Bezpečný router pro domácí uživatele. Bedřich Košata bedrich.kosata@nic.cz 21.05.2013

Podobné dokumenty
Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

NAS SYNOLOGY DS115j. Copyright Hotline:

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Nadpis 1 - Nadpis Security 2

Výzva na podání nabídek na veřejnou zakázku malého rozsahu

Flow Monitoring & NBA. Pavel Minařík

Příloha č. 1 k výzvě k podání nabídek

LINUX - INSTALACE & KONFIGURACE

SADA VY_32_INOVACE_PP1

Citidea monitorovací a řídicí centrála pro smart řešení

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Řešení jádra sítě ISP na otevřených technologiích

Flow monitoring a NBA

Základní deska (motherboard, mainboard)

NAS SYNOLOGY DS214SE. Osobní NAS server za příjemnou cenu.

Zřízení technologického centra ORP Dobruška

Tomáš Kantůrek. IT Evangelist, Microsoft

Jak se měří Internet

K čemu slouží počítačové sítě

TECHNICKÁ SPECIFIKACE PŘEDMĚTU VEŘEJNÉ ZAKÁZKY. Pořízení Počítačů a strojů na zpracování dat 2017 pro Vysokou školu polytechnickou Jihlava

Uživatel počítačové sítě

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

Jak se měří Internet

Výpočetní zdroje v MetaCentru a jejich využití

Obrana sítě - základní principy

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Počítačová síť ve škole a rizika jejího provozu

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Wonderware hardware. Seznam produktů

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com


Počítačové sítě. IKT pro PD1

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012

TECHNICKÁ DOKUMENTACE

Přechod na virtuální infrastrukturu

FlowMon Vaše síť pod kontrolou

V tomto zařízení jsou implementovány veškeré komponenty pro firemní komunikaci včetně kompletních hlasových a mnoha dalších uživatelských služeb.

Instalace OS, nastavení systému

Forenzní analytická jednotka - technická specifikace (9 ks)

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

úvod Historie operačních systémů

TOP 10 produktů a služeb

Daniela Lišková Solution Specialist Windows Client.

- ELVAC IPC s.r.o. Petr Štefek Ostrava

1) PC učebna ZŠ Přichystalova 6ks

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

VINCULUM VNC1L-A. Semestrální práce z 31SCS Josef Kubiš

Konfigurace Windows 7

Dual-stack jako řešení přechodu?

Vyšší odborná škola zdravotnická a Střední zdravotnická škola Hradec Králové

Specifikace vybavení pro výběrové řízení

Informační a komunikační technologie

DODATEČNÉ INFORMACE K ZADÁVACÍ DOKUMENTACI č. 3

Technická specifikace Notebooky 210 ks

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

CS monitorovací jednotky. Edice: Vytvořil: Luboš Fistr

VÝPOČETNĚ NÁROČNÉ APLIKACE S VYUŽITÍM VIRTUALIZACE PRACOVNÍCH STANIC NA BÁZI INTEGRACE TECHNOLOGIÍ MICROSOFT VDI A SUN RAY

Příloha č. 1 zadávací dokumentace - Specifikace předmětu plnění veřejné zakázky

Zákon o kybernetické bezpečnosti: kdo je připraven?

IP kamery Relicam. Verze 2 UŽIVATELSKÝ MANUÁL

Zabezpečení kolejní sítě

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

CS monitorovací jednotky. Edice: Vytvořil: Luboš Fistr

Technická specifikace soutěžených služeb

Kontrolní seznam projektu a systémové požadavky Xesar 3.0

FlowMon Monitoring IP provozu

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Co se realizovalo v přecházejícím roce:

Řešení počítačové sítě na škole

Turris otevřený domácí router made in Czech Republic. Bedřich Košata

ENERGY STAR, hladina hluku nesmí překročit 4,0 B (A) v pohotovostním režimu a 4,5 B(A) při přístupu na pevný disk

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Hardware Základní pojmy. Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1122_Hardware Základní pojmy_pwp

Koncept. Centrálního monitoringu a IP správy sítě

Systémy pro měření, diagnostiku a testování prototypů II. Odůvodnění vymezení technických podmínek podle 156 odst. 1 písm. c) ZVZ

i4wifi a.s. produktové novinky Květen 2014

OD Series

Příloha č. 1 kupní smlouvy Technická dokumentace zadavatele (kupujícího)

Ross-Tech HEX-NET VCDS VCDS-Mobile VCDS-Cloud TM

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Monitoring provozu poskytovatelů internetu

SÍŤOVÁ INFRASTRUKTURA MONITORING

i4wifi a.s. produktové novinky Říjen 2013

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Příloha č. 1 k Č.j.: OOP/10039/ Specifikace zařízení

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Integrované řešení přípojných počítačů MOXA pro IoT

Test z informatiky I.

izákladna chytré řešení pro instalaci, monitoring, synchronizaci a backup/restore SW dotykových zařízení

INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE

Koncept BYOD. Jak řešit systémově? Petr Špringl

I N V E S T I C E D O R O Z V O J E V Z D Ě L Á V Á N Í. Počet: 30

Systémy pro sběr a přenos dat

Transkript:

Bezpečný router pro domácí uživatele Bedřich Košata bedrich.kosata@nic.cz 21.05.2013

Je tu co vylepšovat? Bezpečnost router je brána mezi poklidnou domácí sítí a divokým internetem Moderní technologie Výkon podpora IPv6 stále není běžná (http://katalogrouteru.cz/) DNSSEC validace není dostupná snad u žádného výrobce málokterý router zvládne uroutovat 500 Mb/s, výkon výrazně padá s počtem firewallových pravidel, NATováním, apt. Dopňkové funkce router typicky běží v provozu 24/7 - ideální místo pro NAS, monitorovací server, atp.

Bezpečnost u mnoha domácích routerů je prvotní zapojení zároveň poslední operací s ním bezpečnostní záplaty pomocí updatu firmware mají velké zpoždění často zůstává výchozí heslo pro administrátora (v některých případech i pro přístup z vnějšku sítě)* je třeba aktivnější přístup k updatům nelze jej očekávat od uživatelů musí to být vestavěná funkce routeru * http://census2012.sourceforge.net/paper.html

Aktivní bezpečnost co udělá uživatel, když zjistí, že se mu do sítě někdo naboural? Google, Facebook, přátelé, fóra - získávání a výměna informací, hledání lidí se stejným zařízením a/nebo problémem proč si nevyměňovat bezpečnostní informace před napadením a nechránit tak sebe i ostatní?

Ideální router operační systém se schopností automatických updatů moderní technologie vestavěné do systému IPv6 včetně přechodových mechanismů, plnohodnotného firewallu, atp. DNSSEC validující resolver jako výchozí volba přívětivé a moderní uživatelské rozhraní aktivní ochrana uživatelů před bezpečnostními hrozbami hardware adekvátní nabízeným funkcím => CZ.NIC router

CZ.NIC router - operační systém Linuxový systém s podporou pro omezené prostředky zařízení OpenWrt populární alternativní operační systém pro domácí routery obsahuje všechno co potřebujeme (balíčkovací systém, uživatelské rozhraní, podporu IPv6,...) silná uživatelská komunita => využijeme OpenWrt a doplníme do něj, co chybí

CZ.NIC router - programové vybavení IPv6 závisí na způsobu sestavení firmware DNSSEC není ve výchozím nastavení podporován přizpůsobili jsme balíček resolveru Unbound pro OpenWrt uživatelské rozhraní je obsaženo základní webové rozhraní pracujeme na jednotném konfiguračním rozhraní, které umožní přístup z různých front-endů

CZ.NIC router - bezpečnost Pasivní bezpečnost automatické bezpečnostní updaty Aktivní bezpečnost využití celé sítě zapojených routerů pro monitoring centrální vyhodnocení možných hrozeb a útoků přizpůsobení pravidel firewallu detekovaným útokům => distribuovaný adaptivní firewall

CZ.NIC router - adaptivní firewall Zdroje informací pro firewall monitoring nevyžádaných pokusů o spojení z vnějšku sítě pomocí firewallu detekce anomálií v síťovém provozu pomocí statistických metod (nyní využíváme v DNS monitoringu) vnější zdroje - např. informace o chování a šíření malware ve spolupráci CSIRT.CZ Pravidla budou vytvářena odborníky na základě analýzy získaných dat V budoucnu automatické vytváření pravidel s dohledovou funkcí odborníka

CZ.NIC router - hardware vlastní hardware návrh bude uvolněn pod open-source licencí dostatečný výkon na plný Gbit provoz + bezpečnostní analýzu: procesor Freescale P2020 (2 jádra, PPC, 800-1200 MHz) SO-DIMM slot na DDR3 paměť 5x Gbit port WiFi 802.11n možnosti rozšíření: 1x minipcie (druhý obsazen WiFi kartou) - VDSL karta, záložní 3G připojení,... 2x USB 2.0 - tiskárna, sdílený disk, kamera,... GPIO, SPI a další sběrnice vyvedeny do pinheaderu - čidla teploty, tlaku, rosného bodu,...

CZ.NIC router - plán na rok 2013 vyrobit sérii 1000 ks CZ.NIC routeru připravit operační systém pro bezpečné a komfortní použití vytvořit programové vybavení a infrastrukturu pro distribuovaný adaptivní firewall nabídnout CZ.NIC router testovací skupině uživatelů vytvořit tak síť monitorovacích stanic pro sběr bezpečnostních dat

CZ.NIC router - ukázky v testovacím provozu sbíráme data z firewallu a detektoru anomálií z několika testovacích zařízení

CZ.NIC router - ukázky vyvíjíme prototyp aplikace pro monitoring routeru pomocí mobilního telefonu

Vývojový tým Martin Strbačka Michal Vaner Tomáš Rykl Štěpán Henek Robin Obůrka Zbyněk Kos Bedřich Košata

Děkuji za pozornost Bedřich Košata bedrich.kosata@nic.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář