Uživatelské nástroje

Nástroje pro tento web

Tato dokumentace již není udržována týmem projektu Turris (přestože ji lze i nadále používat pro sdílení komunitního obsahu). Aktuální oficiální dokumentace se nachází na docs.turris.cz.

Tato dokumentace je jen pro Turris OS 3.x, který se už nenachází na nově prodávaných routerech. Novou dokumentaci najdete na https://docs.turris.cz/.

O sběru dat

Sběr dat na routeru Turris Omnia je zcela dobrovolný a musí být uživatelem povolen v uživatelském rozhraní Foris. Sběrem dat nám pomáháte zlepšovat obecnou bezpečnost a získáváte informace a statistiky o provozu na vašem routeru. O tom, jak sběr dat povolit, pojednává tento článek. Uživatelé zapojení do projektu Turris, se staršími verzemi routeru Turris, souhlasí se sběrem dat v prvních třech letech účasti v projektu. Poté je router převeden do jejich vlastnictví a sběr dat se stává dobrovolným.

Další informace naleznete také v Podmíkách (EULA) ke sběru dat a Podmínkách (EULA) k automatickým aktualizacím.

Jaká data sbíráme?

Na routeru běží několik programů, které sbírají data a odesílají je na server. Jsou to především Nikola a Ucollect, který zahrnuje množství částí (pluginů) z nichž každá má jinou funkci.

Ucollect

Ucollect sleduje pakety na rozhraní do internetu (WAN) a zkoumá jejich hlavičky. Pro sběr dat jsou zajímavé pouze informace v hlavičkách (např. typ protokolu či adresa), nikoliv data samotná. Analýza je prováděna pouze na vzdálených adresách, ale některá sbíraná data obsahují uživatelovu IP adresu. Konkrétní funkce jednotlivých částí Ucollectu jsou popsány níže.

Základní statistiky

Tyto statistiky jsou sbírány pomocí pluginu count. Jednoduše řečeno dělí pakety do kategorií (např. kategorie všech paketů, příchozích, TCP, …), přičemž v každé kategorii je průběžně určován počet paketů a jejich celková velikost. Tato data jsou odesílána na server.

Tyto statistiky pomáhají monitorovat běžné používání připojení k Internetu ‒ např. rozšířenost IPv6 a poměr download:upload. Data jsou maximálně po 10 dnech agregovaná po skupinách routerů (nelze tedy určit, ze kterého konkrétně dané logy pocházejí) a v původní formě smazána jednou za 10 dní.

Statistiky PCAP

Rozhraní PCAP, sloužící ke zkoumání paketů procházející síťovou kartou, poskytuje statistiky ‒ kolik paketů bylo zpřístupněno aplikaci a kolik jich bylo zahozeno z důvodu nestíhání. Tyto statistiky jsou zasílány na server a slouží ke kontrole výkonu Ucollectu samotného.

Data jsou po 10 dnech smazána.

Nikola

Nikola analyzuje logy z firewallu (IPTables). Posílá záznamy o paketech, které jsou zachyceny ve firewallu ‒ obvykle to jsou pokusy z vnějšku připojit se na neexistující služby (např. útoky lámání hesla na SSH či skenování portů).

Data jsou po 10 dnech agregovaná po skupinách routerů (tedy nelze určit, ze kterého konkrétně dané logy pocházejí) a v původní formě smazána.

Ucollect plugins

Následující pluginy sbírají a analyzují síťová data. Informace v tomto článku nejsou kompletní a mají fungovat jako základní přehled toho jaké funkce jednotlivé pluginy mají a jaká data jsou jimi sbírána. Pokud se chcete obeznámit se všemi detaily sběru dat, přečtěte si prosím příslušnou dokumentaci ke kódu. Data, která sbíráme, jsou používány ke zlepšování celkové bezpečnosti, odhalování případných bezpečnostních hrozeb a v podobě grafů vám jako uživateli poskytují informace o provozu na vašem routeru.

bandwidth

Tento plugin slouží k měření rychlosti přenosu dat (nebo také “rychlosti přepojení”) v síti - počítá bajty za sekundu. Nutno dodat, že se jedná jen o “pasivní” měření, počítáme bajty, které skutečně protekly v danou chvíli sítí, ne jaký je maximální potenciál sítě. Tyto data jsou hlavně využívána k tvorbě grafů pro uživatele, kteří si tak jednoduše mohou ověřit kolik dat proteklo jejich sítí.

count

Tento jednoduchý plugin slouží k počítání balíčků a jejich velikosti za účelem vytváření základních statistik. count také počítá skupiny balíčků na základě různých vlastností jako je verze protokolu (IPv4/IPv6), směr toku (dovnitř/ven ze sítě), rodinu protokolu (TCP/UDP/IMCP) a pár dalších označení.

flow

Tento plugin sbírá informace o toku dat v síti a posílá je na server. Sledování flow je podobné jako sledování přenosu dat – balíčky se stejnými adresami a porty slučujeme dohromady, počítáme kolik dat teče kterým směrem a tyto jednotky posíláme na server v různých intervalech na základě uplynulého času a množství dat. Je nutné dodat, že takto netřídíme veškerá data ale jen ta, která jsou nějakým způsobem zajímavá a také vzdálené IP adresy, které mohou představovat bezpečnostní riziko. Tato data společně s daty z pluginu refused nám pomáhají odhalit případné nakažené počítače ve vaší síti a v případě útoku pomáhají dohledat příčinu.

fwup

Z tohoto pluginu žádná data nedostáváme, my naopak posíláme data jemu v podobě aktualizací seznamů blokovaných IP adres. Plugin tak funguje jako přídavek k balíčku firewall, který obsahuje základní blacklisty a provádí samotné blokování. Takto mohou být IP adresy do blacklistu přidány i z něj odstraněny mnohem rychleji – v rámci minut spíše než hodin.

refused

Účelem tohoto pluginu je sledovat odmítnutá spojení z vnitřní sítě. Pokaždé když proběhne pokus o spojení z vnitřní sítě a je z jakéhokoliv důvodu odmítnut, je pluginem uložen. V nepravidelných intervalech (buď při přesažení určitého počtu odmítnutých spojení nebo když je dosaženo určitého timeoutu) se uložená data posílají na server. Účelem tohoto pluginu je zachytit malware, který se pokouší připojit se při startu na více masterů.

sniff

Účelem tohoto pluginu je spouštět úkoly, které sbírají nějaké informace a posílají tyto informace na server v momentě kdy o ně server zažádá – pinguje vzdálené servery. Cílem je kontrolovat jak dostupné jsou různé části Internetu. Plugin dodatečně prohlíží SSL certifikáty serverů, což pomáhá při odhalování podvržených certifikátů.

spoof

Cílem tohoto pluginu je kontrolovat zda poskytovatelé internetového připojení řádně blokují balíčky s podvrženými adresami. Plugin pošle serveru dva balíčky, z toho jeden se správnou zdrojovou adresou a druhý s podvrženou. Server balíčky porovná, aby zjistil, zda je podvržená adresa správně blokována. Více o spoofingu a o tom proč může být nebezpečný se můžete dozvědět více zde