O bezpečném routeru, který CZ.NIC připravuje, jsme poprvé psali v článku CZ.NIC: patnáctiletý (nejen) správce domény. Minulý týden byly spuštěny webové stránky projektu, který se jmenuje Turris. Jeho cílem je přinést uživatelům zařízení s co nejlepší podporou moderních síťových technologií (DNSSEC, IPv6 a další) a zároveň pomocí zařízení v domácnostech provádět sběr bezpečnostních dat a po jejich analýze zpětně zařízení zabezpečovat. Rozhovor nám poskytli Ondřej Filip a Bedřich Košata.
Proč je potřeba vytvořit další router, když je jich v každém elektru hromada za pár stovek?
BK: Na začátku projektu jsme si stanovili parametry, které by náš router měl mít, aby mohl zároveň sloužit jako bezpečnostní sonda a přitom poskytl uživateli zajímavé funkce a komfort. Na základě těchto parametrů jsme si udělali průzkum trhu a zjistili, že takové zařízení je v podstatě nedostupné. Buď jsou k dispozici různé domácí routery, které jsou ale přísně „cenově optimalizované“, aby zvládly přesně to co mají a nic víc, a nebo pak jsou řešení cílená spíš na profesionální použití. Tam už je zase problém s velikostí, spotřebou, možností nahrát vlastní firmware a podobně.
Já osobně jsem si, z dnešního pohledu trochu naivně, myslel, že bude možné se s některým z výrobců domluvit, aby pro naše potřeby mírně upravili nějaký existující produkt – např. ho osadili větší pamětí nebo rychlejší verzí stejného procesoru. Tam se ale rychle ukázalo, že předpokládaných 1000 ks nestojí ani menším výrobcům za to dělat byť i minimální zásahy do výroby. Z toho nakonec vyplynulo rozhodnutí zvolit místo kompromisů v technické oblasti složitější cestu, tedy vývoj vlastního hardware.
Je důležité si uvědomit, že náš router nemíří na trh. Nemůže být konkurentem běžně prodávaných routerů, ale to ani není jeho úloha. I když je vývoj vlastního hardware pro spoustu lidí asi nejzajímavější částí projektu, má pro nás především podpůrnou roli nástroje, který nám umožní realizovat hlavní záměr projektu. A tím je výzkum v oblasti síťové bezpečnosti.
Pokročilý uživatel už má nějaké OpenWRT, začátečníkovi obvykle stačí krabička za tři stovky, firma potřebuje něco robustnějšího. Pro koho je vlastně zařízení určeno?
BK: Tahle otázka už tak trochu předpokládá, že náš router bude v přímé konkurenci s něčím existujícím na trhu a je třeba ho přesně zacílit na nějakou konkrétní skupinu zákazníků. To ale vzhledem k zaměření projektu tak úplně neplatí. Zkusím místo odpovědi, pro koho zařízení je, vysvětlit, proč by mohlo uživatele z jednotlivých zmíněných skupin zaujmout. U pokročilých uživatelů je to fakt, že lidi, kteří zařízení navrhují, jsou geekové stejně jako oni a přemýšlí tedy podobným způsobem. Výkonný hardware, rozšiřitelnost pomocí miniPCIe, některé sběrnice vyvedené do pinů na desce, OpenWRT, možnost nainstalovat si libovolný balíček, dostatek flash i paměti, to jsou všechno věci, které uživatel, který si sám instaluje OpenWRT, ocení.
Začátečník by zase měl víc ocenit přidané bezpečnostní funkce. Není to jenom distribuovaný adaptivní firewall, ale třeba i automatické aktualizace. U firem je důležité si uvědomit, že ne všechny firmy jsou velké nebo počítačově orientované. Spousta firem má pár zaměstnanců a firemní síť podobnou té domácí. Pro ně by mohl vyšší výkon a přidané bezpečnostní funkce znamenat zajímavou alternativu ke komerčnímu řešení.
Jaký hardware bude uvnitř routeru?
BK: Obsáhlý popis najdete na stránkách projektu v sekci Hardware a nemá tedy asi cenu ho tu vyjmenovávat celý dopodrobna. Zdůraznil bych dvoujádrový PPC procesor, pravděpodobně 2 GB paměti a na domácí router hodně nadstandardní kapacitu flash paměti – 256 MB (běžné bývá 8 nebo 16 MB). Dále šest gigabitových portů, dva USB.
Čtenáře Roota by ale možná zajímali další „vychytávky“. Například na desce budou přes tzv. pin-header vyvedeny sběrnice I2C, SPI a UART. Navíc je na desce miniUSB konektor napojený přes příslušný převodník na UART. Pro připojení na sériovou konzoli tak stačí jen připojit obyčejný miniUSB kabel – není třeba žádný převodník. Jako třešničku na dortu plánujeme nastavitelnou intenzitu světla indikačních diod na předním panelu routeru. Je to drobnost, ale kdo má doma router na viditelném místě, určitě ví, jak moc příjemná.
Potřebuje opravdu dnes někdo doma uroutovat gigabit?
BK: Není to úplně běžné, ale už to není ani žádná utopie. Já mám to štěstí, že bydlím na Kladně, kde působí velice aktivní sdružení KLFree a v něm je celkem běžné, že je celý dům připojený optikou k páteři a po domě pak fungují gigabitové rozvody. Při přístupu na Facebook to moc nevyužijete, ale pokud třeba stahujete soubory od souseda, je to znát.
Navíc je důležité, že náš hardware musí být použitelný i za tři roky a do té doby se situace určitě zase o něco posune. UPC například nedávno ohlásilo poskytování 240Mbps linek pro domácnosti a je tu celá řada dalších operátorů, kteří jsou v rychlostech dále.
Máte už k dispozici funkční prototyp?
BK: První prototypy už máme a v téhle chvíli probíhá jejich oživování a portace Linuxu. Nicméně dá se říct, že drtivá většina HW je již oživena.
Jaká bude výrobní cena jednoho kusu?
BK: Výrobní cena jednoho kusu se bude pohybovat kolem osmi až devíti tisíc korun. Nicméně je třeba si uvědomit, že se bude jednat o malou sérii vyráběnou v České republice a okolí. Velkosériová výroba v nějaké východoasijské zemi by vypadala úplně jinak.
Jaký software poběží uvnitř? Bude to OpenWRT nebo nějaký váš vlastní klon?
BK: Tady asi záleží na úhlu pohledu. Jako každá dobrá linuxová distribuce je OpenWRT dost variabilní a systém balíčků umožňuje dělat změny bez zásahu do samotného systému. Pro naše účely jsme si udělali vlastní repozitář OpenWRT, do kterého přidáváme vlastní balíčky a aplikujeme patche, které potřebujeme pro náš hardware. Změnili jsme také základní image systému – např. SSH server Dropbear jsme nahradili OpenSSH – ale vycházíme vždy ze zdrojů uvnitř OpenWRT. Není to tedy OpenWRT, jaké si stáhnete ze stránek OpenWRT.org, ale určitě se nedá mluvit o vlastním klonu. Je to v podstatě čisté OpenWRT, jen jinak namíchané. Veškerá vylepšení, která v rámci projektu Turris vyvineme, chceme zpět poslat projektu OpenWRT.
Bude to celé open source? Budu mít možnost si to sám zkompilovat a nahrát s vlastními úpravami do zařízení?
BK: Veškeré programové vybavení, které na routeru bude, bude k dispozici pod open-source licencí. Bereme to jako základní předpoklad pro vybudování důvěry mezi uživatelem a námi. Ba co víc, pod otevřenou licencí bude i hardware, takže bude možné zařízení vyrobit či modifikovat, nebo si alespoň udělat vlastní krabičku. Bude možné vše si zkompilovat a nahrát software s vlastními úpravami, jedinou naší podmínkou je zachování funkce sběru bezpečnostních dat.
Bude mít uživatel roota a bude moci síť libovolně nakonfigurovat (IPv6 tunely, VLAN, VPN…)?
BK: Ano, pokud bude uživatel chtít, bude si moci nastavit root přístup k routeru přes SSH a nastavit si všechno podle svého. Pro nás je důležité jen to, aby nezasahoval do sběru dat.
Co všechno bude router sledovat a posílat do sítě?
BK: Od začátku projektu jsme si samozřejmě vědomi citlivosti situace. I když se to možná bude zdát zvláštní, ani my nemáme velkou radost z toho, že budeme lidem „koukat přes rameno“. Pokud ale chceme detekovat hrozby v síti, tak nám nic jiného, než sledovat síťové toky prostě nezbývá. Důležité tedy pro nás je maximálně omezit množství informací, které se k nám dostanou a které by mohly mít citlivou povahu. Rozhodli jsme se tedy udělat tlustou čáru mezi hlavičkami paketů a jejich obsahem: hlavičky ano, obsah ne. Vzhledem k tomu, že jsme primárně „síťaři“, je i náš systém zaměřený hlavně na chování zařízení v síti. Nechceme tedy analyzovat přenášená data a vyvíjet tak v podstatě antivirový systém. Namísto toho budeme potenciální nebezpečí vyvozovat z metadat provozu, tedy síťových adres, portů, množství přenášených dat a jejich časových závislostí.
Systém pro monitorování provozu v reálném čase navíc funguje tak, že do centrálního místa posílá standardně pouze určité statistické údaje o provozu a teprve pokud je na jejich základě detekována nějaká anomálie, vyžádá si systém automaticky doplňková data. Zde se ale vždy jedná pouze o data o adresách, portech, atp., nikoli o obsah komunikace.
Je samozřejmě možné, že se časem objeví důležité bezpečnostní funkce, které nebudeme schopni uživatelům nabídnout bez analýzy vnitřního obsahu komunikace. V takovém případě by se ale nejednalo o povinnou součást systému, ale pouze o doplněk, o jehož existenci by byl uživatel informován a který by mohl kdykoli vypnout.
Ve světle dnešních skandálů s bezpečnostními službami – jakou mám jistotu, že nebude ohroženo mé soukromí?
OF: Úplnou jistotu vám pochopitelně nedá vůbec nikdo. Nicméně zatímco mnoho současných zařízení a technologií proniká do vašeho soukromí a přitom vás o tomto faktu vůbec neinformuje, tento projekt zcela jasně a otevřeně říká, o jaká data mu jde a jak je bude sbírat. Navíc k tomu poskytneme veškeré zdrojové kódy příslušných aplikací. Takto otevřeně hraje málokdo. Schválně se podívejte, kolik dat odesílá antivirový program nebo chytrý mobilní telefon.
Dále si je třeba vnímat jakou společností CZ.NIC je. Nejsme běžnou komerční firmou, která může být zítra komukoliv prodána. Je to otevřené neziskové sdružení více než sta českých firem a pro místní internetovou komunitu krom správy národní domény nabízí velké množství dalších služeb. Pro udržení takového postavení je pověst zcela klíčová.
Je vůbec možné i do budoucna zajistit, že za CZ.NIC nepřijde nějaká agentura a nebude požadovat „upgrade routerů“ v zájmu státní bezpečnosti?
OF: Úplně stejně by ta stejná agentura mohla přijít za poskytovateli internetu a požádat o „upgrade“ jejich routerů. Nedává přeci smysl zabývat se tisícovkou uživatelů, když je možné dosáhnout na mnohem větší počty. Nicméně v České republice zatím naštěstí situace kolem svobody internetu takto špatná není a pokud by se nějak měla zhoršovat, bude CZ.NIC mezi prvními, kdo bude proti tomu protestovat, stejně jako jsme to dělali v případě ACTA či při schvalování nového mezinárodního telekomunikačního řádu na konferenci ITU v Dubaji.
Každopádně s každým uživatelem bude uzavřena smlouva, která velmi podrobně řeší, co všechno CZ.NIC může a co již nemůže. Ta nám jakýkoliv takovýto upgrade zakazuje. Navíc ještě jednou si uvědomme, že vše je open source, v tomto prostředí se takovéto upgrady dělají přeci jen obtížněji.