘         └────┬─────┘         └────┬─────┘     │
│          │                    │                    │           │
│          └────────────────────┼────────────────────┘           │
│                               │                                │
│                    ┌──────────▼──────────┐                     │
│                    │   P2P Hub Protocol   │                    │
│                    │  ┌────────────────┐  │                    │
│                    │  │ 🎯 Threat Intel │  │                    │
│                    │  │ ⚙️ Config Sync  │  │                    │
│                    │  │ 🔗 Service Mesh │  │                    │
│                    │  └────────────────┘  │                    │
└────────────────────┴──────────────────────┴────────────────────┘

🔧 Fonctionnalités du Hub P2P

🎯 1. Threat Intelligence Distribuée

  • 📤 Partage automatique des IOCs (Indicators of Compromise) entre nœuds de confiance
  • 🔗 Extension du modèle CrowdSec avec intelligence privée inter-SecuBox
  • 🚫 Blocage préemptif basé sur les détections du réseau
  • ⭐ Scoring de réputation des nœuds participants

⚙️ 2. Configuration Synchronisée

  • 📋 Templates de configuration partagés entre sites
  • 🚀 Déploiement centralisé avec exécution distribuée
  • ↩️ Versioning et rollback automatique
  • 📜 Gestion des politiques de sécurité à l’échelle du réseau

🔗 3. Service Mesh Privé

  • 🔒 Interconnexion WireGuard automatique entre SecuBox
  • 🔍 Service discovery décentralisé
  • ⚖️ Load balancing inter-sites
  • 🔄 Failover automatique

🛠️ Stack Technique Envisagée

Composant Technologie Rôle
🔒 Transport WireGuard + Noise Protocol Tunnels chiffrés E2E
🔍 Discovery mDNS / DHT Découverte des pairs
🤝 Consensus CRDT / Raft léger Sync état distribué
📨 Messaging MQTT / ZeroMQ Communication asynchrone
🔑 Identity Ed25519 + X.509 Authentification mutuelle
💾 Storage SQLite + Sync Données locales répliquées

🤝 Modèle de Confiance

Le Hub P2P repose sur un modèle de confiance explicite :

  1. 📨 Invitation explicite — Les nœuds rejoignent le réseau uniquement sur invitation cryptographique
  2. 📊 Niveaux de partage — Chaque nœud définit ce qu’il partage (threat intel seulement, configs, services…)
  3. Révocation instantanée — Exclusion immédiate d’un nœud compromis
  4. 📝 Audit trail — Traçabilité de toutes les interactions

🗓️ Roadmap

Phase Période Objectifs
🏗️ v0.17 - Foundation Q1 2026 Hub daemon, discovery local, pairing initial
🎯 v0.18 - Threat Sharing Q2 2026 Partage IOCs, scoring réputation, alertes distribuées
⚙️ v0.19 - Config Sync Q3 2026 Templates partagés, déploiement coordonné
🔗 v0.20 - Service Mesh Q4 2026 Interconnexion services, load balancing, HA
🎉 v1.0 - Production 2027 Certification ANSSI, documentation complète

🖥️ Architectures Supportées

💪 ARM 64-bit (AArch64)

Target Devices
aarch64-cortex-a53 ESPRESSObin, BananaPi R64
aarch64-cortex-a72 MOCHAbin ⭐, Raspberry Pi 4, NanoPi R4S
mediatek-filogic GL.iNet MT3000, BananaPi R3
rockchip-armv8 NanoPi R4S/R5S, FriendlyARM
bcm27xx-bcm2711 Raspberry Pi 4, Compute Module 4

🔧 ARM 32-bit

Target Devices
arm-cortex-a7-neon Orange Pi, BananaPi, Allwinner
arm-cortex-a9-neon Linksys WRT, Turris Omnia
qualcomm-ipq40xx Google WiFi, Zyxel NBG6617

🔌 MIPS & x86

Target Devices
mips-24kc TP-Link Archer, Ubiquiti
mipsel-24kc Xiaomi, GL.iNet, Netgear
x86-64 PC, VMs, Docker, Proxmox

📁 Structure du Repository

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
secubox-openwrt/
├── 📦 package/secubox/           # All 38 SecuBox LuCI packages
│   ├── luci-app-secubox/         # Core hub
│   ├── luci-app-secubox-portal/
│   ├── luci-app-crowdsec-dashboard/
│   ├── luci-app-wireguard-dashboard/
│   └── ... (38 modules total)
├── 🛠️ secubox-tools/             # Build tools and local SDK
│   ├── local-build.sh            # Local package builder
│   ├── validate-modules.sh       # Module validation
│   └── sdk/                      # OpenWrt SDK
├── 📚 DOCS/                      # Documentation
├── ⚙️ .github/workflows/         # CI/CD GitHub Actions
├── 🤖 CLAUDE.md                  # AI coding guidelines
└── 📋 CHANGELOG.md               # Version history

📥 Installation

📦 From Pre-built Packages

1
2
3
4
opkg update
opkg install luci-app-secubox-portal_*.ipk
opkg install luci-app-system-hub_*.ipk
opkg install luci-app-crowdsec-dashboard_*.ipk

🔗 Add as OpenWrt Feed

1
2
3
4
5
6
7
8
# Add to feeds.conf.default
src-git secubox https://github.com/CyberMind-FR/secubox-openwrt.git

# Install
./scripts/feeds update secubox
./scripts/feeds install -a -p secubox
make menuconfig  # Select under LuCI > Applications
make V=s

🎯 Conclusion

SecuBox v0.16 marque une étape importante avec une plateforme de sécurité complète et fonctionnelle. L’architecture modulaire mise en place permet désormais d’envisager l’évolution vers un réseau collaboratif P2P.

Le Hub P2P représente une innovation significative dans le domaine des appliances de sécurité réseau, combinant la philosophie open-source de CrowdSec avec une approche décentralisée permettant aux organisations de créer leurs propres réseaux de confiance.

Cette évolution positionne SecuBox comme une solution unique alliant :

  • 🛡️ Sécurité professionnelle
  • 🔒 Respect de la vie privée
  • 🤝 Collaboration communautaire

… tout en restant accessible aux structures de toute taille grâce à son déploiement sur matériel standard OpenWrt.

🔗 Ressources

Lien
🐙 GitHub github.com/CyberMind-FR/secubox-openwrt
🔧 Dev Instance devel.cybermind.fr/gandalf/secubox-openwrt
📚 Documentation secubox.maegia.tv
🌐 Website secubox.cybermood.eu
📝 Blog blog.cybermind.fr
🏢 Publisher CyberMind.fr
📧 Contact gandalf@cybermind.fr
💰 Sponsor PayPal | Patreon

📜 Apache-2.0 © 2024-2026 CyberMind.fr

🇫🇷 Made with ❤️ in France