Turris – otevřený domácí router made in Czech Republic Bedřich Košata •
[email protected] • 3.11.2013
CZ.NIC ●
Správce národní domény .CZ
●
Výzkum a vývoj v oblasti sítí a síťové bezpečnosti
●
Open source software ●
●
BIRD, KNOT DNS, Datovky, ...
Osvěta v oblasti sítí a bezpečnosti ●
konference Internet a Technologie, Akademie CZ.NIC, „Jak na internet“,...
Pozadí projektu a motivace ●
Dlouhodobě se zaměřujeme na síťovou bezpečnost ●
●
Aktivně podporujeme moderní technologie (které v domácích routerech pokulhávají) ●
●
CSIRT.CZ, analýza DDOS útoků, DNSSEC, DANE, etc.
DNSSEC, IPv6
Zatím byl vývoj zaměřený hlavně na větší hráče na poli sítí ●
BIRD - routování, KNOT DNS - autoritativní DNS server
Distribuovaná kybernetická bezpečnost ●
●
● ●
Zaměření na ochranu domácích a malých firemních sítí Využití sond u koncových uživatelů k získání dat pro bezpečnostní analýzy Použití výsledků ke zlepšení ochrany sítí Nespokojenost s kvalitou současných domácích routerů ●
DNSSEC, IPv6, bezpečnost
Sonda → domácí router ●
●
Namísto dalšího zařízení zařazení funkce bezpečnostní sondy do routeru Router má ideální pozici k analýze veškerého provozu i ochraně celé sítě ●
●
mobilní zařízení, NAS boxy, atp., u nichž nemusí být ochrana snadno aktualizovatelná
Routery máme rádi :)
Proč Turris? ● ●
●
Turris = věž Věže se často budovaly na místech, kde je dobrý rozhled Umožňovaly včasné varování před blížícím se nepřítelem
Proč Turris?
Jak to funguje ●
●
●
●
Analýza síťového provozu na hranici domácí a veřejné sítě Informace o detekovaných anomáliích jsou odesílány na centrální server Využití srovnání informací z velkého množství sond ke zlepšení detekce škodlivého provozu Aktualizace ochrany domácí sítě (zejména firewallu) na základě detekovaných útoků
Statistická analýza provozu ●
●
●
●
Z hlaviček paketů jsou vybrány některé údaje (adresy, porty) a ty jsou hashovací funkcí rozděleny do „krabiček“ Sleduje se vývoj velikosti „krabiček“ v čase pro různé hashovací funkce Na základě této statistiky se určí odchylující se „krabičky“ Teprve v okamžiku anomálie se z „krabiček“ vyndají data a odešlou se na server
Co dalšího sbíráme ●
●
●
Logy z firewallu – důležité pro dokreslení situace a možnost odhalování nebezpečných adres a sítí Statistická data o provozu (IPv4 vs IPv6, UDP vs TCP) V budoucnu plánujeme aktivní sondy, např. pro měření rychlosti, dostupnosti služeb, atp. (pouze v rámci mantinelů daných uživatelem)
Co nesbíráme ●
Přenášená data uvnitř paketů
●
Hesla, čísla účtů, osobní informace
●
Navštěvované adresy
●
Cokoli na LAN
Router Turris ● ●
● ●
OpenWrt jako operační systém Vlastní změny pro podporu DNSSEC a vylepšení bezpečnosti Vlastní modulární monitor síťového provozu ucollect Vlastní systém pro vzdálenou správu postavený na protoku netconf – nuci
●
Automatické aktualizace systému
●
Přiblížení běžným uživatelům
Router Turris - hardware ● ●
●
●
●
Statistické metody jsou náročné na paměť a CPU Hardware musí zvládnout současné i případné budoucí metody analýzu provozu Existující domácí routery jsou vyladěné „na cenu“ a nemají rezervy ve výkonu Po otestování dostupných produktů jsme se rozhodli pro vývoj vlastního řešení Hardware navržen od začátku v CZ.NIC a zveřejněn jako open hardware
Hardware
Hardware
Hardware
Hardware
Hardware ●
Dvoujádrový PPC procesor P2020 na 1.2 GHz
●
2 GB RAM
●
16 MB NOR + 256 MB NAND flash
●
1 WAN + 5 LAN portů
●
Modulární wifi – miniPCIe karta 802.11a/b/g/n
●
Volný miniPCIe slot
●
2x USB 2.0 + další sběrnice dostupné v pinech
Vychytávky ●
● ●
●
Dedikovaný WAN port s přímou linkou do procesoru 2 eth linky mezi procesorem a switchem Sériová konzole vyvedená převodníkem do interního microUSB slotu – stačí přidat kabel Možnost nastavení intenzity a barvy světla diod
Open hardware made in Czech republic ●
Výroba v ČR
●
Veškerá dokumentace je dostupná ke stažení ●
Zdrojová data pro Altium Designer
●
Schéma zapojení
●
Návrh desky
●
3D model osazené desky
Turris naživo
Ochrana soukromí ●
● ●
● ●
●
Nesledujeme přenášená data, pouze hlavičky (IP adresy, porty, atp.), statistiky (přenesená data) a čas Na server se tato data odesílají až v případě detekce anomálie Mezivýsledky analýzy síťového provozu jsou spojeny pouze s daným zařízením – spojení s uživatelem je oddělené Nasbíraná data jsou po krátké době mazána Dlouhodobě jsou udržována pouze anonymní data, nespojená s konkrétním zařízením (např. počty útoku na jednotlivé porty) Uživateli je poskytován přehled nasbíraných dat v agregované podobě
Jak se zapojit ●
●
● ●
Předregistrace na https://www.turris.cz/ V okamžiku dostupnosti routerů Vás upozorníme na zaregistrovaný email Vyplnění smlouvy online Za symbolickou 1 Kč dostanete router k dlouhodobému pronájmu (za podmínek smlouvy)
Jaké jsou podmínky účasti ●
Využívat router jako hlavní přípojný bod k internetu
●
Nezasahovat do sběru bezpečnostních dat
●
Nezasahovat do aktualizací zařízení
●
●
Uživatel má právo kdykoli od smlouvy odstoupit a zařízení vrátit Uživatel může cokoli instalovat a měnit
Aktuální stav projektu ●
● ●
V této chvíli testujeme druhé prototypy routeru a ladíme OS Testujeme v ostrém provozu detekci anomálií Připravujeme výrobu 1000 ks routeru Turris na konci roku
Plány do budoucna ●
●
Sběr, analýza a publikace dat o detekovaných anomáliích Další vývoj celé platformy ●
Ladění a vylepšování OS
●
Vylepšování detekce síťových anomálií
●
●
Vylepšování vzdálené správy a webového rozhraní routeru Vývoj směrem k univerzálnímu OS pro domácí routery
Shrnutí ●
Zabezpečení domácích sítí
●
Open source řešení ●
●
Hardware, operační systém, software
Přiblížení OpenWrt domácím uživatelům a maximalizace zabezpečení
●
Výkonný hardware
●
Výsledky výzkumu k dispozici veřejně
Vývojový tým Tomáš Rykl Martin Strbačka Michal Vaner Štěpán Henek Robin Obůrka Jan Čermák Zbyněk Kos Bedřich Košata
Děkuji za pozornost www.turris.cz Bedřich Košata •
[email protected]
