Odnesli jsme si český experimentální Wi-Fi router domů a zapojili do sítě. Co odesílá na servery CZ.NIC, co všechno umí? Co je to Turris a jaké jsou naše první zkušenosti?
Evropská komise chtěla před třemi lety změřit rychlost a kvalitu kontinentálního internetu, u britské společnosti SamKnows, která se na tuto oblast specializuje, si tedy zaplatila mnohaletý průzkum, který vlastně trvá dodnes.
První vlny jsme se zúčastnili i my, SamKnows totiž měření provozuje systémem dobrovolníků, kterým zašle jednoduchý Wi-Fi router. Uživatelé jej zapojí do své sítě a firmware krabičky pak bude periodicky provádět nejrůznější měření. Aby byl každý dobrovolník náležitě odměněn, ve smlouvě mu bylo přislíbeno, že si po dvou letech měření může router ponechat a nahrát na něj klasický firmware. Jelikož se tehdy jednalo o jednodušší model od TP-Linku, nabízelo se především použití osvědčeného komunitního linuxového systému DD-Wrt a OpenWrt.
Dnes se píše rok 2014 a SamKnows vedle toho evropského měří také internet v USA, Brazílii, Singapuru a dalších zemích. Pokud se chcete zapojit, můžete se zaregistrovat zde, i když samozřejmě není jisté, že budete opravdu vybráni.
Turris
Vedle panevropského měření nicméně v těchto dnech startuje možná ještě mnohem zajímavější experiment Turris. Na Živě.cz jsme o něm už několikrát psali a byl mu také věnovaný nedělní Týden Živě, čili jen ve stručnosti nastíním jeho hlavní rysy.
Wi-Fi router Turris: Navržený a vyrobený v České republice
Turris je také Wi-Fi router, na rozdíl od laciného TP-Linku s upraveným systémem je to však krabička, která se od A do Z zrodila v laboratořích správce české domény CZ.NIC. Zde tedy vznikl jak její hardwarový návrh, tak vlastně i ten softwarový, přičemž oba jsou dnes k dispozici pod svobodnou licencí. V tomto případě se totiž jedná o upravený komunitní firmware OpenWrt. Turris je ale především speciální měřící router, který monitoruje český internet a snaží se odhalovat útoky.
Pět gigabitových portů s jedním logicky odděleným, nastavení jasu diod, gigabitový WAN, trojice antén a dva USB 2.0 porty třeba pro multimediální obsah do integrovaného DLNA serveru
Turris je jedním z mála routerů pro domácnosti, který se může pyšnit nálepkou Made in Czech Republic – za zahraničí pocházejí pouze základní komponenty. Nabízí se samozřejmě otázka, proč CZ.NIC v roce 2014 montuje na koleni routery. Zeptal jsem se tedy přímo Bedřicha Košaty, který má celý experiment na starosti.
Výkonné železo
Hardware & software
Freescale P2020 1.2 GHz
2 GB DDR3 RAM
16 MB NOR a 256 MB NAND paměť
1× 1Gb/s WAN
5× 1Gb/s LAN
802.11agn s 3×3 MIMO anténami
2× USB 2.0
1× volný miniPCIe slot
9,5 až 14 W podle zátěže
vývojářská rozšiřitelnost skrze UART, SPI a I2C
Systém Linux 3.10.18 a OpenWrt (Barrier Breaker r38891) s webovým rozhraním LuCI + možnost instalace desítek rozšiřujících balíčků/programů.
Měřící sonda CZ.NIC s možností vzdálené správy vybraných pravidel firewallu
CZ.NIC si nemohl stejně jako SamKnows pořídit běžné komerční routery, poněvadž jeho Turris vyžaduje ohromný výpočetní výkon. Uvnitř tedy tiká čipset Freescale P2020 taktovaný na 1,2 GHz a krabička má k dispozici nadstandardní 2 GB RAM.
K čemu proboha potřebuje domácí router takový výkon? Turris je měřící zařízení, které neustále posílá na centrální server statistiky o tom, co zrovna protéká mezi krabičkou a internetem. Zároveň monitoruje firewall. Pokud totiž zablokuje nějakou nekalou komunikaci – třeba pokus o nepovolené připojení na SSH port, dá o tom také zprávu do velínu. Veškerá tato vedlejší monitorovací komunikace vytvoří měsíční přenos okolo 400 MB, což se ale příliš neliší od projektu SamKnows.
Podstatné je ale to, že autoři nechtěli sestavit zařízení, které by většinu svých prostředků spotřebovalo na měření, a uživatel by byl bit. Turris musí zvládnout vše od měření a zasílaní statistik až po utáhnutí běžné domácí sítě. Samotný uživatel by vlastně ani neměl poznat, že krabička dělá i něco jiného, než že směruje, přepíná a komunikuje na Wi-Fi.
Na základní desce nechybí nápis Made in Czech Republic. Modrá plechová krabice pak pochází z Brna.
Dobrovolný „Velký bratr“
Po aféře okolo NSA a Edwarda Snowdena je pochopitelně každý mnohem ostražitější než před rokem, leckdo se tedy jistě právem zeptá, jestli náhodou router neodesílá do ústředí nějaké citlivé informace. Autoři se snažili být co nejtransparentnější, smlouva se zákazníkem (PDF) je tedy poměrně detailní. Ve čtvrtém bodě Sběr dat prostřednictvím zařízení je přesně vyjmenováno, jaký typ informací se opravdu odesílá. Jedná se o metadata, tedy podobný typ údajů, které sbírala NSA u amerických telefonních hovorů.
Odesílají se tedy informace z hlavičky internetového paketu, kam patří zdrojová a cílová IP adresa, zdrojový a cílový port, čas komunikace a další technické údaje. Neodesílá se nicméně datová část paketu tedy opravdu obsah komunikace.
Na stránce Turris.cz se můžete přesvědčit, kolik dat odeslal na servery CZ.NIC
Turris dále odesílá i souhrnná statistická data o spojení, kam patří velikost paketu, velikost přenesených dat v rámci spojení, používaný protokol a konečně logy z firewallu, který zachytil nějakou neplechu, o které by se mělo dozvědět ústředí.
Do třetice Turris „pingá“ i na všemožné servery třetích stran, čímž testuje dostupnost internetových služeb v České republice.
Všechna takto získaná data jsou na straně CZ.NIC anonymizovaná způsobem, že jsou uložená v oddělené databázi, ke které má přístup jen omezený počet zaměstnanců organizace. V této sekundární databázi přitom nejsou uložené popisné informace o nájemci, nehrozí tedy, že by se u seznamu proběhnutých internetových spojení za měsíc březen objevilo i jméno a adresa nebohého Petra Nováka, který trávil dlouhé večery na stránkách pro dospělé.
Otevřenost a férové jednání ze strany týmu Turris uznala i porota Big Brother Awards, která projekt ohodnotila jedinou pozitivní cenou za rok 2013.
Karty jsou tedy rozdané a záleží pouze na veřejnosti, jestli do projektu vstoupí. Tedy ono je to samozřejmě složitější. CZ.NIC rozdává routery za symbolickou korunu a to při podpisu smlouvy na tři roky. Během této doby musí Turris sloužit jako váš hlavní domácí router, zapomeňte tedy na to, že jej zapojíte na nějakou vedlejší větev a nepoteče přes něj žádná smysluplná komunikace. V takovém případě smlouvu porušíte a router byste museli vrátit.
Pokud však pro vás monitoring nebude překážkou, po tříletém průzkumu vám Turris zůstane. Vzhledem k jeho hardwarové výbavě příliš nezestárne – chybět bude snad jen bezdrátový modul pro 802.11ac, který by tou dobou už snad mohl být na každé nové bezdrátové krabičce.
Jeho výměna by ale nemusela být nikterak složitá, Wi-Fi modul je totiž k desce připojený přes mini PCI Express. Stačilo by tedy koupit novější Wi-Fi kartu, která je kompatiblní se systémem OpenWrt. K dispozici máte ke všemu ještě jeden volný port mini PCIe a dostatek místa na nějaký další hardware – teoreticky třeba SSD.
Distribuovaný firewall
Dobrá tedy, CZ.NIC získává zajímavá analytická data, k čemu je to všechno ale dobré? K vybudování jakéhosi distribuovaného firewallu, tedy systému, který v mnohém připomíná chování antivirového programu. Pokud antivir zachytí na počítači nový podezřelý malware, může jeho digitální otisk odeslat výrobci a ten pak ve formě aktualizace rozšíří informaci do všech klientů.
Na svém profilu na Turris.cz si můžete podívat i na různé grafy počínaje tabulkou stažených a nahraných dat skrze router, zablokovaná spojení na firewallu včetně statistiky apod. To jsou přesně ona monitorovaná data.
Firewall uvnitř Turrisu se chová vlastně úplně stejně. Pokud zachytí nějakou nekalost, specialisté z CZ.NIC mohou připravit nové firewallové pravidlo a to ve formě aktualizace rozeslat do všech připojených krabiček. Stejně tak by šlo reagovat i v případě, kdyby nějaký hacker objevil přímo zadní vrátka do Turrisu, jeho systém se totiž neustále dotazuje na případné aktualizace. A to nejen ty své, ale schraňuje i aktualizace systému OpenWrt, CZ.NIC totiž provozuje vlastní repozitář – zrcadlo všech oficiálních balíčků pro tento systém, které mohou rozšiřovat jeho funkce. Rychlá záplata na chybu by tedy měla být další zbraní českého Wi-Fi routeru.
CZ.NIC nakonec doufá, že mu zajímavá statistická data pomohou v rámci českého týmu CSIRT (útvar rychlé reakce pro bezpečnost na internetu). To znamená, že získaná data nepomohou pouze oné tisícovce dobrovolníků – to by byl docela drahý experiment, ale celé internetové společnosti. CZ.NIC se lépe dozví, jaké problémy mají nejrůznější operátoři, jak se v praxi používá IPv6 (router je plně kompatibilní s novým adresním systémem) a plánuje zveřejňovat některé statistické výstupy. Je to opravdu doposud největší sonda svého druhu na českém internetu.
Exkluzivní zboží
Nakonec se nabízí otázka, jak podobné zařízení vlastně získat. To dnes už bude asi trošku složitější. Do programu Turris jste se mohli registrovat už od loňského roku, přičemž autoři podle vaší IP adresy a vyplněného dotazníku zjistili, skrze jakého operátora a způsob jste připojení k internetu. Podle vlastního klíče, aby reprezentativně pokryli celou českou společnost, pak vybírali vhodné kandidáty, kterým v posledních dnech konečně nabízejí k podpisu smlouvu a rozesílají routery. Jedná se tedy o podobnou distribuci jako třeba v případě televizních „peoplemetrů“, které se také nacházejí ve statisticky zajímavých domácnostech a měří, jestli večer sledujeme Primu, Novu, nebo některý z kanálů České televize.
Router se nedostane ke každému zájemci – musíte projít kolečkem schvalování
Celkem bude v první vlně vyrobeno na tisíc kusů krabiček, poptávka však vysoce převyšuje nabídku. Podle Bedřicha Košaty se do projektu přihlásily zhruba dva tisíce zájemců. K polovině z nich se tedy krabička nejspíše vůbec nedostane.
Pokud vám na e-mail dorazí podobná zpráva, máte nejspíše vyhráno
Proč jich nebylo vyrobeno více? Tisícovka strojů je očividně dostatečně reprezentativní vzorek a při takto malém objemu výroby také výrazně roste cena zařízení. CZ.NIC si router podle smlouvy cení na částku 12 000 korun. Kdyby se jednalo o zařízení s masovou výrobou jako u běžných komerčních routerů, cena by byla pochopitelně mnohem nižší.
V reálném nasazení
Jak už jsem zmínil výše, router je natolik výkonný hlavně kvůli tomu, aby mohl vykonávat veškeré monitorovací práce a zároveň bez zpomalování obhospodařovat domácí síť. Konfiguraci zvládne každý zelenáč, poněvadž ta se skládá z jednoduchého webového nastavení, které mají na svědomí přímo autoři projektu. Zkušení uživatelé se pak mohou přepnout do systému OpenWrt skrze webové rozhraní LuCI, případně skrze SSH a tedy klasický linuxový terminál. Pak už lze nastavit naprosto vše do nejmenšího detailu.
Jednoduchý webový průvodce základním nastavením přímo od lidí z projektu
Kontrola aktualizací OpenWrt, nastavení lokální sítě a Wi-Fi (používá se zabezpečení WPA-2, pro jiný typ musíte navštívit pokročilou konfiguraci přímo v OpenWrt a LuCI)
Jelikož lze OpenWrt rozšířit o nespočet balíčků, do routeru můžete doinstalovat téměř cokoliv, případně si to doprogramovat svépomocí. Jeho výkon se popere nejen s klasickou funkcí switche, routeru a Wi-Fi, ale utáhne třeba i VPN, pokud byste se chtěli do domácí sítě připojovat třeba z práce.
Pokročilé webové prostředí LuCI se základním přehledem, nastavením Wi-Fi, monitorem aktivity (v tomto případě sledování rozhraní eth2 – internetového portu WAN) a správce nainstalovaných rozšiřujících balíčků včetně vyhledávání v repozitáři
V základní výbavě rozhraní LuCI na Turrisu pak nechybějí ani funkce DLNA serveru pro přehrávání filmů přes síť třeba na televizoru – server stačí jednoduše nastavit, přičemž filmy bude přehrávat z připojených USB úložišť. Od toho tu jsou dva USB 2.0 porty.
Nastavení miniDLNA serveru s hromadou možností
OpenWrt si poradí se složitým nastavením firewallu, umí obhospodařit několik paralelně spuštěných Wi-Fi sítí s různou konfigurací apod. To už ale vyžaduje pokročilejší znalosti hojně dokumentovaného systému.
Nastavení firewallu, rozhraní (chování jednotlivých ethernetových portů – zde zapojené všechny do jednotného bridge br-lan apod.) a úložiště samotného routeru
Osobně jsem uvítal také předinstalovaný balíček pro WoL – Wake on LAN. V domácí síti mám NAS, který ale zbytečně neběží celý den. Pokud se k němu potřebuji připojit, mohu se přihlásit do rozhraní LuCI, ze seznamu zařízení vybrat podle IP/MAC/hostname NAS a klepnout na tlačítko. Router pošle paket na danou MAC adresu a NAS se do pár sekund probudí. Hodí se to zejména v případech, kdy potřebuji NAS probudit třeba z práce a něco z něj stáhnout. WoL dnes podporují snad všechny síťové karty a Biosy/UEFI, čili tímto způsobem lze probouzet libovolné uspané domácí počítače připojené k ethernetu.
Příklad programu pro OpenWrt – utilita pro Wake on LAN
Jste root
Při práci s OpenWrt musíte jen dbát na to, abyste při svých hrátkách nezrušili samotnou monitorovací funkci Turrisu, tím byste totiž opět porušili smlouvu. CZ.NIC si nicméně opět zaslouží pochvalu, že se na rozdíl od routerů SamKnows nejedná o uzamčený blackbox, se kterým provedete bez flashe firmwaru jen velmi málo pokročilejšího nastavení. Turris je naopak zcela otevřený a vy jako jeho správce získáte k OpenWrt administrátorská práva root.
Rychlost domácí sítě? Vyšší průměr
A skutečný výkon? Router disponuje bezdrátovým modulem DNXA-H1 pro Wi-Fi 802.11agn 2,4/5 GHz s trojicí 3×3 MIMO antén. Pokud je adekvátně vybavený i bezdrátový modul na vašem počítači a tabletu, spojovací rychlost bezdrátové linky by měla být relativně slušná. V mém případě se reálná rychlost (kopírování dat v síti skrze SMB) vyšplhala z hlediska high-endu na spíše průměrných 100-110 Mb/s. Od kolegů z Computeru si však ještě půjčím výkonnější USB Wi-Fi s lepší anténou a pokusím se z komunikace vytáhnout opravdové maximum, na mém notebooku a tabletu jsou totiž spíše průměrné síťové karty.
Reálná rychlost Wi-Fi při kopírování na starším tabletu a notebooku v 5GHz pásmu 802.11n a kopírování z NASu skrze ethernet
Co se ethernetové komunikace týče, k dispozici je pět gigabitových portů, přičemž ten první je logicky i konstrukčně oddělený, což je patrné z fotografií. Pokročilejší uživatelé jej tedy mohou nakonfigurovat odděleně od ostatních portů a spustit na něm třeba samostatnou demilitarizovanou zónu (DMZ)
Rychlost na gigabitovém ethernetu je už natolik složitá, že ji ovlivňuje mnohem více proměnných. V případě kopírování dat přes Sambu z NASu v rámci LANu jsem tedy dosahoval rychlostí okolo 70 MB/s, což se blíží maximální rychlosti udávané výrobcem konkrétního síťového disku. S jinými gigabitovými routery jsem ale dosáhl ještě o něco vyšších rychlostí.
Co se domácích routerů týče, jsem poměrně náročný uživatel a to nejen s ohledem na výkon, ale především na šíři konfigurace. Posledních několik let jsem tedy používal router Mikrotik se systémem RouterOS. Při přechodu na méně uhlazený OpenWrt jsem sice musel chvíli bojovat s jeho trošku horší ergonomií (můj subjektivní pocit), ale i v tomto případě se jedná o surový Linux, který v principu zvládne vše včetně těch nejnáročnějších firewallových pravidel.
Turris je zajímavý a na českou kotlinu poměrně nový experiment. Krabička se tedy nakonec zalíbila i společnosti SamKnows a zdá se, že si od českého CZ.NIC nějakou stovku koupí, přestože se tuzemské sdružení dušuje, že se v žádném případě nejedná o komerční projekt.
První část Týdne Živě je věnovaná projektu Turris
