ZeroShell

Zeroshell è una distribuzione Linux Live CD volto a fornire i principali servizi di rete di una LAN richiede:
Qui sono alcune caratteristiche chiave di "ZeroShell":
· Kerberos 5 autenticazione o con certificati X.509;
· LDAP, NIS e l'autorizzazione RADIUS;
· Autorità di certificazione X.509 per l'emissione e la gestione di certificati elettronici;
· Unix e Windows interoperabilità Directory utilizzando LDAP attivo e Kerberos 5 autenticazione realm croce;
· Router con route statiche e dinamiche (RIPv2 con autenticazione MD5 o plain text e algoritmi Split Horizon e Poisoned Reverse);
· Ponte 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;
· 802.1Q Virtual LAN (VLAN tag);
· Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia di routing e bridging su tutti i tipi di interfacce, tra cui VPN e VLAN;
· NAT utilizzare classe indirizzi LAN privati ​​nascosti sulla WAN con indirizzi pubblici;
· TCP / UDP port forwarding (PAT) per creare server virtuali. Ciò significa che cluster di server reale sarà visto con un solo indirizzo IP (l'indirizzo IP del server virtuale) e ogni richiesta sarà distribuito con l'algoritmo Round Robin di real server;
· Server DNS multizona con gestione automatica della in-addr.arpa risoluzione inversa;
· Server DHCP multi subnet con la possibilità di fissare IP a seconda dell'indirizzo MAC del cliente;
· Host-to-lan VPN con L2TP / IPsec in cui L2TP (Layer 2 Tunneling Protocol) autenticato con username e password Kerberos v5 viene incapsulato all'interno di IPsec autenticato mediante IKE con certificati X.509;
· Host-to-lan VPN con protocollo PPTP (Point to Point Tunneling Protocol), MPPE (Microsoft Point to Point Encryption) e GRE tunneling
· Lan-to-lan VPN con incapsulamento delle trame Ethernet in SSL / TLS tunnel, con il supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);
· Client PPPoE per la connessione alla rete WAN tramite linee ADSL, DSL e via cavo (richiede MODEM adeguato);
· Client DNS dinamico utilizzato per raggiungere l'host sulla WAN anche quando l'IP è dinamico;
· NTP (Network Time Protocol) client e server per mantenere gli orologi degli host sincronizzati;
· Server RADIUS per fornire autenticazione e gestione automatica delle chiavi WEP ai 802.11b, 802.11ge 802.11a Le reti wireless che supportano il protocollo 802.1x nella EAP-TLS, EAP-TTLS e PEAP forma o l'autenticazione meno sicuro del client MAC Address; WPA con TKIP e WPA2 con CCMP (802.11i denuncia) sono supportati troppo; il server RADIUS può inoltre, in base al nome utente, gruppo o MAC Address del supplicant, consentire l'accesso a un 802.1Q VLAN preset.
· Server Syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altri compatibili con il protocollo syslog;
· Arpwatch monitorare per monitorare gli eventi ARP sulla LAN, come la duplicazione di indirizzi IP, flip-flop e altre anomalie;
· Server RADIUS per fornire autenticazione e gestione automatica delle chiavi di crittografia per i 802.11b, 802.11ge 802.11a Le reti wireless che supportano il protocollo 802.1x nella EAP-TLS, EAP-TTLS e PEAP forma o l'autenticazione meno sicuro del client MAC Address; WPA con TKIP e WPA2 con CCMP (802.11i denuncia) sono supportati troppo; il server RADIUS può inoltre, in base al nome utente, gruppo o MAC Address del supplicant, consentire l'accesso a un 802.1Q VLAN prestabilito;
· Captive Portal al supporto del web login su reti wireless e wired. Zeroshell agisce come gateway per le reti su cui il Captive Portal è attivo e che gli indirizzi IP (di solito appartenenti a sottoreti private) vengono assegnate dinamicamente dal DHCP. Un client che accede a questa rete privata deve autenticarsi mediante un browser Web utilizzando Kerberos 5 nome utente e la password prima di firewall di Zeroshell permette di accedere alla LAN pubblica. I gateway Captive Portal sono spesso utilizzati per fornire l'accesso a Internet negli HotSpot in alternativa al protocollo di autenticazione 802.1X troppo complicata da configurare per gli utenti. Zeroshell implementa la funzionalità di Captive Portal in maniera nativa, senza utilizzare altro software specifico come NoCat o Chillispot;
· QoS (Quality of Service), gestione e traffic shaping per controllare il traffico su una rete congestionata. Sarete in grado di garantire la larghezza di banda minima, di limitare la larghezza di banda massima e assegnare una priorità a una classe di traffico (utile in applicazioni di rete sensibili alla latenza come VoIP). La messa a punto precedente può essere applicato su interfacce Ethernet, VPN, ponti e incollaggi VPN. E 'possibile classificare il traffico utilizzando i filtri Layer 7 che permettono il Deep Packet Inspection (DPI), che possono essere utili per modellare applicazioni VoIP e P2P;
· Host-to-lan VPN con L2TP / IPsec in cui L2TP (Layer 2 Tunneling Protocol) autenticato con username e password Kerberos v5 viene incapsulato all'interno di IPsec autenticato mediante IKE con certificati X.509;
· Lan-to-lan VPN con incapsulamento delle trame Ethernet in SSL / TLS tunnel, con il supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);
Router con route statiche e dinamiche (RIPv2 con autenticazione MD5 o plain text e Split Horizon e algoritmi Poisoned Reverse);
Ponte 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;
· 802.1Q Virtual LAN (VLAN tag);
· Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia di routing e bridging su tutti i tipi di interfacce, tra cui VPN e VLAN;
· E 'possibile rifiutare o modellare P2P File Sharing traffico utilizzando il modulo iptables IPP2P nel Firewall e QoS Classificatore;
NAT di utilizzare classe indirizzi LAN privati ​​nascosti sulla WAN con indirizzi pubblici;
· TCP / UDP port forwarding (PAT) per creare server virtuali. Ciò significa che cluster di server reale sarà visto con un solo indirizzo IP (l'indirizzo IP del server virtuale) e ogni richiesta sarà distribuito con l'algoritmo Round Robin di real server;
· Server DNS multizona con gestione automatica della in-addr.arpa risoluzione inversa;
· Server DHCP multi subnet con la possibilità di fissare IP a seconda dell'indirizzo MAC del cliente;
· Client PPPoE per la connessione alla rete WAN tramite linee ADSL, DSL e via cavo (richiede MODEM adeguato);
· Client DNS dinamico utilizzato per raggiungere l'host sulla WAN anche quando l'IP è dinamico;
· NTP (Network Time Protocol) client e server per mantenere gli orologi degli host sincronizzati;
· Server Syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altri compatibili con il protocollo syslog;
· Kerberos 5 autenticazione mediante un KDC integrato e cross autenticazione tra regni;
· LDAP, NIS e l'autorizzazione RADIUS;
· Autorità di certificazione X.509 per l'emissione e la gestione di certificati elettronici;
· Unix e Windows Active Directory interoperabilità utilizzando l'autenticazione Kerberos 5 cross realm LDAP e.
· Le seguenti funzionalità saranno disponibili in un prossimo futuro e incluso nella versione 1.0.0:
Server proxy Web per avere una cache web centralizzato che è in grado di bloccare le pagine web contenenti virus. Questa funzione viene implementata utilizzando l'antivirus ClamAV e proxy server Squid. Il server proxy può essere configurato per funzionare in modalità proxy trasparente, in cui, non è necessario configurare il browser web di usarlo, ma le richieste http verrà reindirizzato automaticamente al proxy.
Arpwatch Monitor per monitorare gli eventi ARP sulla LAN, come la duplicazione di indirizzi IP, flip-flop e altre anomalie;
Host-to-lan VPN con protocollo PPTP (Point to Point Tunneling Protocol), MPPE (Microsoft Point to Point Encryption) e GRE tunnel;
Le seguenti funzionalità saranno disponibili nelle prossime versioni più recenti di 1.0.0:
Modalità HostAP per le schede di rete wireless che utilizzano Intersil Prism2 / 2.5 / 3 chipset. In altre parole, un box Zeroshell con una di tali schede WiFi potrebbe diventare un IEEE 802.11b / g Access Point che fornisce autenticazione affidabile e dinamico scambio chiavi WEP da protocolli 802.1X e WPA. Naturalmente, l'autenticazione avviene tramite EAP-TLS e PEAP sopra il server RADIUS integrato;
Server IMAP v4 per gestire le cassette postali con l'autenticazione fornito dal server integrato Kerberos 5;
Server SMTP per ricevere, inviare e mail di rotta a seconda SMTP Mappa Itinerario memorizzati sul server LDAP integrato. Le mail in entrata e in uscita sono spam e virus controllati dal antispam e antivirus filtri auto aggiornamento da Internet. Inoltre, il client DNS dinamico sostenuto, che si aggiorna automaticamente record DNS MX, rende possibile avere un server di posta per un dominio anche se l'indirizzo IP WAN non è staticamente assegnato.
Autenticazione Smart Card con protocollo PKINIT che combina Kerberos 5 credenziali e certificati X.509. Purtroppo, a differenza delle altre caratteristiche, non è possibile per supportare l'autenticazione Smartcard in breve tempo, perché MIT Kerberos v5 non implementa il protocollo PKINIT ancora.
Zeroshell è una distribuzione Live CD, che significa che non è necessario installare sul disco fisso poiché può operare direttamente dal CDROM su cui è distribuito. Ovviamente, il database, che contiene tutti i dati e le impostazioni, può essere memorizzato su ATA, SATA, SCSI e dischi USB. Eventuali correzioni di bug di sicurezza possono essere scaricati dal sistema di aggiornamento automatico via Internet e installati nel database. Queste patch verranno automaticamente rimossi dal database successive release del Live CD di Zeroshell già contenente gli aggiornamenti.
E 'anche disponibile una immagine 512MB Compact Flash utile se si deve avviare il dialogo da questo dispositivo invece da CDROM per esempio nei dispositivi embedded per dispositivi di rete. L'immagine Compact Flash ha 400MB disponibile per memorizzare la configurazione ei dati.
Il nome Zeroshell sottolinea il fatto che, anche se si tratta di un sistema Linux (tradizionalmente amministrabile da una shell), tutte le operazioni di gestione possono essere effettuate tramite interfaccia web: infatti, dopo aver assegnato un indirizzo IP tramite VGA o terminale seriale, è sufficiente collegare all'indirizzo assegnato mediante un browser per configurare tutto. Zeroshell è stato testato con successo a lavorare con Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ e Mozilla 1.7.3+.
Costruire Zeroshell
Zeroshell non si basa su una distribuzione già esistente come per esempio Knoppix è basata su Debian. L'autore ha compilato il software tutto di cui la distribuzione è composta a partire dal codice sorgente dei pacchetti tar.gz o tar.bz2. Il compilatore gcc e le glibcs ​​della GNU sono stati compilati troppo e hanno avuto la cosiddetta fase di bootstrap in cui essi stessi hanno ricompilato più volte. Questo è stato necessario ottimizzare il compilatore ed eliminare ogni dipendenza dalle glibcs ​​del sistema da cui la prima compilazione avvenuta. Alcuni degli script di inizializzazione, così come le linee guida seguite dall'autore sono quelli di Linux From Scratch.
Elenco dei componenti Open Source
· Linux per Kernel Linux;
· Httpd Apache per l'interfaccia web di amministrazione krb5 MIT Kerberos 5 server di autenticazione;
· OpenLDAP per server LDAP;
· Ypserv per NIS Server (YP);
· OpenSSL per SSL / TLS Tunnel e gestione CA;
· Freeradius per RADIUS Server + EAP-TLS e PEAP (802.1x);
· Iptables per Firewall Packet Filter e Stateful Packet Inspection (SPI), NAT e Port Forwarding (PAT);
· Openvpn per VPN Ethernet LAN-to-LAN con supporto VLAN 802.1Q;
· Bind per Server DNS;
· Stig Venaas'LDAP SD da utilizzare backend LDAP per binding DNS utilizzando dNSZone schema DHCP per DHCP Server;
· IPP2P modulo iptables per la classificazione di file sharing peer-to-peer;
· Rp-pppoe per PPPoE client per la connessione ADSL;
· Vconfig per Tagged VLAN 802.1Q;
· Bridge-utils per Colmare 802.1d con STP;
· Ppp per connessioni punto a punto IP utilizzati per il PPPoE e PPTP protocollo;
· Quagga per il protocollo RIP versione 2 utilizzato per la gestione routing dinamico;
· Ntp per client e server per la sincronizzazione dell'orologio di sistema NTP;
· Sysklogd per il server Syslog per l'acquisizione e la catalogazione dei log locali e remoti tramite protocollo syslog;
· Arpwatch per il monitoraggio degli eventi ARP quali duplicazione di indirizzi IP, infradito e altri difetti;
· Libpcap per le librerie cattura dei pacchetti utilizzati da arpwatch;
· LZO per la compressione in tempo reale in lan-to-LAN VPN;
· Wget per garantire l'aggiornamento automatico delle patch che trovate su http://www.zeroshell.net/updates;
· Pciutils per il riconoscimento del marchio e il modello delle schede Ethernet su bus PCI;
· Ethtool per il riconoscimento dello stato del collegamento fisico su connessioni Ethernet;
· E2fsprogs per la gestione del filesystem ext2 e ext3;
· Reiserfsprogs per la gestione del file system ReiserFS;
· Dosfstools per la gestione del file system FAT e FAT32 (DOS e Windows);
· Parted per la gestione delle partizioni. In particolare partprobe permette la visualizzazione di nuove partizioni senza riavviare;
· Udev per la gestione automatica di devfs per hotplugs di dischi USB;
· Sudo per aumentare la sicurezza eseguendo Apache come un processo senza privilegi e aumentare i privilegi solo se strettamente necessario;
· Linux-PAM per PAM (Pluggable Authentication Modules).