Názory k článku Router Turris Lite si koupíte za sto dolarů, slibují vývojáři

> tak musí zbytečně krmit nevyužitou elektroniku

To je sice pravda, ale takový Turris má oproti běžným domácím routerům dost velkou spotřebu. Takže je otázka, zda to nebude mít i tak větší spotřebu než běžná domácí zařízení (zvlášť, když budete vybírat podle spotřeby).

Nelze. A nechapu jak tuhle hloupost muze vubec nekdo vypustit. Linka pri uzavrenem obvodu dava pri nejakych 35-48V par mA. Pri vyzvednuti sluchatka desitky mA. Vic by se dalo chvilkove dostat ze zvoneni.
Mas vubec poneti kolik spapa specializovane DSP s analogovymi obvody linky? Mne by se na extra modemu libilo PoE. Da se vsechno krasne centralne zalohovat a inteligentnim PoE switchem i manipulovat s napajenim.

Root.cz považuju za celkem rozumný, ale na můj vkus to trochu s tou servilitou vůči CZ.NICu přeháníte.

A ono nekoho zajima, ze si nekdo za zcela nesmyslny(a navic nikoli svoje) prachy stavi zcela nesmyslny HW? Jop, mozna jako dalsi dukaz toho, ze kocourkov je jen slabej odvar.

Kterej SOHO router na trhu más dost výkonu, aby zvládl víc, než přehazovat 50Mbps z jednoho portu na druhý?
Kterej SOHO router má dost pamětí na to, aby se tam vešla nějaká statistika, větčí než 200kB?
Kterej SOHO router má dost výkonu na šifrování komunikace?

Když jsem hledal něco na doma, zjistil jsem to samý, co kluci z NICu - nic takovýho se neprodává. Nejlevnější řešení - netbook s Atomem a druhou síťovkou na USB.

Není problém, že někdo vyrobil použitelný HW. Problém je, že většině lidí to "nějak chodí" s krabičkou za litr a nikdo neřeší, co se vlastně v síti děje, jak je net zmršený od ISP, kolik děr mají ve firewallu, kolika NATy se k němu paket prodírá, že dostává z e-shopu nepodepsaný faktury přes neautorizovaný mailserver, že mu ISP čte poštu,...

Kterej home user tohle potrebuje? Aha, presne zadnej.

Mimochodem, muj domaci router s porizovaci cenou .. 0... zvlada delat router, server na vsechno mozny, uloziste, streamovaci server (sem zvedav jak do turisu narves dvb-t/c/s) a sportebu to ma +- stejnou.

Vetsinu lidi vubec nezajima a ani netusej co je to mailserver, protoze oni maji svuj seznam/google/fb ...

Hlavní a prakticky jediným zdroj přijmu CZ.NIC plyne ze správy domény .cz.Ta je ovšem unikátním bohatstvím státu stejně jako vzdušný prostor, frekvence nebo nerostné suroviny.

V současné době o těch více než 100 mln. ročně rozhoduje úzká skupina lidí, která je používá k realizaci svých projektů, prosazování vlastních zájmů, pronikání do struktur a upevňování své vlastní pozice. Každému je asi jasné, že s takovým množstvím "volných" peněz toho lze udělat hodně.

Přišlo by mi víc logické kdyby se část těchto prostředků rozdělovala více férovým a transparentním způsobem. Například prostřednictvím agentury či fondu, kde by projekty mohlo podávat mnohem více organizací, či jednotlivců. Z hlediska diverzifikace myšlenek a nápadů by mi to přišlo mnohem zdravější než současný stav.

Proč nejsou ochotní Turris prodávat, když jim lidi nabízí peníze? Proč bude jen Lite, kde si budou muset lidi shánět krabice a zdroje a wifi a kdoví co všechno bude samostatně.. Pokud ten router bude zaručovat mnohem vyšší míru bezpečí zapojením do toho sledování a automatickou úpravou fw a pravidel, tak věřím, že za to spousta lidí rádo zaplatí, tak jako platí mnohem víc za jiná, mnohem horší řešení. Jenže oni jim krabici neprodají a na holou desku spoustu lidí neutáhnou, každý nechce bastlit, ale dost lidí by rádo mělo bezpečnější připojení a celkově třeba i přispěli odesíláním podezřelého provozu k bezpečnějšímu netu celkově (tvorbě black/gray listů atd).

Když neudělají předobjednávky na hotové neočesané řešení a budou všem jen říkat, že/proč jim to neprodají, tak to jistě nepůjde a zájem zůstane navždy jen v rovině spekulací. Podle mě teď, v době samých bezpečnostních afér a nekvalitního hw/sw, by se to prodávalo dost dobře. Ale s tím puncem, že to je od CZ.NIC, ne že to je od číňana z ebay co tam kdoví co upravil a nebo že to musím objednat deska + zbytek jinde - to si jistě taky dost příznivců najde, ale proč nezjistit zájem o hotové řešení nechápu.

Problém je, že většinou ti lidi mají pravdu ;-)

Údajně český projekt vyráběný údajně v ČR, ale mám si ho kupovat za dolary? Tak s tím jděte do ...

A proč ne?

Když jsem dělal v české firmě o 30 lidech, počítlo se všechno v Eurech. Teda krom výplat. Materiál, se koupil za Eura, osazení v Čině se platilo v Eurech, prodalo se za Eura...

Nevidím s dolary problém. Když koupí součástky za dolary (většina nákladů) a prodají to za dolary, tak stačí nasmlouvat osazení v dolarech (což není problém) a mají pokrytý výkyvy kurzu.

Jediní, kdo to nechápe, jsou nacioanalisti a pitomci z ČNB, kteří si myslí, že se ještě zahraniční obchod dělá v korunách a věří, že se změnou kurzu koruny posílí export. Tak to ale dávno nefunguje.

Pokud jsou náklady, hlavně mzdové, v korunách, tak ho posílí. A je úplně jedno, jestli účtujete v korunách nebo eurech.

Ten 2 MiB blob se tam nahraje jakým protokolem? Nějaké TFTP? Bude to použitelné i mimo Turris?

Vím že slovo "koupit" u tohohle projektu obvykle nepadne na úrodnou půdu (první změna je až teď s Turris Lite), ale netušíte jestli budou prodávat i ten VDSL modem? Myslím si, že zrovna v ČR by se našlo neskutečné množství lidí, co by to uvítali. Minimálně já bych mohl ve dvou lokacích vyhodit dvě zbytečná zařízení.

Skoda, ze ten binarny blob tam nieje natvrdo. Slo by to krasne pripojit comukolvek.
Taketo nieco tu chyba. xDSL krabicky(routre) su vecsinou nic moc a takto by sa dalo za to zavesit cokolvek. Predsalen s WRT sa "nehra" kazdy.
Skoda, ze toto vsetko(Turris a aj tento modem) je zaujimavym experimentom bez chybajuceho komercneho vyustenia.
Je to pekne od CZ.NIC. Chyba to na trhu a bude to chybat asi aj nadalej. Myslim si, ze celosvetovo by to mohlo byt komercne priechodne.

Co já bych dal za primitivní ADSL/VDSL modem, který je skutečně jen modemem v bridgi a funguje. Takže za mě ano, uvítal bych ho a určitě nejsem sám. Ale třeba na foru mikrotiku se také řešilo, proč třeba k RB nemají i modem. A odpověď autorů byla: nemáme pocit, že by o to byl zájem.

Aha, díky za info, tak už jsem žil v naději, že si budu moci koupit samotný DSL modem (v bridgi), že to bude ke koupi jako ten Lite konečně. Takže to zas mohu pustit z hlavy.

Super. Takze se najdou lide ochotni platit za to, ze se komercni firma uci a vydelava na produktech, vznikajicich za pomoci sberu dat z neceho, co si koupili.

Uz mne stve, jak se komercni firmy pakuji na akademicke sfere, a vysoke skoly propojuji s bussiness. Za penize statu tedy s ultralevnou, ultra motivovanou a snadno msaove dostupnou prac silou si fy jako Cisco vypiplaji zarodek ryze komercni firmy, a jen ta vyjde z akademickeho prostredi ven, koupi ji i oficialne.

Ten router by mel byt k dispozici spis zadarmo, a hlavne anonymne. Ale "anonymne" dnes bohuzel neni technicky realizovatelne.

V aktualni dobe je stav legislativy ve vetsine evropskych zemi vcetne CR takovy, ze nekdy staci papir od vysetrovatele (v osttanich pripadech soudni prikaz), aby nekdo zasel za provozovateli libovolne sluzby pro sber dat a chtel od nich data z nejakeho konkretniho routeru pro ucely vysetrovani, a staci i jen podezreni na trestnou cinnost.

A provozovatel musi spolupracovat a zaroven nesmi tuto skutecnost nikomu oznamit.

Mě se aktivity CZ.NIC a reklama zde moc nelíbí.

Nicméně, pořád lepší takový vývoj a hraní, než kdyby si všechno strkali do kapes. A ne že by to nešlo.

Tohle oceňuji, podporu vývoje doma.

Ocenujes ze pracujou na vyvoji systemu centralniho smirovani? O nic jinyho totiz nejde.

Sak se podivej bliz. Mojeid tlacej horem dolem, duvod? Predevsim argument "sak uz to pouziva milion lidi, tak to ostanim naridime" (prostrednicvim legislativy samo). Pochopitelne se do toho hodi i turis.

Idealni vysledek (podle NICu) je takovej, ze aby ses vubec dostal na internet, budes se muset (prostrednicvim mojeid) prihlasit, a pochopitelne, o to abys to neobchazel se postara vsudepritomna sit HW (ktery dostanes optimalne zase narizen ze zakona - sak kdyz se muze milionum naridit online hlasit kazdy predani penez, tak proc by neslo vsem naridit pouzivat tohle).

Neveris? Trochu zagoogli, oni se tim nijak zvlast netaji. Samozrejme, zduvodnuje se to jako vzdy - terorismem, prznenim deti, ekonomickyma zajmama ...

Blb jako ty samozrejme nemuze nic najit, odkazu uz sem ti naposilal neurekom, ses beznadejnej pripad.

> Komunikace mezi námi a Turrisem je šifrovaná, k čemuž využíváme hardwarový čip s uloženými klíči. Samozřejmě v tomto světě nic není stoprocentní, ale máme tak velkou míru jistoty, že jsou data autentická a že nejsou podvržena

Zaprvé mě mrzí, že je na každého účastníka projektu pohlíženo jako na potenciálního podvodníka, který chce manipulovat s nějakými statistikami. A i kdyby se takový našel, tak bude mít malou váhu v souhrnných výsledcích.

Data se šifrují proto, aby si je nikdo nepřečetl. A vzhledem k ochranně klíče HW prostředky jde hlavně o to, aby nebylo snadné ověřit (uživatelem), co vlastně Turris odesílá za data. Pro odposlech někde uprostřed stačí běžné SW šifrování, resp. s dostupnými klíči. Pro ověření autenticity se používá _podepisování_ (místo šifrování). Tedy k původním datům se přidá ještě podpis.

CZ-NIC všude prohlašuje, jak v rámci zabezpečení soukromí bojuje naprostou otevřeností. Ale zveřejňování (pro daného účastníka) odesílaných dat odmítlo udělat. Na routery distrubuuje binárky, u kterých nelze ověřit, z jakých zdrojáků pochází apod. Odesílaná data jsou šifrována tak, aby je účastník nemohl dešifrovat (není reálný důvod, proč by nemohl dostat dešifrovací klíč). Prostě ona otevřenost je jen v prohlášeních, ale reálně to vypadá úplně jinak. A odpověď bude zřejmě v tom smyslu, že pokud jim někdo nevěří, tak se nemá projektu účastnit. Nejhorší na tom je, že řada lidí věří v to, že lze opravdu snadno ověřit, co se vlastně odesílá za data a slepě věří, že to ověří někdo jiný. I když ani to by nepomohlo, protože CZ NIC má v podmínkách, že každému může do routeru nainstalovat něco jiného - na míru upraveného pro něj. A ani o tom nemusí účastníka informovat.

Poznámka: Ověřit, co se odesílá, samozřejmě teoreticky lze - před zašifrováním. Ale to je dost komplikované, protože nějaký proces data vytvoří a zašifruje, tedy nestačí něco jako TCPDUMP. Jde tedy spíše o jakousi "obfuskaci". Stejně tak to teoreticky nebrání podvrhování dat, protože s pomocí toho HW modulu lze zašifrovat reálná i podvržená data.

To ale směřujete do opačného extrému. Pak se ukáže, že je tam zkreslení dat a lidé jako vy se budou ptát "no a to vám nebylo od začátku jasné, že se vždycky najde někdo, kdo to zkusí sabotovat?" A budete se pohoršeně ptát, proč se to nešifruje.

A co se podepisování týká tak sice máte v zásadě pravdu, že šifrováním se nepodepisuje, jenže v praxi je to často technicky ta samá operace. Nejdříve to zašifruju veřejným klíčem druhé strany a pak soukromým klíčem mým. Dvakrát ta samá funkce, jen jiný klíč. První zajistí, že to přečte jen druhá strana, druhé zajistí, že každý může ověřit, že jsem to poslal já. Podpis se nepřidává. Proto se to v "laické obci" už moc nerozlišuje.

Uživatel může zjistit, co se odesílá. Jsou k tomu zdrojáky, může si to odchytávat. To je ostatně ten důvod, proč se dá předpokládat, že si někdo "firmware" pozmění a bude si s tím hrát a posílat "nesprávná" data.

Kupodivu se to jmenuje postup kompilace, a zcela bezne se to zverejnuje. Pokud to kdokoli aplikuje, tak za predpokladu stejneho kompilatoru a stejnych soucasti, musi zakonite dojit k totoznemu vysledku.

A, jak prekvapive, pokud nekomu sejde na bezpecnosti vic nez trochu, tak se zcela bezne overuje, ze binarka odpovida (auditovanemu) zdrojaku.

Tudiz reseni davno objeveno je, a je navic technicky zcela trivialni.

Nemusí. Stačí buildovat proti jiné verzi jádra, mít jinou verzi knihovny, zapnout bezpečnostní funkce v kompilátoru,... a je to v háji.

Jenomže je tady ještě technická stránka věci. A sice, že každý router potřebuje vlastní klíče.Ty musí být někde uloženy. Ideálně tak, aby si nemohl potenciální útočník jendoduše hrát se souborem. A další věc je, že pokud se bavíme o dlouhým klíči a malým zařízení, jsou nároky na šifrování docela velký, měřeno na procenta výkonu procesoru. Crypto hardware může za malý peníz nahradit další jádra a paměti za větší peníz. Tak proč to nepoužít?

Když je tady tolik odborníků na daný projekt, tak by mi mohl někdo vysvětlit, jak je to s tou anonymitou. Na stránce projektu píšou, že sbíraná data nejde propojit s identitou uživatele. Pak se ale třeba na stránce csirt.cz dozvím:

"Projekt Turris také nově monitoruje pokusy klientů o připojení ke známým řídícím serverům botnetů. Pokud bude takováto aktivita detekována, bude nám nově tým Turris předávat kontaktní e-mail držitele daného routeru"

Takže to propojit s identitou lze. A navíc ještě lze střelit kontaktní údaje třetí straně (teoreticky, jelikož lidi z cz.nic jsou nalezlí i v csirt.cz). Nicméně mi přijde, že to s tou anonymitou moc žhavé teda není. Nebo to chápu špatně?

To by me take zajimalo jak to je, protoze uplne to stejne napadlo i me.

Ono s tou anonymitou to dost mozna bude stejna pohadka, jako s tim ze jej pouzivaji Vint Cerf a Steve Crocker.

Ciste racionalne. Vint Cerf a Steve Crocker nemaji cele dny co delat a tak si zasli uredne overit popdpis aby mohl mit routery, ktere posilaji reporty kamsi do CR.

Mnohem realneji bych to videl, ze nekdo z CZ.NICu jim na nejake konferenci vnutil krabici s turrisem, ti ji ze zdvorilosti prijali a svihnuli ji do popelnice jeste driv nez dojeli na letiste. Tady se z toho pak udela velkolepe PR.

Myslim, ze tohle se okecat neda.

Bud data konkretniho turrisu s identitou uzivatele spojit jdou nebo nejdou.

Na druhou stranu kazdy kdo ma doma turris ho tam ma dobrovolne, takze je vicemene jedno.