Zatímco dokončujeme výrobu routeru Turris 1.1 a připravujeme jejich distribuci, rádi bychom veřejnosti představili novou verzi nájemní smlouvy (verze s vyznačením revizí), kterou uzavíráme se zájemci o zapojení do projektu. Tato nová verze smlouvy bude platná pro nové účastníky projektu, stávající uživatelé budou mít možnost přijmout nebo odmítnout příslušný dodatek k již uzavřené smlouvě (DOPLNĚNO 24. 7.: dodatek pro stávající uživatele nebude obsahovat požadavek na veřejnou IP adresu).
Kromě triviálních úprav, jako je změna adresy sdružení po loňském přestěhování, obsahuje nová smlouva také úpravy týkající se sběru dat, nakládání s nimi a požadavků na nájemce. Protože se v rámci projektu snažíme o maximální transparentnost, rozhodli jsme se podobně jako u první verze smlouvy představit veřejnosti i návrh její úpravy.
Zakomponované změny odrážejí naše zkušenosti s rokem provozu současné verze routerů a mají za cíl vylepšení služeb a nebo upřesnění smlouvy v místech, kde se ukázala jako nedostatečně explicitní.
Z hlediska uživatele je největším zásahem úprava rozsahu dat, která v rámci komunikace považujeme za metadata a můžeme je tedy sbírat pro účely bezpečnostní analýzy. K již dříve uvedeným hlavičkám síťové a transportní vrstvy přidává také hlavičky aplikačních protokolů, zejména HTTP a také data obsažená v DNS paketech.
Důvodem pro tento zásah je především fakt, že v případě některých zdrojů nákazy malware není možné použít pro identifikaci pouze IP adresu, ale je nutné celé URL (obsažená právě v HTTP hlavičce) nebo alespoň doménové jméno (dostupné zprostředkovaně z DNS dat). Je to například v situaci, kdy je malware šířen z napadené webové stránky v rámci hostingu, kde se za jednou IP adresou skrývá mnoho domén. V takovém případě nemůžeme v současné chvíli účinně ani analyzovat situaci ani zabraňovat nákaze, protože nám smlouva neumožňuje tato data využít. Nová verze smlouvy nám tak umožní tyto případy lépe zpracovávat a časem i nabídnout nástroje pro účinnější ochranu. Samozřejmostí je, že i u těchto dat nesmíme shromažďovat ani analyzovat přihlašovací jména nebo hesla nebo informace obdobné povahy, jako jsou např. session cookies atp. Tato skutečnost je včetně příkladů v nové smlouvě výslovně uvedena.
Druhou změnou v oblasti sběru dat je explicitní zmínka o možnosti dlouhodobě uchovávat provozní data o stavu routeru. Těmi je např. využití paměti, obsazení úložné kapacity, teplota zařízení, zatížení procesoru, atp. I přesto, že tato data svou povahou neodpovídají požadavkům na agregaci pro účely archivace, rozhodli jsme se skutečnost, že je možno tato data uchovávat dlouhodobě, ve smlouvě výslovně zmínit. Reálně se tedy tato změna uživatelů nijak nedotkne.
Se sběrem dat souvisí také další změna, která se týká jejich použití, zejména sdílení s dalšími subjekty. První verze smlouvy toto dovolovala pouze za účelem informování o možné hrozbě. Zavírala nám tak ale možnost použít agregovaná data pro další výzkum např. ve spolupráci s vysokými školami nebo při konzultacích s partnery z oblasti kybernetické bezpečnosti. A to třeba i v takových absurdních případech, jako je předávání informací o poměru počtu UDP a TCP paketů, protože se nejedná o informování o hrozbě. Z tohoto důvodu jsme přidali možnost v takových případech data sdílet, ale jako v předchozí verzi při zachování anonymity uživatelů.
Kromě změn v oblasti sběru dat jsme upravili také požadavky na uživatele routeru. Od začátku projektu jsme preferovali uživatele s veřejnou IP adresou a více než rok analýzy dat z routerů jednoznačně ukázal, že tento přístup byl oprávněný, protože od nich získáváme daleko zajímavější a užitečnější data. V nové verzi smlouvy tedy trváme na tom, že do projektu se může zapojit pouze uživatel s veřejnou IP adresou a v případě použití modemu jej musí nastavit do módu bridge.
Doufáme, že naše zásahy do podoby nájemní smlouvy routeru Turris byly dostatečně citlivé a zároveň nám umožní vylepšit nástroje pro detekci malware. Budeme rádi, pokud se v případě dotazů nebo podnětů zapojíte do diskuze pod tímto příspěvkem.
Aktualizace
Jak můžu zjistit zda mám veřejnou nebo neveřejnou IP adresu.
Děkuji
Ad verejna IP – tenhle pozadavek je a bude cim dal vic limitujici (zejm. v sitich mensich ISP to muze byt dokonce nerealizovatelne – a pritom je i ve vasem zajmu takove site mit zastoupene). Proto navrhuji vazne zvazit, jestli takovou podminku do smlouvy dat jako MUST, nebo ponechat soucasny SHOULD stav.
Pokud nicmene zustane MUST pozadavek, upravte prosim smlouvu tak, aby ji vyhovoval i NAT 1:1 (casty u malych ISP).
Diky.
Smlouvu jsme schválně koncipovali tak, aby provedení NAT 1:1 vyhovovala, protože je to velice časté již u současných turristů a pro naše účely je to vyhovující.
Router Turris jiz mam a mam i verejnou IP (a neplanuji to menit). Stejne tak jsem zapl SSH honey pot, protoze se rad zapojim. Na druhou stranu novou smlouvu (dodatek) bych podepsal jen v pripade, ze by jste zminku o povinne verejne IP vynechali. Nemam problem (jsem spis rad) zprostredkovat vam vic informaci/vic se podilet.
Je ale obrovsky rozdil domluvit se na tom, ze by jste chteli vic informaci, vice volnosti, a v tom, kdyz si snazite smluve vynutit neco, co vam uzivatel rad zprostredkuje dobrovolne, ale nerad se k tomu bude nucen zavazovat. Ocenuji otevrenost toho, jak novou smlouvu publikujete a okomentujete, ale myslim, ze zejmena u dodatku ke stavajicim smlouvam by jste si meli vynucovani odpustit (zejmena tehdy, kdyz to clovek udela rad i bez toho).
Požadavek na veřejnou adresu jsme dlouho zvažovali. Nakonec převážil pragmatický přístup – od lidí s veřejnou adresou máme výrazně užitečnější data a vzhledem k tomu, že ta jsou pro nás jediným ziskem projektu, chceme, aby se nám investice co nejvíce vrátila.
Pokud jde o dodatek ke smlouvě, rozhodně nebudeme jeho podpis nijak vynucovat. Jako u každé smlouvy se na tom musí obě strany dohodnout. Navíc u veřejné adresy by to nedávalo smysl, protože někteří uživatelé by museli router vrátit. V dodatku tedy určitě tato část nebude figurovat vůbec. V tomto byl text na blogu zbytečně stručný.
Docela souhlasím s Milanem. Také rád poskytnu co nejvíce užitečných dat, ale nutnost zavazovat se k používání veřejné IP mi nevoní (přestože ji mám a i nadále plánuji mít, pokud např. ISP tuto možnost jednostranně nezruší).
Ad veřejná IP: v době pořízení Turrisu v počátcích jeho distribuce jsem měl veřejnou IP, ale po půl roce jsem se kvůli nové práci musel přestěhovat a mám teď k dispozici pouze menšího ISP, který veřejnou adresu nenabízí, protože jich má nedostatek. Jediné, co mi může nabídnout, je přesměrování jednoho portu na mou interní IP. Rád bych podpořil vývoj a podepsal dodatek, ale díky tomuto omezení to není možné.
Ta veřejná IP (případně NAT 1:1) je dobrá podmínka, ale opravdu to chce nějak ošetřit, když se člověk přestěhuje a jeho nový ISP doložitelně VIP neposkytuje nebo poskytuje za přemrštěnou cenu.
Rád dodatek podepíšu, pokud ve smlouvě nebude to o té veřejné IP. Ačkoliv ji mám, může se stát cokoliv a nový ISP veřejnou IP nemusí nabízet.
Taky bych se přimlouval za zvážení ponechání SHOULD namísto MUST, nebo nějak zohlednit přestěhování. Nic vám přece nebrání v tom, abyste uživatele s VIP upřednostňovali. Sám si platím 50,- měsíčně za veřejnou IP přes NAT 1:1, ale viděl jsem u kamaráda, že když se na to u svého providera ptal, tak by musel platit 150,- takže to vzdal.
Rozhodně kladně hodnotím váš způsob prezentace změn a jejich vysvětlení, jinde aby člověk hledal, co se změnilo. Se sběrem dat taky nemám problém, na tom je vlastně celý projekt založen, takže pokud jejich větší množství v rozsahu jaký jste popsali přínosem, tak jsem určitě pro. Kvůli té IP ale budu podepsání dodatku ještě hodně zvažovat, ačkoliv ostatní data bych rád poskytl.
Uživatele s veřejnou IP adresou jsme preferovali již v prvním kole rozdávání routerů. Bohužel jsme ale později zjistili, že u poměrně velké části uživatelů, kteří VIP deklarovali, získávaná data této situaci neodpovídají. Museli jsme je pak obesílat a žádat je o změnu, pokud je to možné. Hodně uživatelů reagovalo pozitivně, což nám udělalo radost, ale stejně tak na to dost uživatelů vůbec nezareagovalo. To je jeden z důvodů, proč jsme se rozhodli to nyní více formalizovat.
„Hodně uživatelů reagovalo pozitivně, což nám udělalo radost, ale stejně tak na to dost uživatelů vůbec nezareagovalo.“
Tak to přidat ještě do smlouvy, že s Vámi musí spolupracovat;-)
Pokud bude v dodatku podmínka veřejné IP adresy, tak s díky odmítnu a Turris vrátím, protože současný ISP nabízí veřejnou IP adresu za 225,- Kč, což je při ceně tarifu 350,- Kč částka, kterou rozhodně platit nehodlám.
Zároveň by mě zajímalo, jak to s dodatkem vůbec je, smlouvu jsme přeci podepsali za určitých podmínek. Pokud chci data poskytovat v původním rozsahu a na základě původní smlouvy, mám smůlu a Turris musím vrátit?
Nikdo Vas nenuti podepsat dodatek. Smlouva bude platna ve stavajicim zneni (nemusite zarizeni vracet, pokud dodrzujete puvodni smlouvu)
Je to tak, jak píše Milan. Dodatek ke smlouvě musíte přijmout, jinak jste vázán původní smlouvou.
Jinak jak jsem již psal výše, dodatek se bude týkat rozsahu sběru dat, veřejnou adresu do něj nezahrneme.
Ad veřejná IP – ještě mě napadly dvě otázky/připomínky (jedna z nich tu částečně byla zmíněná). Pokud tedy ve smlouvě veřejná IP bude nutná, zvažte následující případy:
1. ISP poskytuje privátní IPv4 a zároveň globálně routovanou IPv6 konektivitu. Splňuje taková přípojka podmínku „veřejné adresy“? (Tohle je běžný stav u O2 DSL dnes, a během následujících tří let bude zřejmě čím dál častější.)
2. ISP v průběhu času zmigruje zákazníka z veřejné adresy na adresu neveřejnou. (Např. při zavedení DS-Lite, což je přístup, který v zahraničí volí UPC – a teď neřeším, že by v Turrisu/OpenWRT bylo nutné rozchodit DS-Lite.) Jak má takový zákazník-uživatel Turrisu postupovat? Bude postihnut? Bude muset Turris vrátit? Nebyla to jeho chyba a dokonce změnu ani sám nemusí zaregistrovat.
Nedostatek veřejných IPv4 adres způsobuje bolehlav všem – i uživatelům. Vzhledem k podmínkám, jaké si někteří ISP kladou (poplatek > 100 Kč měsíčně za veřejnou IP), může jít o zabijáka celého projektu.
Jen technická poznámka, DS-Lite je v OpenWRT a tedy i v TurrisOS podporováno celkem dobře. Taky není divu, když spousta vývojářů je z Německa.
Jinak z hlediska účelu projektu – tedy skenování bezpečnostních hrozeb – požadavek na veřejnou IPv4 adresu chápu. IPv6 adresy, i když jsou veřejné, zatím nikdo hromadně neskenuje, protože je to mnohem komplikovanější a mnohem méně účinné.
Teď jsem si přečetl, že smlouva nespecifikuje verzi IP protokolu. Takže IPv6 only síť operátora, nebo kombinace IPv6 plus CGN IPv4 (jako nabízí O2 na xDSL), je pravděpodobně přijatelná.
ad 1 – Smlouva je v tomto schválně vágní. IPv6 máme rádi, takže uživatele s IPv6 a neveřejnou IPv4 rozhodně bereme. Jsme optimisté a věříme, že i tam se malware časem rozšíří ;)
ad 2 – napíšu o tom samostatně dále. Je to věc, kterou budeme muset ještě dořešit a do smlouvy přidat.
Veřejnou IP adresu mám (taky za těch 100 kč/měsíce) … A dost souhlasím s názory výše … Spousta poskytovatelů nedodává IPv6 (včetně mého a to není zrovna malý) a zároveň trpí poměrně velkým nedostatkem IPv4 adres …
Take se pridavam k odpurcum „MUST VIP“ … sam jsem zrovna nyni v situaci, kdy jsem diky (docasnemu) prestehovani musel zmenit ISP a prisel tim o VIP. Sice verim, ze se k ni zase za par mesicu opet dostanu, ale kdo vi ….
Co se ostatnich zmen tyce (na zaklade tohoto clanku, a PDF s vyznacenymi revizemi) nemam nejmensi problem pripadny dodatek uzavrit.
Může Turris team říct jaký je teď poměr mezi lidmi s VIP a bez VIP?
A doporučil bych informaci o nové smlouvě a připomínkování zaslat emailem stávajícím uživatelům i zájemcům.
Aktuálně to jsou přibližně dvě třetiny uživatelů. Je ale možné, že i ve zbývající třetině jsou další lidé s veřejnou IP, ale mají nešťastně nastavený modem (nebo Wi-Fi AP), který provádí překlad adres.
Nechci do nikoho vrtat, ale pokud nemáte veřejnou IP adresu, tak nemáte připojení k internetu, ale nějakou podivnou jednosměrku.
Mam dotaz k horkemu tematu verejnych IP adres:
Jak caste bylo, ze vam uzivatel prislibil verejnou IP, a posleze (kdyz turris dostal), tak se situace zmenila (at uz umyslne nebo neumyslne) a turris je na neverejne?
Pokud k tomu dochazelo/dochazi, pak chapu vasi snahu o vynuceni verejne IP. Pokud k tomu doslo jen vyjimecne, pak je to chyba z vasi strany (uzivatel vas informoval ze ma neverejnou IP, a vy jste jej presto vybrali) a problem pouze vytvarite! V tomto pripade by jste meli vybirat uzivatele s verejnou IP vy sami (ale chapu, ze se jistite i smlouvou, kdyz uz podle toho vybirate uzivatele – ale jen pro nove ucastniky, aby nemeli pocit, ze mohou nalhat verejnou IP a po mesici zmenit na neverjnou). Nerozumim ale, proc to chcete cpat i do dodatku stavajicich smluv. Ten kdo ze stavajicich uzivatelu verejnou IP adresu ma, tak ji prece jen tak rusit nechce. Ten, kdo ji nema, dodatek s touto prihlouplou podminkou nepodepise. Pusobi to na me jako „moc jsme o to nepremysleli“ – jen se tim viri emoce (zbytecne).
Jak jsem se zmínil výše, uživatele s veřejnou adresou jsme (až na pár opravdu early birds) vybírali tak, aby měli veřejnou IP adresu. Ukázalo se ale, že u desítek procent z nich (tedy stovek uživatelů) tomu situace neodpovídá. Důvody byly různé – stěhování (pochopitelné), změny u ISP (pochopitelné), předřazený modem (snažili jsme se řešit přepnutím do bridge módu), zapojení do LAN za jiný NAT router (v rozporu se smlouvou).
Pokud jde o víření emocí – tento článek byl mířený hlavně na nové turristy, aby věděli, do čeho jdou. Dodatek je věc, kterou zatím jen připravujeme a nebudeme s ní spěchat. Nedošlo nám, že to vyvolá tolik reakcí ze strany stávajících turristů, kteří smlouvu měnit nemusí.
Rád bych také reagoval na požadavek veřejné IP adresy.
Moc chápu, že potřebujete především takové routery, ale vzhledem k situaci kolem IPv4, bude těch, kteří přijdou o veřejnou IP adresu čím dál víc. Ať už proto, že ISP přidraží, nebo rovnou takovou službu zruší.
Takoví ISP ale bohužel dost často nebudou IPv6 podporovat, a tak ke splnění smlouvy se bude třeba obrátit k nějakému 6to4 tunelu. Takový tunel mám ale:
* jeho fungování není stoprocentní a čas od času prostě selže
* rozhýbání SSH honey botu jsem na Aiccu zatím vzdal – šílenosti kolem firewallu jsou ale jen technická překážka
Neuvažujete o nějaké 6to4 službě pro širokou veřejnost, zejména pak pro Turrisaře, kteří by tak snadno získali IPv6 adresu Vaším prostřednictvím takřka na klik, ať už mají veřejnou IP adresu, nebo jsou za několika NATy ?
Vynucení povinnosti veřejné IP adresy je pak jen otázka máte vlastní, nebo si zapnete náš tunel :-) O tom jak super služby by to byla ani nemluvím, i když chápu že to je technicky – provozně dost náročné.
Poskytování IP konektivity CZ.NICem (ať už v4 nebo v6) je v přímém rozporu s účelem projektu Turris, tedy sledování internetového provozu v různých sítích.
Aby v CZ.NIC viděli, jaký provoz teče z/na jejich vlastní adresy, na to nepotřebují žádné distribuované sondy v domácnostech, to si jednoduše změří přímo u sebe.
6to4 relay NIC myslím zatím provozuje. Nicméně 6to4 anycast relay je označena novým RFC 7526 jako deprecated a nedoporučuje se pro nové instalace používat. Takže na 6to4 zapomeňte. Možná by mohli oprášit implementaci AYIYA, který se chvíli snažili provozovat.
Dobrý den,
diskuze sice postarší, ale o problému na který se chci zeptat, proto asi nebude vadit, že se zeptám právě tady.
Chtěl jsem se zapojit do projektu a vyplnil přihlášku.
Jednak mi ještě (cca 14 dnů, možná víc) nepřišla žádná odpověď, ani něco jako, že „žádost jsme zaregistrovali“, ale to není důležité.
Hlavně mně zajímá problematika s veřejnou IP adresou. Do přihlášky jsem vyplnil, že nemám, protože ji opravdu v současné době opravdu nemám, ale nemám problém v budoucnu si ji zřídit. Teď se tady dočítám, že žadatele bez veřejné IP adresy neberete. Škoda, že ve formuláři nebylo něco jako „Jste ochotni / Máte možnost zřídit si veřejnou IP adresu?“
Mám nějakou šanci být do projektu vybrán? Připomínám, že veřejnou IP adresu nemám problém zřídit.
Děkuji za odpověď.
Dobrý den, možná že by volbu „mám možnost zřídit si veřejnou IP“ jistá skupina zájemců skutečně využila. Kontrolovat ale, zda si zájemce po obdržení routeru skutečně veřejnou IP adresu pořídil, by nám ztěžovalo práci a přidávalo starosti. Pokud budete mít veřejnou IP adresu, napište nám na info@turris.cz a v dotazníku Vám údaj změníme. Obecně je ale šance pro vybrání do projektu již velmi malá, registrujeme kolem 8000 zájemců a routerů jsou už jen desítky.