Uživatelské nástroje

Nástroje pro tento web


Tato dokumentace je jen pro Turris OS 3.x, který se už nenachází na nově prodávaných routerech. Novou dokumentaci najdete na https://docs.turris.cz/.

Přístup z vnější sítě

Pokud vám váš poskytovatel připojení dal k dispozici veřejnou IP adresu a je tedy možné se přes internet dostat na váš router, tak se vám otevírá možnost vzdálené správy routeru Turris přes internet. Tento návod vám dá k dispozici popis toho, jak vzdálenou správu povolit, seznámí vás s bezpečnostními riziky, na které byste měli brát ohled, pokud budete vzdálený přístup konfigurovat, a také vám nabídne alternativy pro vzdálenou správou s cílem lepší bezpečnosti.

Důrazně doporučujeme nebrat bezpečnostní varování a upozornění na lehkou váhu – jinak ohrožujete nejen váš router, ale i všechna zařízení v lokální síti.

Úvod

Vzdálená správa se skládá ze 3 částí – přístupu do konzole přes SSH, přístupu k webovému rozhraní Foris a pokročilému webovému rozhraní LuCI. Není nutné povolovat přístup ke všem těmto službám. Pokud máte zkušenosti s prací v příkazovém řádku, stačí povolit přístup přes SSH a na webová rozhraní se protunelovat.

Z pohledu samotného operačního systému není přístup nijak omezován – jmenované služby naslouchají na všech IP adresách. Přístup k nim je omezen pouze firewallem. Stačí tedy povolit příslušné porty a služby budou dostupné z venku.

Otevření portu

Před konzultací opatření, která je vhodné učinit současně s povolením nějaké konkrétní služby, si ukážeme obecný postup, jak povolit nějaký port na firewallu.

Vstupte do sekce Síť → Firewall, dále pokračujte na záložku Pravidla síťového provozu. Zde naleznete formulář Otevřené porty na routeru.

Povolení si ukážeme na příkladu služby SSH (tedy 22/TCP):

  • Položka Název je jakýkoliv popis, který vám usnadní orientaci – například SSH.
  • Protokol závisí na typu služby, v případě SSH zvolte TCP.
  • Vnější port také závisí na typu služby, v případě SSH vyplňte 22.
  • Pravidlo přidejte stisknutím tlačítka Přidat.

Aby došlo k restartu firewallu a projevili se provedené změny, klikněte na tlačítko Uložit & použít. Od tohoto okamžiku by měla být služba běžící na zadaném portu dostupná z vnější sítě.

Přístup na konkrétní služby

LuCI a Foris

Tato dvě rozhraní jsou dostupná přes protokol HTTP (80/TCP) a nebo HTTPS (443/TCP). (Pozn.: Ve dřívější verzi operačního systému Turris bylo rozhraní LuCI dostupné samostatně na portu 8080. Pokud jste router resetovali do továrního nastavení, bude nutné vyčkat na provedení aktualizací.)

Je velmi nevhodné, aby jste použili nezabezpečený protokol HTTP pro správu routeru z vnější sítě. Vaše heslo může být velmi snadno odposlechnuto. Používejte proto pouze šifrovaný protokol HTTPS.

Používejte silná hesla.

HTTPS

S aktualizacemi se instaluje balíček https-cert, který jednak povolí na webovém serveru použití HTTPS na portu 443 a jednak po instalaci provede vygenerování self-signed certifikátu. Certifikát tedy není instalován jako soubor, což by byl závažný bezpečnostní problém, ale generuje se až na vašem zařízení.

Je nutné se připravit na to, že při otevření stránky vás bude prohlížeč informovat o tom, že certifikát není v pořádku. Prvním problémem je to, že se prohlížeči nepodaří ověřit podpis certifikátu, protože není podepsán uznávanou certifikační autoritou, ale certifikační autoritou, která vznikne na routeru, a tu prohlížeč přirozeně nemůže znát. Druhým problém spočívá v přístupu k zařízení. Certifikáty se generují pro konkrétní doménové jméno, které buď neexistuje (používáte pouze IP adresu) nebo ho nemůže instalační skript znát.

Naše řešení představuje jednoduchou pomůcku, kterou jsme připravili pro méně zkušené uživatele, aby měli možnost přistupovat šifrovaně k routeru. Vždy existuje možnost si zakoupit doménu, vytvořit příslušné DNS záznamy a nechat si vygenerovat certifikát od certifikační autority. Lepší řešení je pouze na znalostech a potřebách uživatele.

SSH

Služba SSH se nachází na portu 22/TCP. Zabezpečení služby SSH na routeru Turris nevyžaduje žádné speciální kroky. Měli byste se řídit alespoň obecnými zásadami. Tedy pokud možno nepovolovat login pomocí hesla, ale pouze pomocí klíčů apod.

K obecným zásadám zabezpečení SSH si nastudujte materiály například v seriálu Správa linuxového serveru a dílech Úvod do SSH pro správce, Praktické rady pro zabezpečení SSH a případných navazujících.

VPN

Zajímavou alternativou přístupu z venku je zajistit, aby router Turris sloužil jako server poskytující VPN. Pak není nutné otevírat žádný známý port do internetu a na router se dostane pouze uživatel se správným certifikátem. Po připojení má klient stejné podmínky jako by se octnul v lokální síti a tedy i shodnou dostupnost služeb. S nastavením VPN na routeru Turris vám pomůže článek OpenVPN. O VPN obecně si můžete přečíst v seriálu Správa linuxového serveru.