přejít na obsah přejít na navigaci

Linux E X P R E S, Router Turris – první zkušenosti

Vera

Router Turris – první zkušenosti

Turris100.jpg

Projekt Turris je dílem správce naší národní domény cz. Jeho součástí je router Turris, o kterém také bude tento článek. Hardware i software Turrisu vznikaly v laboratořích CZ.NIC a jsou dostupné pod svobodnou licencí. Hlavním účelem routeru je monitorování provozu na síti a odhalování případných bezpečnostních incidentů.


reklama

Výkonný hardware

Vnitřnosti má Turris opravdu špičkové – mozek tvoří rychlý dvoujádrový procesor, který má k dispozici celé 2 GB rychlé RAM typu DDR 3. K čemu je ale takový výkon? Odpověď je jednoduchá, vzhledem k tomu, že přístroj provádí měření a zaznamenávání prakticky vše, co jim prochází, tak je potřeba určitá výkonnostní rezerva, aby uživatel nepoznal jakékoliv zpomalení.

Router Turris (foto © CZ.NIC, z. s. p. o.) Router Turris (foto © CZ.NIC, z. s. p. o.)


Co se týká konektorové výbavy, k dispozici je pět gigabitových, dva USB 2.0 porty a miniPCIe slot, který lze použít třeba pro přidání USB 3. Novější verze tohoto portu se v základní výbavě nenachází z důvodu zjednodušení návrhu, protože USB 2.0 je podporován přímo procesorem, tak na základní desku nemusely být přidávány další čipy.

Hardwarové parametry

  • Procesor Freescale P2020 taktovaný na 1200 MHz
  • 2 GB DDR3 RAM v SO-DIMM slotu
  • 16 MB NOR a 256 MB NAND flash paměť
  • Samostatný gigabitový WAN a 5 gigabitových LAN portů (s využitím switch chipu QCA8337N)
  • Wifi 802.11a/b/g/n s 3x3 MIMO a odnímatelnými anténami
  • 2× USB 2.0 port
  • 1 volný miniPCIe slot
  • UART, SPI a I2C připojené na pin-header pro snadnou rozšiřitelnost
  • spotřeba 9,5 W bez zátěže, 12,5 W při zatížení CPU a 14 W v maximální zátěži

Vnitřek routeru Turris (foto © CZ.NIC, z. s. p. o.) Vnitřek routeru Turris (foto © CZ.NIC, z. s. p. o.)

Kvalitní software

Základ programového vybavení tvoří OpenWrt – systém TurrisOS je založen na upravené vývojové verzi (Barrier Breaker) tohoto systému. To umožňuje na routeru provozovat široké spektrum různých služeb – od webového serveru přes VPN až po multimediální DLNA server. Některé balíčky sice nejsou úplně aktuální, ale není problém si v případě nutnosti novou verzi zkompilovat na jiném počítači a poté ji do routeru nahrát.

Aktualizace nainstalovaných aplikací a systému probíhají ve výchozím nastavení automaticky, někdy je ale dobré kouknout do administrace, zda není potřeba restart pro dokončení. Nebo lze pro tyto případy naplánovat automatické restarty.

Projektu Turris po teoretické i praktické stránce byla věnována přednáška a workshop na nedávné konferenci Internet a Technologie 14.

Big brother?

Nacházíme se v době, kdy má možná většina z nás o své soukromí strach, zejména tedy díky Edwardu Snowdenovi. Vše je podrobně vysvětleno ve smlouvě, kterou musí každý zájemce podepsat. Router odesílá pouze metadata (hlavičky), nikoliv samotný obsah paketů. Pak také sbírá souhrnná statistická data a „pinguje“ některé české weby za účelem sledování jejich dostupnosti.

Statistiky blokací přístupu firewallem. Po zákazu vzdáleného ssh se na první příčky dostanou Rusko a Čína. Statistiky blokací přístupu firewallem. Po zákazu vzdáleného ssh
se na první příčky dostanou Rusko a Čína.


Nasbíraná data jsou anonymizována, takže nemohou být přiřazena ke konkrétní osobě. Na webu si můžete prohlédnout velmi podrobné statistiky a také objem dat, který router díky monitoringu vyčerpal. Projekt Turris si minulý rok odnesl jedinou pozitivní Big Brother Awards.

Na webu turris.cz si lze prohlédnout grafy poměru upload × download Na webu turris.cz si lze prohlédnout grafy poměru upload × download

Dvě tváře administrace

Webové administrační rozhraní má dvě podoby – tu první jednoduchou, která poskytuje přístup jen k základním funkcím a nastavením. Pokročilejší uživatelé mohou využít administrační rozhraní LuCI a pro ty nejzkušenější je k dispozici ssh s právy roota.

Při „hrabání se“ v routeru je potřeba dát pozor na to, aby nebyly ovlivněny měřicí funkce, což by bylo porušením smlouvy. Instalaci dalších balíčků lze provádět přes LuCI, ale ti, kteří jsou zvyklí software spravovat v terminálu, nebudou mít problém naučit se pracovat se správcem balíčků opkg.

Průvodce instalací vám pomůže s nastavením routeru pro základní funkce. Součástí je také test připojení k internetu. Průvodce instalací vám pomůže s nastavením routeru pro základní funkce.
Součástí je také test připojení k internetu.


Některé nastavování je pak pohodlnější provádět přes webové rozhraní, například firewall a nastavení forwardingu. Ve výchozím nastavení je vzdálený přístup do administrace vypnut, a pokud jej opravdu nepotřebujete, tak je nejlepší to takto nechat. Po povolení vzdáleného přístupu jsem vytříděním logů napočítal přibližně 7 000 pokusů o přihlášení přes ssh převážně z Ruska a Číny.

Nastavení firewallu Nastavení firewallu


Nastavení firewallu poskytuje široké možnosti nastavení. „Hardcoristé“si mohou pravidla iptables sepsat sami a poté je jen nahrát.

Ovládání diod na routeru Ovládání diod na routeru


V rozhraní LuCI se nacházejí i takové „blbosti“, jako je nastavení barev pro LED diody. Ti, kteří však mají router v místnosti, kde spí, však možnost diody vypnout jistě ocení.

Zobrazení grafů Zobrazení grafů


Grafy v reálném čase lze zobrazit přímo v administraci routeru.

Jak router získat?

To je už trochu složitější. Prvně je potřeba se registrovat na webu turris.cz a poté počkat na vybrání. To probíhá na základě vašeho umístění a poskytovatele internetového připojení. Vzhledem k tomu, že registrace už běží od minulého roku, je šance na výběr menší.

Po vybrání mezi testery si na router chvíli počkáte Po vybrání mezi testery si na router chvíli počkáte


Aktuálně svůj router dostalo asi 1 000 zájemců z 5 000 přihlášených. Po vybrání je potřeba smlouvu podepsat úředně ověřeným podpisem (nejjednodušší je asi využití CzechPointu, který je tuším na většině poboček České pošty) nebo použít validovaný účet na mojeid.cz.

Zhodnocení

Turris je určitě skvělý router, který bude výkonnostně stačit ještě mnoho let. Jedinou vadou na kráse je asi jen absence 802.11ac modulu, který teď sice většina lidí nevyužije, ale předpokládám, že se situace za pár let změní. Za symbolickou jednu korunu je to jasná volba, hodnota zařízení uvedená ve smlouvě je 12 tisíc. Nepředpokládám, že by se router za tuto cenu dostal do běžného prodeje, náklady by každopádně byly při výrobě většího množství podstatně nižší.

Do budoucna se můžete těšit na zkušenosti z dlouhodobějšího používání routeru Turris.

Nahoru

(Jako ve škole)
Průměr: 1,33 | Hodnotilo: 9
 

Top články z OpenOffice.cz

Příspěvky

Router Turris – první zkušenosti
Simi 11. 06. 2014, 16:50:32
Odpovědět  Odkaz 
Mam ho a jsem s nim maximalne spokojenej. Vystridal jsem uz desitky routeru, ale zadny se zdaleka nepriblizoval k tomuto. Prvni reakce myho taty po zapojeni: "Zda se mi ze je ten internet rychlejsi."

Dnes mi prislo upozorneni od CZ.NIC ze nektere me zarizeni se snazi zapojovat do botnetu. Takze Big Brother je v tomto pripade uzitecnej.
Router Turris – první zkušenosti
rusky troll 11. 06. 2014, 19:00:51
Odpovědět  Odkaz 
Tak tomu nerozumiem: "Statistiky blokací přístupu firewallem. Po zákazu vzdáleného ssh
se na první příčky dostanou Rusko a Čína." Ako je to zjavne z mapy? Ked CR, USA su este cervensie? Alebo vidim zle?
Lukáš Jelínek Re: Router Turris – první zkušenosti
Lukáš Jelínek 11. 06. 2014, 21:48:41
Odpovědět  Odkaz 
Po zapnutí SSH by zčervenaly jiné země. Autor se o tom zmiňuje větou: „Po povolení vzdáleného přístupu jsem vytříděním logů napočítal přibližně 7 000 pokusů o přihlášení přes ssh převážně z Ruska a Číny.“
Router Turris – první zkušenosti
PL 11. 06. 2014, 19:27:29
Odpovědět  Odkaz 
"Po vybrání je potřeba smlouvu podepsat úředně ověřeným podpisem (nejjednodušší je asi využití CzechPointu, který je tuším na většině poboček České pošty) nebo použít validovaný účet na mojeid.cz."

Dost dobře nerozumím tomu, proč by měl být podpis úředně ověřený (pokud se nechci jako uživatel natlačit do mojeid.cz), je stejné ověření i ze stany nic.cz? Je ve smlouvě ošetřeno případné zneužití dat ze strany nic.cz, které přes router tečou?

"Router odesílá pouze metadata (hlavičky), nikoliv samotný obsah paketů."
"Nasbíraná data jsou anonymizována, takže nemohou být přiřazena ke konkrétní osobě"

Bohužel se tomu jen těžko věří. Jsem jedním z těch odpůrců bezbřehého zveřejňování osobních údajů u domén, které nic.cz na webu prezentuje, jako je adresa a jejich skrytí podmiňuje ověřením nebo opět sesbírání osobních údají přes mojeID. Mě prostě tohle monitorování a schraňování údajů uživatelů – ve jménu dobra – nevoní.

Je samozřejmě na každém, aby se dobrovolně do projektu zapojil, horší by bylo, pokud by se to potom podařilo prosadit masově a v nejhorších představách třeba jako router k UPC nebo jinému velkému poskytovateli. Každá mince má dvě strany a v dnešní době už je bohužel dobro zastoupeno méně.
Re: Router Turris – první zkušenosti
John 9 11. 06. 2014, 19:57:37
Odpovědět  Odkaz 
Ano, plně s vámi souhlasím. Lidé, tím spíše profesionálové, by se neměli tak lehce vzdávat soukromí, případně to ještě v rámci "boje proti kyber terrorismu" (či do jiného obalu zabaleného krájení našich svobod) aktivně vyhledávat a podporovat. Bohužel, jak se zdá je to lidem jedno, viz. komentáře typu "Takze Big Brother je v tomto pripade uzitecnej."
Ne, není! A nebude. Existuje spousta nástrojů/HW, které dokáží odhalit / blokovat hrozby i v dnešní době, jen stačí nebýt laxní a nenechávat hlídání sítě na jiných. O tom, že v České republice je nějaké soukromí občanů bráno na lehkou váhu mimo jiné svědčí i nedávné statistiky vydané společností Vodafone, ve kterých se ČR objevila na jednom z předních míst v počtu požadavků na sledování hovorů, sms, metadat atd. - a nebylo to kvůli abecednímu pořádku. "Raději budu žít v nebezpečné svobodě, než klidném a jistotami prolezlém otroctví."
Re: Re: Router Turris – první zkušenosti
michal 11. 06. 2014, 20:50:00
Odpovědět  Odkaz 
+ 1
Re: Re: Router Turris – první zkušenosti
go 12. 06. 2014, 12:18:07
Odpovědět  Odkaz 
+100

Jinak Cesnet prozmenu zacal smirovat DNS ... http://www.root.cz/clanky/bezpecnost-v-rukou-adminu-i-tajnych-sluzeb-zapisky-z-it-14/ ... samozrejme ve jmenu vyssiho dobra.
Re: Re: Re: Router Turris – první zkušenosti
PL 12. 06. 2014, 14:15:55
Odpovědět  Odkaz 
Pěkný článek, nejvíc mě zaujalo:
"Největším nebezpečím je podle Surého takzvaný pervasive monitoring, tedy všudypřítomné sledování veškerého provozu na síti." …že by narážel na vlastní projekt Turris? :-)

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

František Zatloukal

František Zatloukal

Mladý open-source nadšenec, vývojář, Fedora Ambassador pro ČR. Aktuálně pracuje jako Project Coordinator v Red Hatu a dělá šéfredaktora na mojefedora.cz. Ve volném čase se věnuje sportu.


  • Distribuce: Fedora
  • Grafické prostředí: GNOME
  • Hodnocení autora: *

| blog