Tato dokumentace je jen pro Turris OS 3.x, který se už nenachází na nově prodávaných routerech. Novou dokumentaci najdete na https://docs.turris.cz/.
Sběr dat na routeru Turris Omnia je zcela dobrovolný a musí být uživatelem povolen v uživatelském rozhraní Foris. Sběrem dat nám pomáháte zlepšovat obecnou bezpečnost a získáváte informace a statistiky o provozu na vašem routeru. O tom, jak sběr dat povolit, pojednává tento článek. Uživatelé zapojení do projektu Turris, se staršími verzemi routeru Turris, souhlasí se sběrem dat v prvních třech letech účasti v projektu. Poté je router převeden do jejich vlastnictví a sběr dat se stává dobrovolným.
Další informace naleznete také v Podmíkách (EULA) ke sběru dat a Podmínkách (EULA) k automatickým aktualizacím.
Na routeru běží několik programů, které sbírají data a odesílají je na server. Jsou to především Nikola a Ucollect, který zahrnuje množství částí (pluginů) z nichž každá má jinou funkci.
Ucollect sleduje pakety na rozhraní do internetu (WAN) a zkoumá jejich hlavičky. Pro sběr dat jsou zajímavé pouze informace v hlavičkách (např. typ protokolu či adresa), nikoliv data samotná. Analýza je prováděna pouze na vzdálených adresách, ale některá sbíraná data obsahují uživatelovu IP adresu. Konkrétní funkce jednotlivých částí Ucollectu jsou popsány níže.
Tyto statistiky jsou sbírány pomocí pluginu count
. Jednoduše řečeno dělí pakety do kategorií (např. kategorie všech paketů, příchozích, TCP, …), přičemž v každé kategorii je průběžně určován počet paketů a jejich celková velikost. Tato data jsou odesílána na server.
Tyto statistiky pomáhají monitorovat běžné používání připojení k Internetu ‒ např. rozšířenost IPv6 a poměr download:upload. Data jsou maximálně po 10 dnech agregovaná po skupinách routerů (nelze tedy určit, ze kterého konkrétně dané logy pocházejí) a v původní formě smazána jednou za 10 dní.
Rozhraní PCAP, sloužící ke zkoumání paketů procházející síťovou kartou, poskytuje statistiky ‒ kolik paketů bylo zpřístupněno aplikaci a kolik jich bylo zahozeno z důvodu nestíhání. Tyto statistiky jsou zasílány na server a slouží ke kontrole výkonu Ucollectu samotného.
Data jsou po 10 dnech smazána.
Nikola analyzuje logy z firewallu (IPTables). Posílá záznamy o paketech, které jsou zachyceny ve firewallu ‒ obvykle to jsou pokusy z vnějšku připojit se na neexistující služby (např. útoky lámání hesla na SSH či skenování portů).
Data jsou po 10 dnech agregovaná po skupinách routerů (tedy nelze určit, ze kterého konkrétně dané logy pocházejí) a v původní formě smazána.
Následující pluginy sbírají a analyzují síťová data. Informace v tomto článku nejsou kompletní a mají fungovat jako základní přehled toho jaké funkce jednotlivé pluginy mají a jaká data jsou jimi sbírána. Pokud se chcete obeznámit se všemi detaily sběru dat, přečtěte si prosím příslušnou dokumentaci ke kódu. Data, která sbíráme, jsou používány ke zlepšování celkové bezpečnosti, odhalování případných bezpečnostních hrozeb a v podobě grafů vám jako uživateli poskytují informace o provozu na vašem routeru.
Tento plugin slouží k měření rychlosti přenosu dat (nebo také “rychlosti přepojení”) v síti - počítá bajty za sekundu. Nutno dodat, že se jedná jen o “pasivní” měření, počítáme bajty, které skutečně protekly v danou chvíli sítí, ne jaký je maximální potenciál sítě. Tyto data jsou hlavně využívána k tvorbě grafů pro uživatele, kteří si tak jednoduše mohou ověřit kolik dat proteklo jejich sítí.
Tento jednoduchý plugin slouží k počítání balíčků a jejich velikosti za účelem vytváření základních statistik. count
také počítá skupiny balíčků na základě různých vlastností jako je verze protokolu (IPv4/IPv6), směr toku (dovnitř/ven ze sítě), rodinu protokolu (TCP/UDP/IMCP) a pár dalších označení.
Tento plugin sbírá informace o toku dat v síti a posílá je na server. Sledování flow je podobné jako sledování přenosu dat – balíčky se stejnými adresami a porty slučujeme dohromady, počítáme kolik dat teče kterým směrem a tyto jednotky posíláme na server v různých intervalech na základě uplynulého času a množství dat. Je nutné dodat, že takto netřídíme veškerá data ale jen ta, která jsou nějakým způsobem zajímavá a také vzdálené IP adresy, které mohou představovat bezpečnostní riziko. Tato data společně s daty z pluginu refused
nám pomáhají odhalit případné nakažené počítače ve vaší síti a v případě útoku pomáhají dohledat příčinu.
Z tohoto pluginu žádná data nedostáváme, my naopak posíláme data jemu v podobě aktualizací seznamů blokovaných IP adres. Plugin tak funguje jako přídavek k balíčku firewall, který obsahuje základní blacklisty a provádí samotné blokování. Takto mohou být IP adresy do blacklistu přidány i z něj odstraněny mnohem rychleji – v rámci minut spíše než hodin.
Účelem tohoto pluginu je sledovat odmítnutá spojení z vnitřní sítě. Pokaždé když proběhne pokus o spojení z vnitřní sítě a je z jakéhokoliv důvodu odmítnut, je pluginem uložen. V nepravidelných intervalech (buď při přesažení určitého počtu odmítnutých spojení nebo když je dosaženo určitého timeoutu) se uložená data posílají na server. Účelem tohoto pluginu je zachytit malware, který se pokouší připojit se při startu na více masterů.
Účelem tohoto pluginu je spouštět úkoly, které sbírají nějaké informace a posílají tyto informace na server v momentě kdy o ně server zažádá – pinguje vzdálené servery. Cílem je kontrolovat jak dostupné jsou různé části Internetu. Plugin dodatečně prohlíží SSL certifikáty serverů, což pomáhá při odhalování podvržených certifikátů.
Cílem tohoto pluginu je kontrolovat zda poskytovatelé internetového připojení řádně blokují balíčky s podvrženými adresami. Plugin pošle serveru dva balíčky, z toho jeden se správnou zdrojovou adresou a druhý s podvrženou. Server balíčky porovná, aby zjistil, zda je podvržená adresa správně blokována. Více o spoofingu a o tom proč může být nebezpečný se můžete dozvědět více zde