Projekt Turris http://www.turris.cz/ Ondřej Filip • 23 října 2014 • CIF • Praha
Projekt Turris - motivace ●
●
Start v roce 2013 – Projekt sdílené kybernetické obrany Hlavní cíle ● ● ●
Bezpečnostní výzkum Bezpečnost koncových uživatelů Zlepšení situace domácích routerů
Projekt Turris - motivace ●
Bezpečnostní výzkum Dříve - Honeynet, Detekce anomálií DNS, CSIRT.CZ ● Sondy co nejblíže koncovým uživatelům ● Distribuce v tuzemských sítích ● Detekce anomálií v IP(v4/6) + další metody Bezpečnost koncových uživatelů ●
●
● ●
Adaptivní firewall – dle získaných dat Zdroj dat z CSIRT.CZ
Projekt Turris - motivace ●
Domácí routery ● ● ● ● ● ●
Špatná (nebo žádná) podpora IPv6 Problémy s DNS, DNSSEC, žádná validace Žádná podpora aplikací třetích stran Minimální bezpečnostní funkce Absence automatických SW aktualizací Současné bezpečnostní problémy
Sběr dat - sondy ● ●
1000 sond – domácích routerů za 1 Kč/3 roky Schopnost forwardování 1Gbps, výkon pro provádění analýzy – žádný router na trhu – hardwarový vývoj
Router Turris ●
Vývoj na zelené louce – vývoj i výroba v ČR ● ● ● ●
●
Freescale 1.2 GHz dual core (PPC) 2 GB DDR3 RAM – SO-DIMM slot 256 MB NAND + 16 MB NOR flash 5x 1Gbps LAN (ethernetový switch 7 portů – 2 linky do CPU) 1x 1Gbps WAN (přímo do CPU)
Router Turris ● ● ● ● ● ● ●
2x miniPCIe sloty (1 obsazený WiFi) WiFi 802.11 a/b/g/n – 3x3 MIMO 2x USB 2.0 UART, SPI, I2C, GPIO Volný slot microSDHC Nízká spotřeba – 9-14 W Open source licence
Router Turris
Router Turris – killer feature ●
Měnitelná intenzita LED (!) ● ● ●
Tlačítkem Softwarově řízené (RGB) :-D
Router Turris – software ●
Založen na OpenWRT – open source
●
Konfigurační průvodce – založen na NETCONF
●
Automatické aktualizace – lze nastavit čas restartu
●
Sběr dat – povinné (μCollect)
●
IPv6, DNSSEC
●
Bezpečné nastavení – hesla, firewall, ...
User interface
Sběr dat ●
Logy routeru – stav aktualizací, SW problémy
●
Logy z firewallu – neúspěšná spojení
●
Ostatní veličiny – teplota, zatížení, spotřeba paměti, flash apod.
●
Detekce anomálií – posílá se zprvu jen otisk
●
Komunikace s podezřelými IP (C&C)
●
Neúspěšná spojení z vnitřní sítě (v přípravě)
Měření sítě ●
Dostupnost VIP adres - ping
●
Měření síťové neutrality
●
Čas DNS rezoluce
●
Detekce SSL man-in-the-middle útoku
●
BCP-38 – antispoof – FENIX – NIX.CZ
Uživatelský portál ●
Návody – NAS, VPN, dual WAN, 3G/LTE záloha, VLAN, …
●
Fórum – velmi aktivní
●
Síťové statistiky, grafy – TCP/UCP, v4/v6, …
●
Propustnost přípojky – v přípravě
●
Majordomo – statistiky domácích zařízení (podivné chování Smart TV apod.)
Smlouva a osobní údaje ● ●
Konzultováno uživateli dopředu 3 roky, sběr dat, mnohá omezení pro CZ.NIC, krátké uchovávání dat, pouze hlavičky
●
Konzultováno s ÚOOÚ
●
Open source
●
POZITIVNÍ cena Big Brother Awards 2013
Zajímavá data a výsledky ●
990 registrováno & on-line
●
Denně přibližně 6 TB
●
●
●
Týdně 8000 IP adres se pokouší připojit na více než 20 routerů Turris Automatické aktualizace - 6 hlavních a mnoho menších Heartbleed opraven za 3 dny (Shellshock podobně)
Zajímavá data a výsledky ●
Detekována nakažená zařízení – 2%
●
Publikování veřejného black listu – v přípravě
●
Odhaleno několik problematicky nastavených routerů
●
Přesměrovávání portu 25 některými ISP
●
Spolupráce se Synology při hledání útočníků
Zajímavá data a výsledky ●
●
●
Provoz blokovaný firewallem – 76% UDP, 22% TCP Provoz blokovaný firewallem – 30% bittorrent, 9% Mikrotik ND, 3% NETBIOS, 3% Dropbox LanSync, …, 0.5% SSH, …, 0.05% SMTP Masívní skenování běžné, týdně přes 120 adres útočí na 500 routerů
Spolupráce ●
Sponzor projektu - Comcast
●
Počáteční spolupráce ● ● ● ●
RIPE Atlas Antivirové společnosti SamKnows – měření propustnosti mj. i v EU ISP a dodavatelé SW
Router Turris v 1.1 ●
Prototyp hotov
●
Mírná HW vylepšení – +USB 3.0, +slot na SIM
●
Opět cca 1000 ks, obdobný model
●
●
Malé A/VDSL rozhraní – napájené přes USB, ethernetový bridge Distribuce koncem roku
Turris Lite ● ●
„Raspberry PI pro výuku sítí“ - open source Min.: dual core CPU 1GHz, 5x1Gbps, USB3.0, 512MB RAM, 128MB flash, microSD, 2xminiPCIe, SPI, I2C, GPIO, forward 1Gbps
●
Stejný OS jako Turris – automatické aktualizace
●
Možnost použít stejné bezpečnostní prvky
●
Neziskové – jen variabilní náklady - cena desky - ~$100
●
Předregistrace na http://lite.turris.cz - start 2015
Děkuji Ondřej Filip •
[email protected] • http://www.turris.cz • http://lite.turris.cz
