Ve čtvrtek 9. dubna měla v prostorách Akademie CZ.NIC premiéru první komunitní akce pro příznivce projektu Turris s všeříkajícím názvem Večer s Turrisem. Hlavním cílem setkání bylo přitáhnout nejaktivnější členy uživatelské komunity a umožnit jim nahlédnout pod pokličku projektu a zároveň získat na neformální bázi zpětnou vazbu, která je pro vývojáře v případě takto specifických projektů tolik žádoucí a důležitá.
Víte, jak využíváte kapacitu vašeho připojení k Internetu?
V rámci projektu Turris jsme již v minulém roce zveřejnili výsledky měření rychlosti připojení jednotlivých uživatelů. V rámci tohoto měření může uživatel sledovat maximální rychlost, kterou jeho linka dosáhla za určité časové období. Zároveň z těchto dat generujeme i globální statistky, ze kterých lze odvodit například to, že polovina našich uživatelů má připojení rychlejší než 20 Mbps (medián v následujícím grafu se pohybuje mezi 20 a 22 Mbps).
Smlouva s koncovým zákazníkem projektu Turris
Projekt Turris asi není třeba na našem blogu představovat. V dnešním krátkém příspěvku nebudeme překvapivě informovat ani o vývoji hardware, ani o software, ale budeme řešit otázku smluv.
Projekt Turris – pomozte nám vybrat antény
Velké úsilí věnujeme v rámci projektu Turris tomu, aby byl náš hardware co nejkvalitnější a co nejlépe sloužil jeho budoucím uživatelům. Pro domácí síť je jistě jednou z nejdůležitějších součástí Wifi, které šetří náklady na síťovou infrastrukturu, ale zejména umožňuje připojování mobilních zařízení jako jsou chytré telefony a tablety.
Abychom v této oblasti poskytli co nejlepší funkci, rozhodli jsme se pro řešení založené na velice kvalitním chipsetu od firmy Qualcomm Atheros, které nabízí 3×3 MIMO (multiple in, multiple out), laicky tři antény, a to jak v běžném pásmu 2,4 GHz (802.11b/g/n), tak v pásmu 5 GHz (802.11a/n), které není zdaleka tak zarušené. Uživatel si tak může podle vlastní potřeby vybrat, které pásmo mu z hlediska jeho vlastností a lokální situace lépe vyhovuje.
U Wifi ale kvalita spojení závisí nejen na použité elektronice, ale výrazně také na kvalitě použitých antén. Pokud uvažujeme běžné domácí použití, tak jsou nejpraktičtějším řešením všesměrové antény. Ty mají při běžných velikostech (do 20 cm) zisk mezi 2 a 5 dBi a pro běžný provoz v domácnosti jsou většinou naprosto dostačující.
Z výše zmíněných důvodů jsme plánovali dodávat s routerem Turris tři všesměrové antény, ideálně dvoupásmové, tedy schopné pracovat v pásmech 2,4 i 5 GHz. Tady jsme ale bohužel narazili na problém – nabídka dvoupásmových všesměrových antén je velice omezená a ceny dost vysoké. Je to pravděpodobně dané tím, že Wifi v pásmu 5 GHz zatím není příliš rozšířené a pro domácí použití, kde jsou vhodné všesměrové antény, není tak univerzálně použitelné (signál se hůře ohýbá a prostupuje stěnami, pro vnitřní použití je vhodnější ve velkých otevřených prostorách).
Z tohoto důvodu jsme se rozhodli obrátit na naše čtenáře s prosbou o pomoc. První prosba míří na případné výrobce nebo dodavatele antén, kteří by nám byli schopni nabídnout kvalitní antény odpovídající výše zmíněným parametrům. Budu rád, pokud se mi ozvete na adresu bedrich.kosata@nic.cz. Druhá prosba je určená širší veřejnosti, zejména již předregistrovaným zájemcům o router Turris. Pomocí Google Drive jsme připravili krátkou anktetu ohledně plánovaného použití Wifi a budeme rádi, pokud nám jejím vyplněním pomůžete vybrat nejlepší řešení.
Bedřich Košata
Perlička na závěr
Jako jeden z možných způsobů, jak obstarat vhodné antény za rozumnou cenu, jsme se obrátili přímo na několik čínských výrobců antén. Zatím se nám podařilo otestovat vzorky od jednoho z nich a výsledky byly tristní – v pásmu 5 GHz fungovala jejich „dvoupásmová“ anténa hůře, než anténa určená jen pro 2,4 GHz. Když jsme anténu rozebrali, zjistili jsme proč – v cca 15 cm těle je ukrytá maličká anténa konstrukcí podobná tomu, co se běžně používá jako interní anténa v levnějších Wifi routerech.
Na následujícím obrázku vidíte pro srovnání (zleva do prava) rozebranou standardní 2.4 GHz anténu, 5 GHz anténu, kvalitní dvoupásmouvou anténu (zde je bohužel vidět jen malá část, většina antény je součástí plastového krytu) a výše zmíněnou testovanou anténu. Je asi zřejmé, proč poslední uvedená v testech příliš neuspěla. (Obávám se, že pokud bychom si objednali místo 5 dBi verze 8 dBi, dostali bychom stejný produkt jen v delším plastovém obalu za vyšší cenu).
CZ.NIC router
V nedávném článku jsme na tomto blogu představili projekt distribuované kybernetické bezpečnosti, na kterém od začátku tohoto roku pracujeme. Hlavní komponentou v navrhovaném systému distribuovaného adaptivního firewallu je speciální domácí router, který monitoruje síťový provoz a je schopen reagovat na potenciální bezpečnostní hrozby, a který vyvíjíme pod kódovým označením „CZ.NIC router“.
V tomto příspěvku si blíže představíme hardware a software navrhovaného zařízení, které by mělo plnit nejen úlohu bezpečnostní, ale mělo by být také plnohodnotným routerem s pokročilými funkcemi.
Operační systém
Pro vývoj operačního systému pro embedded zařízení je dnes možností první volby Linux. Má velmi dobrou podporu existujícího hardware, výbornou síťovou vrstvu, je v této oblasti široce rozšířený a v neposlední řadě je svobodný. Často navíc není třeba implementovat ani zbytek systému na zelené louce, ale je možné najít existující svobodný projekt, který je blízký zamýšlenému využití. To je výhoda svobodného softwaru.
V našem případě bylo hned několik projektů, které byly svým zaměřením blízké našemu záměru. Z nich jsme nakonec vybrali jako základ pro další práci systém OpenWrt. Pro ty z vás, kteří se s ním dosud nesetkali, stručně zmíním, že se jedná o specializovanou Linuxovou distribuci určenou právě pro domácí routery a vyladěnou pro jejich specifické potřeby. Systém tedy obsahuje výbornou podporu pro síťové technologie a je optimalizovaný pro malé paměťové kapacity běžných domácích routerů.
Jako základ vývoje operačního systému pro „CZ.NIC router“ jsme tedy použili OpenWrt, které upravujeme a rozšiřujeme o potřebnou funkcionalitu. V případech, kdy to bude dávat smysl, počítáme s poskytnutím úprav zpět do OpenWrt, aby z nich mohla profitovat jeho poměrně rozsáhlá uživatelská komunita.
Software
Jednou z výhod Linuxu jako jádra pro embedded operační systém je dostupnost velkého množství kompatibilního softwaru. OpenWrt navíc obsahuje balíčkovací systém, který umožňuje velice pohodlně do systému doinstalovat aplikace podle vlastní potřeby. Zároveň je možné si pomocí tohoto systému sestavit základ operačního systému na míru.
V našem případě se jedná např. o použití validujícího DNS resoveru Unbound namísto výchozího DNSMasq nebo výměna minimalistického SSH serveru Dropbear za OpenSSH.
Uživatel si pak může sám doinstalovat např. server pro sdílení souborů v domácí síti nebo třeba bittorrent klienta.
Hardware
Jednou ze zajímavých částí projektu „CZ.NIC router“ je vývoj vlastního hardwaru. K tomuto kroku jsme se odhodlali poté, co jsme prozkoumali na trhu dostupná zařízení a zjistili, že žádné plně nevyhovuje našemu záměru. Pro analýzu síťového provozu v reálném čase je přece jen třeba výkonnější hardware a větší množství paměti, než jen pro běžné routování. Do budoucna navíc počítáme s dalším vývojem softwaru pro bezpečnostní sondu a potřebujeme tedy dostatečnou výkonnostní rezervu.
Zde je krátký výčet důležitých komponent a vlastností navrhovaného systému:
* procesor Freescale P2020 se dvěma jádry architektury PPC taktovaný až na 1.2 GHz
* dedikovaný WAN port (s nezávislým připojením do procesoru)
* 4 LAN porty připojené přes výkonný switch chip
* SO-DIMM slot pro DDR3 paměť (osazený pravděpodobně 2 GB paměti)
* 2 miniPCIe sloty, z nichž jeden bude obsazen výkonnou Wifi kartou kompatibilní s 802.11a/b/g/n
* externí Wifi antény
* flash paměť minimálně 128 MB
* slot na micro SD kartu
* 2x USB 2.0 port
Při návrhu hardwaru jsme se snažili myslet také na jeho možnou rozšiřitelnost. Samozřejmostí tak budou dva USB 2.0 porty pro připojení disků nebo tiskárny. K dispozici bude ale také např. sériový UART výstup přístupný jednoduše přes USB rozhraní a na desce zařízení budou vyvedeny také další sběrnice (GPIO, I2C a SPI) do tzv. pinheaderu, který umožní případné připojení dalších zařízení, podobně jako třeba u platformy Arduino.
Celkově se tedy bude jednat o poměrně slušně vybavené zařízení, které by mělo svým výkonem výrazně předčit cokoli, co je dnes na trhu domácích routerů k dispozici a poskytnout tak dostatek výkonu ke všem potřebným bezpečnostním analýzám.
Co je na něm ale asi nejzajímavější z mého pohledu – bude to plně otevřené řešení, jehož návrh bude zveřejněn pod open source licencí, a které bude moci nést nálepku „Made in Czech Republic“. A takového hardwaru dnes moc nenajdete…
Bedřich Košata
Distribuovaná kybernetická bezpečnost
Na konferenci IT 13 jsme mimo jiné představili nový projekt zaměřený na vývoj bezpečného domácího routeru. Ten je součástí většího projektu zaměřeného na zlepšení bezpečnosti v českém síťovém prostředí a to pomocí aktivního monitoringu a analýzy síťového provozu. Zmíněný domácí router bude v rámci tohoto projektu plnit roli síťové sondy a zároveň aktivního prvku v ochraně koncových uživatelů.
V tomto krátkém článku si představíme především hlavní důvody vzniku tohoto projektu a jeho cíle.
Motivace
Každý, kdo provozuje nějaký veřejně dostupný server a podívá se občas do jeho logů, ví, že internet není klidné a bezpečné místo. I bez jakéhokoli zásahu uživatele se s počítačem připojeným k internetu neustále pokouší spojit různé cizí stroje a to málo kdy s dobrými úmysly (vizte např. výsledky z našeho honeypotu).
Vzhledem k tomu, že většina domácích sítí je připojená k síti svého poskytovatele přes jeden přístupový bod, kterým je domácí router, a často používá NAT, který schovává celou domácí síť za jedinou IP adresu, vedou první útoky v podstatě vždy právě na domácí router. Ten je tedy ideálním místem jak pro detekci pokusů o neoprávněný přístup do sítě, tak pro aktivní ochranu před nimi. Pokud by si navíc routery byly schopny mezi sebou informace o detekovaných útocích vyměňovat, mohlo by to vést ke zvýšení účinnosti ochrany jednotlivých strojů a zároveň detekci velkých útočníků.
Protože se v našem sdružení dlouhodobě věnujeme problematice internetové bezpečnosti, rozhodli jsme se vytvořit systém, který by s pomocí sítě domácích routerů dokázal monitorovat podezřelý síťový provoz a reagovat na zjištěné bezpečnostní hrozby úpravou pravidel pro přístup do sítě. Takto získané výsledky by pak byly k dispozici i pro ochranu dalších uživatelů Internetu.
Distribuovaný adaptivní firewall
Systém, který jsem nastínil v minulém odstavci, interně nazýváme „distribuovaný adaptivní firewall“ a je v této chvíli ve fázi aktivního vývoje. Součástí systému je klientská část, která po aktivaci na domácím routeru monitoruje nevyžádané pokusy o přístup do sítě zastavené firewallem a také provádí analýzu protékajících dat. V těch se pokouší odhalit anomálie, které by mohly být příznakem úspěšného útoku nebo již existující nákazy. Výsledky obou zmíněných částí klientského systému jsou nahrávány na druhou část systému, kterou je centrální server, kde jsou data dále zpracovávána a porovnávána s výsledky z ostatních sond.
Pokud je systémem některá část provozu vyhodnocena jako anomální a odborná obsluha systému vyhodnotí danou anomálii jako potenciální útok, připraví pro ni nové pravidlo pro firewall. To je potom formou aktualizace nahráno zpět na všechna zařízení zapojená do sběru dat.
Pro případy, kdy je třeba o dané anomálii získat doplňující informace, je součástí systému také nástroj na spouštění specializovaných „mikrosond“, které je možné formou modulů nahrávat na sledovaná zařízení. Ty pak umožní zaměřit analýzu na konkrétní typ provozu a získat detailnější data o daném jevu.
Výsledkem výše popsaných opatření je systém, v rámci kterého budou moci uživatelé chránit své sítě i sítě ostatních účastníků před vnějšími útoky a který se bude postupně „učit“ reagovat na nové hrozby. Navíc bude možné takto získaná data použít i pro ochranu další uživatelů Internetu, kteří nejsou do projektu přímo zapojeni, a také pro další analýzy získaných informací.
Závěr
V tomto článku jsme si představili nový projekt sdružení CZ.NIC zaměřený na distribuovanou kybernetickou bezpečnost. V blízké budoucnosti si v samostatném příspěvku ukážeme hlavního aktéra tohoto projektu, kterým je otevřený domácí router vyvíjený pod interním označením „CZ.NIC router“.
Bedřich Košata
Laboratoře CZ.NIC včera, dnes a zítra
Konec roku bývá často využíván k bilancování a začátek nového roku je zase dobrou příležitostí k prognózám, předsevzetím a plánování věcí příštích. Protože jsme si nechali ohlédnutí na konci roku v návalu práce utéct, dovolím si v tomto příspěvku spojit oba pohledy dohromady a krátce popsat historii, současnost a blízkou budoucnost Laboratoří CZ.NIC.
Zárodek Laboratoří CZ.NIC vznikl v průběhu roku 2008 oddělením od produkční části CZ.NIC. Cílem nových laboratoří byla práce na projektech bez přímé vazby na registr domén a s ním spojený vývoj a infrastrukturu.
Během roku 2009 a 2010 se počet členů laboratoří pomalu zvyšoval, což vyvrcholilo vytvořením nové pobočky v Brně. Zároveň s růstem počtu zaměstnanců se zvyšovalo i množství realizovaných projektů – např. v roce 2009 převzaly laboratoře vývoj routovacího démona BIRD a vznikly projekty DNSSEC hardware tester, DNSSEC validátor pro Firefox, dsgui alias Datovka; v roce 2010 přibyly ZFO Editor, iDatovka a první interní verze Knot DNS.
V letech 2011 a 2012 pak již počet zaměstnanců laboratoří stagnoval a docházelo spíše k přirozené obměně osazenstva. I přesto se ale růst počtu projektů nezastavil, spíše naopak – v roce 2011 přibyla první ostrá verze Knot DNS, IPv6 widget, DNSSEC validátor pro Chrome a spolupráce na BIND 10; v roce 2012 pak např. KATR, DNSSEC Validátor pro IE, Malicious Domain Manager, nové statistiky CZ.NIC a Datovka pro Android.
V roce 2013 nechceme za dosavadním vývojem zaostat a kromě rozvoje a údržby stávajících projektů startujeme hned dva nové velké projekty v oblasti internetové bezpečnosti a interaktivního vzdělávání. S tím je samozřejmě spojená i další nutná expanze laboratoří, a to jak v našich současných pobočkách v Praze a Brně, tak v nejbližších měsících také v nové pobočce v Plzni.
Pokud byste tedy měli zájem podílet se na vývoji inovativních projektů v renomované společnosti, jejichž výstupem je v naprosté většině případů otevřený software, dejte nám vědět. Seznam otevřených pozic a kontakt na nás najdete na našich stránkách v sekci kariéra.
Věřím, že i v případě, že mezi zájemce o práci na našich projektech nepatříte, zaujmou vás alespoň jejich výsledky. Určitě je na co se těšit.
Bedřich Košata
Nové statistiky CZ.NIC
Nedávné dosažení jednoho milionu registrovaných domén v doméně .cz vyvolalo mimo jiné zvýšený zájem o statistické údaje o rychlosti růstu počtu domén, jejich využívání, atp.
Sdružení CZ.NIC dlouhodobě publikuje na svých stránkách statistické informace o české národní doméně a snaží se také reagovat na nové trendy vytvářením nových statistik, které jdou nad rámec obsahu registru. Na našich stránkách tak můžete najít nejen informace o počtu aktuálně registrovaných domén, ale také třeba o hostingu či zavádění IPv6.
Bohužel jedním z vedlejších efektů zavádění nových statistik je jejich roztříštěnost – jsou k dispozici na několika URL a v různé podobě.
Abychom tuto situaci napravili a dali návštěvníkům našich stránek lepší přehled o všech publikovaných statistikách, rozhodli jsme se je sjednotit do jedné aplikace. Ta umožní jejich snadnou a především jednotnou vizualizaci a manipulaci s nimi. Aplikace je nyní k dispozici v Beta provozu na stránkách vývojového oddělení Laboratoře CZ.NIC.
Nové statistiky obsahují úvodní grafickou stránku, kde si může návštěvník udělat rychlý přehled o aktuálním stavu nejdůležitějších statistik. V druhé části jsou pak k dispozici všechny aktuální statistické výstupy CZ.NIC roztříděné do kategorií. Všechny statistiky mají stejné uživatelské rozhraní, které umožňuje interaktivně měnit parametry zobrazení statistik, např. časové období či způsob zobrazení dat. U grafů, které obsahují větší množství sérií, je možné si ručně vybrat některé z nich a udělat si tak například přehled o vývoji počtu domén u vybraných registrátorů.
Právě zobrazená data na každé stránce je možno stáhnout ve formátu CSV a stejně tak je k dispozici odkaz na právě nastavené zobrazení statistiky, který umožňuje např. snadné sdílení nebo uložení konkrétního grafu.
V současné době pracujeme na dolaďování nového systému statistik, stejně jako na jejich rozšiřování o nové výstupy. Po tuto dobu budou k dispozici jak nové, tak původní statistiky.
Doufáme, že se vám budou nové statistiky líbit a poskytnou vám větší komfort při získávání informací nejen o naší národní doméně.
Bedřich Košata
AKTUÁLNÍ UPOZORNĚNÍ – problémy s Datovými schránkami a Datovka
Dnes dopoledne jsme obdrželi několik dotazů uživatelů Datovky na chybové hlášení „Nebylo možné stáhnout informaci o účtu – musí být specifikován typ nebo identifikátor schránky“. Bohužel se nejedná o chybu na straně našeho programu, ale o potvrzenou chybu zavedenou dnes do systému datových schránek.
Na nápravě chyby se podle provozovatele systému ISDS právě pracuje a měla by být odstraněna během několika hodin.
Bedřich Košata
Biorytmy v DNS provozu
Ať chceme nebo nechceme, celý náš život je řízen rytmy okolního prostředí. Některé vycházejí z fyzikální podstaty našeho světa, jako střídání noci a dne při otáčení naší planety kolem její osy, či cyklus ročních období při její rotaci kolem slunce. Jiné, jako měsíce či týdny, jsme si vytvořili uměle (možnost souvislosti délky týdne s dobou potřebnou ke stvořením světa nechám na kritickém posouzení laskavého čtenáře), ale jejich vliv na nás není o mnoho menší. Koneckonců kdo z nás nikdy netrpělivě nečekal, až se mu účtu konečně opět po měsíci objeví výplata…
I přesto, že počítače jsou věci (zatím) neživé, biorytmy, které řídí život člověka se přenášejí i na ně. V případě CZ.NIC můžeme tyto sledovat na provozu našich DNS serverů a právě tomuto tématu bych rád věnoval dnešní krátký příspěvek.
Na následujícím obrázku se můžete podívat na ukázku toho, jak vypadá například běžný měsíční provoz na našich DNS serverech.
Na první pohled je tu patrné střídání dne a noci a hned na ten druhý také týdenní cyklus s výrazně nižším provozem o víkendu.
Denní cyklus si můžeme blíže prohlédnout na následujícím obrázku.
Na něm je zobrazena průměrná středa v našem DNS provozu za posledních cca 20 měsíců. Protože jsou data zprůměrována přes relativně dlouhou dobu, vyhladily se případné výkyvy v provozu. Z grafu můžeme vyčíst například fakt, že minimální provoz je cca kolem 4. hodiny ráno a přibližně mezi 5. a 10. hodinou se provoz zdvojnásobí s tím, jak lidé přijíždějí do práce, zapínají počítače a začínají brouzdat. Kolem 12. hodiny je malý ale patrný útlum, kdy lidé postupně odcházejí na oběd, aby se posíleni opět vrhli do práce a způsobili tak maximum aktivity mezi 14. a 15. hodinou. Poté aktivita mírně klesá a po posledním záchvěvu, který najdeme kolem 20:00, rychle upadá k nočním hodnotám.
Na dalším grafu najdeme podobně vytvořený průběh průměrného týdne.
Ten nám kromě zhuštěného náhledu na typický pracovní den s jeho přestávkou na oběd a večerním krátkým vzrůstem aktivity ukazuje, jak se vyvíjí provoz od pondělí do neděle. Zatímco první čtyři pracovní dny jsou téměř totožné, v pátečním průběhu je již zřetelně vidět pracovní únava a v odpoledních hodinách naplnění touhy po brzkém odchodu domů, které se projeví výrazně rychlejším a větším poklesem aktivity.
Víkendový provoz je pak o poznání slabší, se zvýšenou aktivitou v neděli večer, která je srovnatelná s páteční.
Pokud si po přečtení předchozích řádků říkáte s Cimrmanem, „To ani nemusel psát. To každý ví.“, mám pro vás ještě jeden graf. Ten sice také nepřekvapí, ale alespoň je v něm nějaká věda.
Jedná se o výsledek analýzy periodicity DNS provozu získaný Fourierovou transformací vstupních dat (pro přehlednost je uveden jen výřez grafu). Kromě silné denní periodicity je zde vidět i závislost týdenní. Za zmínku pak stojí také slabší zastoupení period kolem 0,5 a 3,5 dne. První z nich je způsobená výše zmíněným poklesem provozu kolem poledne, zastoupení druhé pak souvisí s náhlými změnami mezi pracovními a víkendovými dny.
Doufám, že pro vás byla pozorování z tohoto článku zajímavá a že vás třeba, podobně jako mě při psaní, přivedou k zamyšlení nad tím, jak moc jsme rytmy okolního prostředí ovlivňováni a kam vlastně až tento vliv sahá.
Bedřich Košata, Laboratoře CZ.NIC