Turris

Bezpečnost

Na bezpečnost domácích sítí je zaměřen celý projekt Turris. Způsob ochrany můžeme rozdělit na pasivní a aktivní.

Do první kategorie spadá především bezpečný operační systém s podporou automatických aktualizací a k tomu příslušející softwarové vybavení. Více o softwarovém vybavení routeru Turris naleznete v části Software.

V oblasti aktivní ochrany je hlavním prvkem distribuovaný adaptivní firewall popsaný níže.

Distribuovaný adaptivní firewall

Distribuovaný adaptivní firewall je tvořen sadou nástrojů, které společně vytvářejí systém ochrany, který je schopen reagovat na nové i existující bezpečnostní hrozby. Skládá se z následujících částí:

  1. sběr vstupních dat (především monitoring provozu koncových zařízení)
  2. analýza získaných dat na centrálním serveru
  3. tvorba firewallových pravidel na základě analýzy dat
  4. aktualizace koncových zařízení

Pro koncové uživatele jsou nejdůležitější body 1 a 4, které se týkají přímo jejich sítě.

Sběr dat zmíněný v bodě 1 je v detailu popsán v následujících odstavcích. Kromě dat získaných z koncových zařízení pak pro implementaci pravidel firewallu získáváme i informace od CSIRT.CZ a z veřejných i specializovaných zdrojů.

Pro aktualizaci koncových zařízení využíváme standardní mechanismus bezpečnostních aktualizací zařízení, který je využíván i pro další součásti systému.

Monitorování v reálném čase

Pro monitorování síťového provozu v reálném čase jsme vytvořili framework nazvaný ucollect, který zpracovává veškerý provoz na určeném síťovém rozhraní a používá systém zásuvných modulů pro jednotlivé monitorovací funkce. Zásuvné moduly je možné do systému za běhu přidávat a opět odebírat.

Tuto platformu jsme využili pro implementaci celé řady specializovaných sond, které nám pomáhají analyzovat datové toky z mnoha pohledů. Patří sem například sonda, která sbírá základní statistická data of provozu, sondu pro detekci anomálií v síťovém provozu, sonda pro sběr netflow dat podezřelých spojení, či sonda pro monitoring nevytvořených spojení, jejichž výskyt může být znakem určitého druhu malware.

Sumarizované výsledky většiny sond jsou pravidelně odesílány na náš analytický server, který provádí následné zpracování dat obdržených ze všech připojených sond. V některých případech jsou data využita pro tvorbu veřejně dostupných globálních statistik.

Přehled a popis všech sond, běžících v systému Turris OS, naleznete v uživatelské dokumentaci.

Monitorování firewallu

Kromě sledování provozu v reálném čase je dalším zajímavým zdrojem dat log firewallu. Ten ukazuje nevyžádaný provoz přicházející z vnějšku sítě a může být využit jako doplňkový zdroj informací při analýze anomálií. Tato data také využíváme pro vytvoření statistik nejčastěji napadaných služeb, napadajících zemí, atp., které jsou k dispozici v globálních statistikách a pro tvorbu greylistu podezřelých adres.