Tschechische Domain-Registry forscht mit Router-Eigenbau zur Netzsicherheit
Die tschechische Domain-Registry CZ.nic hat auf dem RIPE-Meeting in Warschau ihr Forschungsprojekt Turris vorgestellt: Es ähnelt einer verteilten Firewall aus speziellen Heim-Routern und einem zentralen Analyse-Server.
(Bild: www.turris.cz)
Turris soll die Sicherheit von Heim-Routern in Zusammenarbeit mit den Nutzern verbessern, erklärt CZ.NIC-Chef Ondřej Filip auf dem RIPE68-Meeting in Warschau. Dabei vermitteln die Turris-Router nicht nur den Internet-Zugang: Sie analysieren den gesamten Verkehr zwischen dem lokalen Netz ihres Nutzers und dem Internet und erkennen verdächtige Datenflüsse sowie Anomalien. Ihre Erkenntnisse leiten die Router verschlüsselt an die Turris-Zentrale weiter, die sie mit denen anderer Router vergleicht und einordnet. Erkennt das System dabei Angriffe, reagiert es mit Aktualisierungen und angepassten Einstellungen, die es anschließend auf die Turris-Router verteilt.
(Bild: www.turris.cz)
In den Geräten steckt eine mit 1,2 GHz getaktete Dual-Core-CPU vom Type Freescale P2020, 2 GByte RAM, 256 MByte NAND- und 16 MByte NOR-Flashspeicher, fünf Gigabit-Ethernet-LAN-Ports und ein WAN-Port sowie ein WLAN-Access-Point (IEEE 802.11n-300) und zwei USB-Ports. Auf den Routern läuft ein angepasstes OpenWRT-Linux. Überhaupt sei das gesamte Projekt Open-Source, versicherte Filip. Wer wolle, könne den Router nachbauen. Die Produktionskosten liegen wegen der kleinen Stückzahl von zunächst 1000 Geräten bei rund 300 Euro - kein Massenmarkt-verdächtiger Preis.
Das Motiv für den Eigenbau von Turris war es aber ohnehin nicht, den Markt aufzurollen, unterstrich Filip bei der Vorstellung. Vielmehr waren die Forscher bei der Suche nach einem geeigneten Router für ihr Projekt einfach nicht fündig geworden. Filip verwies auf die mangelnde Unterstützung für IPv6 und DNSSEC, fehlende Möglichkeiten für automatisierte Updates und die allgemeinen Sicherheitsprobleme existierender Geräte. Am Ende blieb nach Ansicht der Forscher nur der Eigenbau.
Mehr als die Hälfte der 1000 produzierten Router wurden bislang für den symbolischen Preis von einer tschechischen Krone an Nutzer ausgegeben, die bereit sind, den Forschern Zugang zu Metadaten und Firewall-Logs zu gewähren. Die Forscher beschränken den Datenzugriff allerdings auf das Nötigste, haben ihr System von Datenschützern prüfen lassen und zurren die Nutzung des System ausdrücklich in einer Nutzer-Vereinbarung fest (PDF-Datei). Anfang des Jahres bekamen sie für diesen offenen Umgang sogar einen Positiv-Preis beim tschechischen Big Brother Award – obwohl sie praktisch einen Packet Sniffer ins Wohnzimmer gebracht hätten, wie Daniel Karrenberg, Chefwissenschaftler des RIPE NCC anmerkte. (rek)
