Projekt Turris http://www.turris.cz/ Ondřej Filip 23 října 2014 CIF Praha
Projekt Turris - motivace Start v roce 2013 Projekt sdílené kybernetické obrany Hlavní cíle Bezpečnostní výzkum Bezpečnost koncových uživatelů Zlepšení situace domácích routerů
Projekt Turris - motivace Bezpečnostní výzkum Dříve - Honeynet, Detekce anomálií DNS, CSIRT.CZ Sondy co nejblíže koncovým uživatelům Distribuce v tuzemských sítích Detekce anomálií v IP(v4/6) + další metody Bezpečnost koncových uživatelů Adaptivní firewall dle získaných dat Zdroj dat z CSIRT.CZ
Projekt Turris - motivace Domácí routery Špatná (nebo žádná) podpora IPv6 Problémy s DNS, DNSSEC, žádná validace Žádná podpora aplikací třetích stran Minimální bezpečnostní funkce Absence automatických SW aktualizací Současné bezpečnostní problémy
Sběr dat - sondy 1000 sond domácích routerů za 1 Kč/3 roky Schopnost forwardování 1Gbps, výkon pro provádění analýzy žádný router na trhu hardwarový vývoj
Router Turris Vývoj na zelené louce vývoj i výroba v ČR Freescale 1.2 GHz dual core (PPC) 2 GB DDR3 RAM SO-DIMM slot 256 MB NAND + 16 MB NOR flash 5x 1Gbps LAN (ethernetový switch 7 portů 2 linky do CPU) 1x 1Gbps WAN (přímo do CPU)
Router Turris 2x minipcie sloty (1 obsazený WiFi) WiFi 802.11 a/b/g/n 3x3 MIMO 2x USB 2.0 UART, SPI, I2C, GPIO Volný slot microsdhc Nízká spotřeba 9-14 W Open source licence
Router Turris
Router Turris killer feature Měnitelná intenzita LED (!) Tlačítkem Softwarově řízené (RGB) :-D
Router Turris software Založen na OpenWRT open source Konfigurační průvodce založen na NETCONF Automatické aktualizace lze nastavit čas restartu Sběr dat povinné (μcollect) IPv6, DNSSEC Bezpečné nastavení hesla, firewall,...
User interface
Sběr dat Logy routeru stav aktualizací, SW problémy Logy z firewallu neúspěšná spojení Ostatní veličiny teplota, zatížení, spotřeba paměti, flash apod. Detekce anomálií posílá se zprvu jen otisk Komunikace s podezřelými IP (C&C) Neúspěšná spojení z vnitřní sítě (v přípravě)
Měření sítě Dostupnost VIP adres - ping Měření síťové neutrality Čas DNS rezoluce Detekce SSL man-in-the-middle útoku BCP-38 antispoof FENIX NIX.CZ
Uživatelský portál Návody NAS, VPN, dual WAN, 3G/LTE záloha, VLAN, Fórum velmi aktivní Síťové statistiky, grafy TCP/UCP, v4/v6, Propustnost přípojky v přípravě Majordomo statistiky domácích zařízení (podivné chování Smart TV apod.)
Smlouva a osobní údaje Konzultováno uživateli dopředu 3 roky, sběr dat, mnohá omezení pro CZ.NIC, krátké uchovávání dat, pouze hlavičky Konzultováno s ÚOOÚ Open source POZITIVNÍ cena Big Brother Awards 2013
Zajímavá data a výsledky 990 registrováno & on-line Denně přibližně 6 TB Týdně 8000 IP adres se pokouší připojit na více než 20 routerů Turris Automatické aktualizace - 6 hlavních a mnoho menších Heartbleed opraven za 3 dny (Shellshock podobně)
Zajímavá data a výsledky Detekována nakažená zařízení 2% Publikování veřejného black listu v přípravě Odhaleno několik problematicky nastavených routerů Přesměrovávání portu 25 některými ISP Spolupráce se Synology při hledání útočníků
Zajímavá data a výsledky Provoz blokovaný firewallem 76% UDP, 22% TCP Provoz blokovaný firewallem 30% bittorrent, 9% Mikrotik ND, 3% NETBIOS, 3% Dropbox LanSync,, 0.5% SSH,, 0.05% SMTP Masívní skenování běžné, týdně přes 120 adres útočí na 500 routerů
Spolupráce Sponzor projektu - Comcast Počáteční spolupráce RIPE Atlas Antivirové společnosti SamKnows měření propustnosti mj. i v EU ISP a dodavatelé SW
Router Turris v 1.1 Prototyp hotov Mírná HW vylepšení +USB 3.0, +slot na SIM Opět cca 1000 ks, obdobný model Malé A/VDSL rozhraní napájené přes USB, ethernetový bridge Distribuce koncem roku
Turris Lite Raspberry PI pro výuku sítí - open source Min.: dual core CPU 1GHz, 5x1Gbps, USB3.0, 512MB RAM, 128MB flash, microsd, 2xminiPCIe, SPI, I2C, GPIO, forward 1Gbps Stejný OS jako Turris automatické aktualizace Možnost použít stejné bezpečnostní prvky Neziskové jen variabilní náklady - cena desky - ~$100 Předregistrace na http://lite.turris.cz - start 2015
Děkuji Ondřej Filip ondrej.filip@nic.cz http://www.turris.cz http://lite.turris.cz