Turris otevřený domácí router made in Czech Republic Bedřich Košata bedrich.kosata@nic.cz 3.11.2013
CZ.NIC Správce národní domény.cz Výzkum a vývoj v oblasti sítí a síťové bezpečnosti Open source software BIRD, KNOT DNS, Datovky,... Osvěta v oblasti sítí a bezpečnosti konference Internet a Technologie, Akademie CZ.NIC, Jak na internet,...
Pozadí projektu a motivace Dlouhodobě se zaměřujeme na síťovou bezpečnost Aktivně podporujeme moderní technologie (které v domácích routerech pokulhávají) CSIRT.CZ, analýza DDOS útoků, DNSSEC, DANE, etc. DNSSEC, IPv6 Zatím byl vývoj zaměřený hlavně na větší hráče na poli sítí BIRD - routování, KNOT DNS - autoritativní DNS server
Distribuovaná kybernetická bezpečnost Zaměření na ochranu domácích a malých firemních sítí Využití sond u koncových uživatelů k získání dat pro bezpečnostní analýzy Použití výsledků ke zlepšení ochrany sítí Nespokojenost s kvalitou současných domácích routerů DNSSEC, IPv6, bezpečnost
Sonda domácí router Namísto dalšího zařízení zařazení funkce bezpečnostní sondy do routeru Router má ideální pozici k analýze veškerého provozu i ochraně celé sítě mobilní zařízení, NAS boxy, atp., u nichž nemusí být ochrana snadno aktualizovatelná Routery máme rádi :)
Proč Turris? Turris = věž Věže se často budovaly na místech, kde je dobrý rozhled Umožňovaly včasné varování před blížícím se nepřítelem
Proč Turris?
Jak to funguje Analýza síťového provozu na hranici domácí a veřejné sítě Informace o detekovaných anomáliích jsou odesílány na centrální server Využití srovnání informací z velkého množství sond ke zlepšení detekce škodlivého provozu Aktualizace ochrany domácí sítě (zejména firewallu) na základě detekovaných útoků
Statistická analýza provozu Z hlaviček paketů jsou vybrány některé údaje (adresy, porty) a ty jsou hashovací funkcí rozděleny do krabiček Sleduje se vývoj velikosti krabiček v čase pro různé hashovací funkce Na základě této statistiky se určí odchylující se krabičky Teprve v okamžiku anomálie se z krabiček vyndají data a odešlou se na server
Co dalšího sbíráme Logy z firewallu důležité pro dokreslení situace a možnost odhalování nebezpečných adres a sítí Statistická data o provozu (IPv4 vs IPv6, UDP vs TCP) V budoucnu plánujeme aktivní sondy, např. pro měření rychlosti, dostupnosti služeb, atp. (pouze v rámci mantinelů daných uživatelem)
Co nesbíráme Přenášená data uvnitř paketů Hesla, čísla účtů, osobní informace Navštěvované adresy Cokoli na LAN
Router Turris OpenWrt jako operační systém Vlastní změny pro podporu DNSSEC a vylepšení bezpečnosti Vlastní modulární monitor síťového provozu ucollect Vlastní systém pro vzdálenou správu postavený na protoku netconf nuci Automatické aktualizace systému Přiblížení běžným uživatelům
Router Turris - hardware Statistické metody jsou náročné na paměť a CPU Hardware musí zvládnout současné i případné budoucí metody analýzu provozu Existující domácí routery jsou vyladěné na cenu a nemají rezervy ve výkonu Po otestování dostupných produktů jsme se rozhodli pro vývoj vlastního řešení Hardware navržen od začátku v CZ.NIC a zveřejněn jako open hardware
Hardware
Hardware
Hardware
Hardware
Hardware Dvoujádrový PPC procesor P2020 na 1.2 GHz 2 GB RAM 16 MB NOR + 256 MB NAND flash 1 WAN + 5 LAN portů Modulární wifi minipcie karta 802.11a/b/g/n Volný minipcie slot 2x USB 2.0 + další sběrnice dostupné v pinech
Vychytávky Dedikovaný WAN port s přímou linkou do procesoru 2 eth linky mezi procesorem a switchem Sériová konzole vyvedená převodníkem do interního microusb slotu stačí přidat kabel Možnost nastavení intenzity a barvy světla diod
Open hardware made in Czech republic Výroba v ČR Veškerá dokumentace je dostupná ke stažení Zdrojová data pro Altium Designer Schéma zapojení Návrh desky 3D model osazené desky
Turris naživo
Ochrana soukromí Nesledujeme přenášená data, pouze hlavičky (IP adresy, porty, atp.), statistiky (přenesená data) a čas Na server se tato data odesílají až v případě detekce anomálie Mezivýsledky analýzy síťového provozu jsou spojeny pouze s daným zařízením spojení s uživatelem je oddělené Nasbíraná data jsou po krátké době mazána Dlouhodobě jsou udržována pouze anonymní data, nespojená s konkrétním zařízením (např. počty útoku na jednotlivé porty) Uživateli je poskytován přehled nasbíraných dat v agregované podobě
Jak se zapojit Předregistrace na https://www.turris.cz/ V okamžiku dostupnosti routerů Vás upozorníme na zaregistrovaný email Vyplnění smlouvy online Za symbolickou 1 Kč dostanete router k dlouhodobému pronájmu (za podmínek smlouvy)
Jaké jsou podmínky účasti Využívat router jako hlavní přípojný bod k internetu Nezasahovat do sběru bezpečnostních dat Nezasahovat do aktualizací zařízení Uživatel má právo kdykoli od smlouvy odstoupit a zařízení vrátit Uživatel může cokoli instalovat a měnit
Aktuální stav projektu V této chvíli testujeme druhé prototypy routeru a ladíme OS Testujeme v ostrém provozu detekci anomálií Připravujeme výrobu 1000 ks routeru Turris na konci roku
Plány do budoucna Sběr, analýza a publikace dat o detekovaných anomáliích Další vývoj celé platformy Ladění a vylepšování OS Vylepšování detekce síťových anomálií Vylepšování vzdálené správy a webového rozhraní routeru Vývoj směrem k univerzálnímu OS pro domácí routery
Shrnutí Zabezpečení domácích sítí Open source řešení Hardware, operační systém, software Přiblížení OpenWrt domácím uživatelům a maximalizace zabezpečení Výkonný hardware Výsledky výzkumu k dispozici veřejně
Vývojový tým Tomáš Rykl Martin Strbačka Michal Vaner Štěpán Henek Robin Obůrka Jan Čermák Zbyněk Kos Bedřich Košata
Děkuji za pozornost www.turris.cz Bedřich Košata bedrich.kosata@nic.cz