ZeroShell

Zeroshell er en Linux Live-CD distribusjon sikte på å gi de viktigste nettverkstjenester et LAN krever:
Her er noen viktige trekk ved "ZeroShell":
· Kerberos 5 autentisering eller med X.509 sertifikater;
· LDAP, NIS og RADIUS autorisasjon;
· X509 sertifiseringsinstans for utstedelse og administrasjon av elektroniske sertifikater;
· Unix og Windows Active Directory interoperabilitet bruker LDAP og Kerberos 5 kryss riket godkjenning;
· Ruter med statiske og dynamiske ruter (ripv2 med MD5 eller ren tekst autentisering og Split Horizon og Poisoned Reverse algoritmer);
· 802.1d bro med Spanning Tree-protokollen for å unngå løkker selv i nærvær av redundante baner;
· 802.1Q Virtual LAN (merket VLAN);
· Firewall Packet Filter og Stateful Packet Inspection (SPI) med filtre som gjelder i både ruting og bygge bro på alle typer grensesnitt inkludert VPN og VLAN;
· NAT å bruke private klasse LAN adresser skjult på WAN med offentlige adresser;
· TCP / UDP port forwarding (PAT) for å lage virtuelle servere. Dette betyr at ekte server cluster vil bli sett med kun én IP-adresse (IP av den virtuelle server) og hver forespørsel vil bli distribuert med Round Robin algoritme til de virkelige servere;
· Multizone DNS server med automatisk styring av Reverse Resolution in-addr.arpa;
· Multi subnett DHCP-server med mulighet for å fikse IP avhengig av klientens MAC-adresse;
· Host-til-lan VPN med L2TP / IPsec der L2TP (Layer 2 Tunneling Protocol) autentisert med Kerberos v5 brukernavn og passord er innkapslet i IPsec autentisert med IKE som bruker X.509 sertifikater;
· Host-til-lan VPN med PPTP-protokollen (Point to Point Tunneling Protocol), MPPE (Microsoft punkt til punkt kryptering) og GRE tunneling
· Lan-to-lan VPN med innkapsling av Ethernet datagrammer i SSL / TLS tunnel, med støtte for 802.1Q VLAN og konfigurerbart i bonding for lastbalansering (band økning) eller feiltoleranse (pålitelighet økning);
· PPPoE klient for tilkobling til WAN via ADSL, DSL og kabel linjer (krever en egnet MODEM);
· Dynamisk DNS-klient som brukes til å enkelt nå vert på WAN selv når IP er dynamisk;
· NTP (Network Time Protocol) klient og server for å holde verts klokkene synkronisert;
· RADIUS-server for å gi sikker autentisering og automatisk styring av WEP-nøkler til de trådløse 802.11b, 802.11g og 802.11a-nettverk som støtter 802.1x-protokollen i EAP-TLS, EAP-TTLS og PEAP skjema eller mindre sikker autentisering av klient MAC-adresse; WPA med TKIP og WPA2 med CCMP (802.11i klage) støttes også; RADIUS-serveren kan også, avhengig av brukernavn, gruppe eller MAC-adressen til søkeren, du får tilgang på en forhåndsinnstilt 802.1Q VLAN.
· Syslog-server for mottak og katalogisering av systemlogger produsert av eksterne verter inkludert Unix-systemer, rutere, svitsjer, WI-FI tilgangspunkter, nettverksskrivere og andre kompatible med syslog-protokollen;
· Arpwatch monitor for overvåking ARP hendelser på LAN som duplisering av IP-adresser, flip-flops og andre feil;
· RADIUS-server for å gi sikker autentisering og automatisk styring av krypteringsnøkler til de trådløse 802.11b, 802.11g og 802.11a-nettverk som støtter 802.1x-protokollen i EAP-TLS, EAP-TTLS og PEAP skjema eller mindre sikker autentisering av klient MAC-adresse; WPA med TKIP og WPA2 med CCMP (802.11i klage) støttes også; RADIUS-serveren kan også, avhengig av brukernavn, gruppe eller MAC-adressen til søkeren, du får tilgang på en forhåndsinnstilt 802.1Q VLAN;
· Captive Portal for å støtte web innlogging på trådløse og kablede nettverk. Zeroshell fungerer som gateway for nettverkene der Captive Portal er aktiv og på hvilke IP-adresser (vanligvis tilhører private subnett) er dynamisk tildelt av DHCP. En klient som har tilgang til dette privat nettverk må autentisere seg via en nettleser med Kerberos 5 brukernavn og passord før Zeroshell brannmur gjør det mulig å få tilgang til offentlig LAN. De Captive Portal gatewayer blir ofte brukt til å formidle godkjent Internett-tilgang i hotspots i alternativ til 802.1X-godkjenningsprotokoll for komplisert å konfigurere for brukerne. Zeroshell implementerer funksjonaliteten Captive Portal i native måte, uten å bruke annen spesifikk programvare som NoCat eller chilli;
· QoS (Quality of Service) ledelse og trafikkforming å kontrollere trafikken over et overbelastet nettverk. Du vil være i stand til å garantere minimum båndbredde, begrense maks båndbredde og tildele en prioritet til en trafikk klasse (nyttig i latency-sensitive nettverk applikasjoner som VoIP). Den forrige tuning kan brukes på Ethernet-grensesnitt, VPN, broer og VPN-bindinger. Det er mulig å klassifisere trafikken ved hjelp av Layer 7 filtre som lar Deep Packet Inspection (DPI) som kan være nyttig å forme VoIP og P2P-programmer;
· Host-til-lan VPN med L2TP / IPsec der L2TP (Layer 2 Tunneling Protocol) autentisert med Kerberos v5 brukernavn og passord er innkapslet i IPsec autentisert med IKE som bruker X.509 sertifikater;
· Lan-to-lan VPN med innkapsling av Ethernet datagrammer i SSL / TLS tunnel, med støtte for 802.1Q VLAN og konfigurerbart i bonding for lastbalansering (band økning) eller feiltoleranse (pålitelighet økning);
Ruter med statiske og dynamiske ruter (ripv2 med MD5 eller ren tekst autentisering og Split Horizon og Poisoned Reverse algoritmer);
802.1d bro med Spanning Tree-protokollen for å unngå løkker selv i nærvær av redundante baner;
· 802.1Q Virtual LAN (merket VLAN);
· Firewall Packet Filter og Stateful Packet Inspection (SPI) med filtre som gjelder i både ruting og bygge bro på alle typer grensesnitt inkludert VPN og VLAN;
· Det er mulig å avvise eller forme P2P fildeling trafikk ved hjelp IPP2P iptables modul i Brannmur og QoS Classifier;
NAT å bruke private klasse LAN adresser skjult på WAN med offentlige adresser;
· TCP / UDP port forwarding (PAT) for å lage virtuelle servere. Dette betyr at ekte server cluster vil bli sett med kun én IP-adresse (IP av den virtuelle server) og hver forespørsel vil bli distribuert med Round Robin algoritme til de virkelige servere;
· Multizone DNS server med automatisk styring av Reverse Resolution in-addr.arpa;
· Multi subnett DHCP-server med mulighet for å fikse IP avhengig av klientens MAC-adresse;
· PPPoE klient for tilkobling til WAN via ADSL, DSL og kabel linjer (krever en egnet MODEM);
· Dynamisk DNS-klient som brukes til å enkelt nå vert på WAN selv når IP er dynamisk;
· NTP (Network Time Protocol) klient og server for å holde verts klokkene synkronisert;
· Syslog-server for mottak og katalogisering av systemlogger produsert av eksterne verter inkludert Unix-systemer, rutere, svitsjer, WI-FI tilgangspunkter, nettverksskrivere og andre kompatible med syslog-protokollen;
· Kerberos 5 autentisering ved hjelp av en integrert KDC og cross-autentisering mellom rikene;
· LDAP, NIS og RADIUS autorisasjon;
· X509 sertifiseringsinstans for utstedelse og administrasjon av elektroniske sertifikater;
· Unix og Windows Active Directory interoperabilitet bruker LDAP og Kerberos 5 kryss riket godkjenning.
· Følgende funksjoner vil være tilgjengelig i nær fremtid og inkludert i utgivelsen 1.0.0:
Web proxy-server for å ha en sentralisert web cache som er i stand til å blokkere nettsider som inneholder virus. Denne funksjonen er implementert ved hjelp av ClamAV antivirus og Squid proxy-server. Proxy-server kan konfigureres til å arbeide i gjennomsiktig proxy-modus, der, trenger du ikke å konfigurere nettlesere til å bruke det, men http forespørsler vil automatisk bli omdirigert til proxy.
Arpwatch monitor for overvåking ARP hendelser på LAN som duplisering av IP-adresser, flip-flops og andre feil;
Host-til-lan VPN med PPTP-protokollen (Point to Point Tunneling Protocol), MPPE (Microsoft punkt til punkt kryptering) og GRE tunneling;
Følgende funksjoner vil være tilgjengelig i de neste utgivelsene nyere enn 1.0.0:
HostAP modus for trådløse nettverkskort som bruker Intersil Prism2 / 2,5 / 3 brikkesett. Med andre ord kan en Zeroshell boks med en av slike WiFi kort bli en IEEE 802.11b / g aksesspunkt som gir pålitelig autentisering og dynamisk WEP-nøkler utveksling av 802.1X og WPA-protokoller. Selvfølgelig tar autentiserings plass med EAP-TLS og PEAP over integrert RADIUS-server;
IMAP v4 server for å administrere postkasser med godkjenning gitt av den integrerte Kerberos 5-serveren;
SMTP-server for å motta, sende og rute post avhengig av SMTP-ruting kart på det integrerte LDAP-serveren. Innkommende og outcoming post er spam og virus sjekket av antispam og antivirus filtre automatisk oppdatert fra Internett. Videre støttet dynamisk DNS klient, som oppdaterer DNS MX-post automatisk, gjør det mulig å ha en e-postserver for et domene også hvis WAN IP-adresse ikke er statisk tildelt.
Smart Card autentisering ved hjelp PKINIT protokoll som kombinerer Kerberos 5 legitimasjon og X.509 sertifikater. Dessverre, i motsetning til de andre funksjonene, er det ikke mulig å støtte for smartkort autentisering i kort tid fordi MIT Kerberos v5 ikke implementerer PKINIT protokollen ennå.
Zeroshell er en Live CD distribusjon, noe som betyr at det er ikke nødvendig å installere det på harddisken, siden det kan operere direkte fra CD på den er distribuert. Selvfølgelig, databasen, som inneholder alle data og innstillinger, kan lagres på ATA, SATA, SCSI og USB-disker. Eventuelle sikkerhet feilrettinger kan lastes ned fra den automatiske oppdateringssystemet via Internett og installert i databasen. Disse flekkene blir automatisk fjernet fra databasen ved senere utgivelser av den Zeroshell Live-CD som allerede inneholder oppdateringene.
Det er også tilgjengelig en 512 Compact Flash image nyttig hvis du har til å starte opp din boksen fra denne enheten i stedet fra CDROM for eksempel i de innebygde enheter for nettverk apparater. Compact Flash bildet har 400MB tilgjengelig til å lagre konfigurasjonen og data.
Navnet Zeroshell understreker at selv om det er et Linux-system (tradisjonelt administreres fra et skall), kan alle administrasjons operasjoner utføres via webgrensesnitt: ja, etter å ha tildelt en IP-adresse via en VGA eller seriell terminal, bare koble til den tilordnede adressen ved hjelp av en nettleser til å konfigurere alt. Zeroshell ble testet for å fungere med Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ e Mozilla 1.7.3+.
Building Zeroshell
Zeroshell er ikke basert på en allerede eksisterende fordeling som for eksempel Knoppix er basert på Debian. Forfatteren har samlet hele programvaren som fordelingen er sammensatt fra kildekoden i tar.gz eller tar.bz2 pakker. Kompilatoren gcc og glibcs ​​i GNU er utarbeidet for og har hatt den såkalte fase av bootstrap hvor de har rekompileres seg flere ganger. Dette har vært nødvendig for å optimalisere kompilatoren og for å eliminere enhver avhengighet av de glibcs ​​av ​​systemet fra hvilken den første sammenstilling fant sted. Noen av initialisering skript, samt retningslinjene etterfulgt av forfatteren er de av Linux fra bunnen av.
Liste over åpen kildekode-komponenter
· Linux for Linux Kernel;
· Httpd Apache for administrasjon webgrensesnitt krb5 MIT for Kerberos 5 Authentication Server;
· Openldap for LDAP-server;
· Ypserv for NIS Server (YP);
· Openssl for SSL / TLS-tunnelen og CA ledelse;
· Freeradius for RADIUS-server + EAP-TLS og PEAP (802.1x);
· Iptables for brannmur Packet Filter og Stateful Packet Inspection (SPI), NAT og Port Forwarding (PAT);
· OpenVPN for lan-til-lan ethernet VPN med VLAN 802.1Q støtte;
· Bind for DNS-server;
· Stig Venaas'LDAP SD å bruke LDAP backend for bind DNS hjelp dNSZone skjema dhcp for DHCP Server;
· IPP2P iptables modul for peer-to-peer fildeling klassifisering;
· Rp-PPPoE for PPPoE klient for ADSL-tilkobling;
· Vconfig for Tagged VLAN 802.1Q;
· Bro-utils for Bridging 802.1d med STP;
· Ppp for Punkt til punkt IP-tilkoblinger brukes for PPPoE og PPTP-protokollen;
· Quagga for RIP protokoll versjon 2 brukes for dynamisk ruting ledelse;
· NTP for NTP klient og server for systemklokkesynkronisering;
· Sysklogd for Syslog-server for erverv og katalogisering av lokale og eksterne logger via syslog protokollen;
· Arpwatch for Overvåking av ARP arrangementer som duplisering av IP-adresser, flip flops og andre feil;
· Libpcap for Packet Capture biblioteker som brukes av arpwatch;
· LZO for Real-time kompresjon i lan-til-lan VPN;
· Wget for å garantere automatisk oppdatering med patcher som finnes på http://www.zeroshell.net/updates;
· Pciutils for anerkjennelse av merke og modell av Ethernet-kort på PCI-bussen;
· Ethtool for anerkjennelse av status for den fysiske koblingen på Ethernet-tilkoblinger;
· E2fsprogs for forvaltning av ext2 og ext3 filsystemer;
· Reiserfsprogs for forvaltning av ReiserFS filsystemer;
· Dosfstools for forvaltning av FAT og FAT32 (DOS og Windows) filsystemer;
· Skiltes for partisjon. Spesielt partprobe lar deg se nye partisjoner uten å restarte;
· Udev for automatisk styring av devfs for hotplugs av USB-disker;
· Sudo for å øke sikkerheten ved å kjøre Apache som en svakstilte prosess og økende privilegier bare hvis strengt nødvendig;
· Linux-PAM for PAM (Pluggable Authentication Modules).