Router Turris pod lupou – II.
Router informuje svého majitele o tom, kolik dat proteklo mezi jeho sítí a veřejným Internetem. Ukáže i to, kdo se k němu dobýval, neboli jaký provoz byl zablokován firewallem v routeru.
Přesně před týdnem jsem zde na Lupě popisoval své první zkušenosti s routerem Turris, který je součástí stejnojmenného projektu sdružení CZ.NIC. Dnes se podíváme podrobněji na jeho další vlastnosti a schopnosti. Zejména na jeho „serverové zázemí“.
Co je na serveru?
Každý jednotlivý majitel (přesněji: nájemce) routeru Turris má na serverech projektu (na adrese turris.cz) své vlastní stránky.
Zde jsou uvedeny jeho nacionálie a kontaktní údaje, a dále třeba kopie jeho smlouvy o pronájmu. Zajímavější jsou ale provozní statistiky příslušného routeru. Ty jsou členěny do tří hlavních částí, na:
- údaje o datovém provozu mezi routerem a centrálou projektu
- údaje o celkovém provozu z/do Internetu
- údaje o fungování firewallu v routeru
Všechny dostupné statistiky jsou přitom zobrazovány on-line, ale můžete si je i stáhnout jako data ve formátu CSV, a dále si je zpracovávat sami.
Kolik a kdy router přenáší do centrály projektu?
Na následujícím obrázku vidíte statistiku o objemu dat, které router Turris přenáší do centrály projektu (na adresu api.turris.cz).
Jde o dosti strohou statistiku, protože ukazuje jen měsíční souhrn a pak denní průměr. Ale pokud vás zajímají konkrétní denní čísla, můžete si je stáhnout jako CSV data a sami si je vykreslit do vlastního grafu, jako na následujícím obrázku.
V mém případě je v této statistice započítán objem dat, přenesených za 15 dnů, a to cca 140 MB – což koresponduje s mým empirickým odhadem z minulého článku (150 MB za měsíc), a ke hluboko pod očekávaným maximem 400 MB měsíčně, o kterých hovoří nájemní smlouva (která zmiňuje i dalších 100 MB na testování dostupnosti různých zdrojů v Internetu).
Podle mých zjištění se přitom rozhodující část přenosu dat mezi routerem a centrálou projektu odehrává každý den nad ránem, někdy mezi 3 až 5 hodinou ranní, kdy se asi dá předpokládat nejmenší zatížení sítě i samotného routeru. A kdy se také (podle smlouvy o pronájmu) očekává, že router je zapnutý a připojený k Internetu.
Jak využíváte své připojení k Internetu?
Další skupinou statistik, které jsou dostupné na serveru projektu Turris, jsou údaje o celkovém toku dat mezi příslušným routerem a Internetem. Tedy vlastně o tom, kolik dat jste přenesli z/do Internetu, za určité časové období. Tím může být celý rok, nebo celý měsíc, celý dny, či jednotlivé hodiny.
Na následujících obrázcích vidíte konkrétní příklady: první se týká měsíčního provozu, za měsíc březen. Přesněji za 10 dnů (od 11. do 20.3.2014). Graf ukazuje součet provozu v obou směrech, ale tabulka nad grafem ukazuje příchozí i odchozí provoz také odděleně, a počítá i denní průměr.
Další obrázek ukazuje stejnou statistiku, ale po jednotlivých dnes (zde: deseti dnech).
Konečně další obrázek ukazuje statistiku datového provozu po jednotlivých hodinách jednoho konkrétního dne (20.3.2014). Právě z něj lze usuzovat na to, že samotný router Turris odesílal svůj „denní raport“ za předchozí den někdy kolem páté hodiny ranní.
Za zdůraznění určitě stojí i to, že jak router Turris, tak i jeho statistiky, jsou pochopitelně připraveny i na IPv6. V mém případě, na „IPv4 – only“ přípojce, kde nepoužívám ani žádný tunel, se ale IPv6 moc neuplatní.
Poměr up/down
Předchozí obrázky ukazovaly statistiku dat, přenesených v obou směrech současně, tedy jako „z“ Internetu, tak i „do“ Internetu. Připomeňme si ještě jednou, že Turris monitoruje pouze data směřující z/do Internetu, a nikoli data přenášená v rámci připojených (privátních) sítí.
Kromě součtu dat v obou směrech má ale každý vlastník (nájemce) routeru možnost podívat se i na statistiky, ukazující objemy přenesených dat samostatně v každém z obou směrů. Opět ve variantách za celé roky, celé měsíce, celé dny, či po jednotlivých hodinách. Zde si již ukážeme jen jednu variantu, a to „po celých dnech“.
Pro zajímavost jsem si data o přenosu v obou směrech ještě zpracoval do podoby grafu, který ukazuje poměr mezi uploadem a downloadem, vyjádřený pro jednoduchost v procentech. Jeho průměrná hodnota je kolem 25 procent (resp. 1:4 pro poměr upload vs. download), ale místy klesá až na nějaká 4 procenta.
Dále jsou k dispozici statistiky ukazující rozdělení provozu mezi oba transportní protokoly (UDP a TCP) a protokol ICMP, stejně jako rozložení jednotlivých zpráv protokolu TCP, viz následující dva obrázky.
Kdo se k vám dobýval?
Velmi zajímavá je i třetí část statistik, vypovídající o činnosti firewallu, zabudovaného v routeru Turris. Přesněji o datovém provozu, přicházejícím z veřejného Internetu, který firewall „nepustil dál“ (zablokoval). Vlastně to vypovídá o tom, kdo a jak se k vám „dobýval“, do vašeho routeru či do vašich sítí, připojených k tomuto routeru.
Vidět můžete IP adresy, ze kterých se k vám někdo dobýval (včetně počtu pokusů), dále konkrétní porty, na které zablokovaný provoz směroval, a také rozložení mezi transportní protokoly TCP a UDP. Příklady vidíte na následujících obrázcích.
Můžete si vybrat, zda chcete zobrazit příslušné grafy sumárně za celý rok, po jednotlivých měsících, či za celý den. Stejně tak si můžete příslušná data stáhnout v CSV formátu.
A co podrobnější data?
Právě popsané statistiky jsou určitě zajímavé, ale představují jen jakýsi vršek ledovce: slouží-li router Turris k detekci nejrůznějších útoků a nestandardních situací, musí každý jednotlivý „kus“ posílat do centrály detailnější data, než jen výčet odražených útoků a celkové objemy přenesených dat. Co třeba podrobnější data o provozu, který úspěšně ně prošel skrz router Turris? Odkud a kam směřoval? Může se tedy nájemce konkrétního routeru podívat i na tyto informace?
Když jsem se na to ptal přímo v CZ.NICu, odpověď byla následující:
V současné době startu projektu jsme se sběrem dat velice opatrní a nasadili jsme variantu analýzy, při které se nesbírají konkrétní data toků jednotlivých zařízení, ale pouze agregovaná data přes více routerů bez možnosti zpětné identifikace. Tento způsob je výrazně šetrnější z hlediska ochrany soukromí uživatelů, ale zároveň je z tohoto důvodu velice obtížné uživateli data smysluplně vizualizovat. Nicméně pracujeme na systému, jak tato data vhodně prezentovat.
Ono to nejspíše souvisí i s tím, že provoz generovaný jedním routerem je závislý na chování jednoho či několika málo uživatelů (typicky jedné domácnosti), a sám o sobě se moc nehodí pro nějaké statistické vyhodnocení a hledání nějakých anomálií. Protože jde o příliš malý vzorek, v rámci kterého je veškeré dění ještě výrazně závislé například na tom, jak kdo přijde domů, a jak se jeho „osobní“ zařízení připojí k Internetu, stahují si různé aktualizace, kontrolují poštu atd.
Dokumentace, fórum
Na závěr si ještě řekněme, že na webových stránkách centrály projektu Turris jsou dostupné další zajímavé zdroje. Například zde najdete veřejně přístupné diskusní fórum pro majitele routerů, ale i pro širší veřejnost.
Ještě dalším zdroje, který najdou majitelé registrovaní na webu centrály projektu, je sekce s dokumentací projektu. Najdete zde například stručný popis toho, jaká data a jak jsou sbírána.
Stejně tak zde již najdete první návody na to, jak si router Turris přizpůsobit. Třeba jak si z něj udělat NAS server, či jak pomocí DHCP přidělovat uzlům stále stejné (statické) IP adresy. Další návody nejspíše budu přibývat, protože router Turris toho umožňuje opravdu hodně: namátkou třeba zprovoznit na něm rodičovský zámek (vhodným nakonfigurováním proxy brány TinyProxy), nebo poštovní server, tiskový server apod. Něco z toho si ukážeme v dalším samostatném článku.