ZeroShell

Zeroshell é uma distribuição Linux Live CD do destinado a fornecer os principais serviços de rede a LAN requer:
Aqui estão algumas características-chave de "Zeroshell":
· Autenticação Kerberos 5 ou com certificados X.509;
· LDAP, NIS e autorização RADIUS;
· X509 autoridade de certificação para a emissão e gerenciamento de certificados electrónicos;
· Unix e Windows Active Directory usando LDAP interoperabilidade eo domínio de autenticação Kerberos 5 cruz;
· Router com rotas estáticas e dinâmicas (RIPv2 com autenticação de texto simples ou MD5 e Split Horizon e Poisoned Versos algoritmos);
· Ponte 802.1d com o protocolo Spanning Tree para evitar loops, mesmo na presença de caminhos redundantes;
· 802.1Q Virtual LAN (VLAN com etiquetas);
· Firewall filtro de pacotes e Stateful Packet Inspection (SPI) com filtros aplicáveis ​​tanto em roteamento e ponte em todos os tipos de interfaces, incluindo VPN e VLAN;
· NAT usar classe endereços LAN privados escondidos na WAN com endereços públicos;
· / Encaminhamento de porta UDP TCP (PAT) para criar servidores virtuais. Isto significa que cluster de servidor de verdade vai ser visto com apenas um endereço IP (o endereço IP do servidor virtual) e cada pedido será distribuído com o Round Robin algoritmo para os servidores reais;
· Servidor de DNS Multizone com a gestão automática da resolução reversa in-addr.arpa;
· Multi servidor DHCP de sub-rede, com a possibilidade de fixar IP dependendo endereço MAC do cliente;
· Host-to-lan VPN com L2TP / IPsec em que L2TP (Layer 2 Tunneling Protocol) autenticado com Kerberos v5 nome de usuário e senha é encapsulado dentro IPsec autenticado com IKE que utiliza certificados X.509;
· Host-to-lan VPN com protocolo PPTP (Point to Point Tunneling Protocol), MPPE (Microsoft Point to Point Encryption) e GRE tunneling
· Lan-to-lan VPN com encapsulamento de datagramas Ethernet em SSL / TLS túnel, com suporte para 802.1Q VLAN e configurável na ligação para balanceamento de carga (aumento band) ou tolerância a falhas (aumento de confiabilidade);
· Cliente PPPoE para conexão à WAN através de linhas ADSL, cabo e DSL (requer um MODEM adequado);
· Cliente DNS dinâmico utilizado para chegar facilmente ao alojamento na WAN, mesmo quando o IP é dinâmico;
· NTP (Network Time Protocol) cliente e servidor para manter os relógios sincronizados de acolhimento;
· Servidor RADIUS para fornecer autenticação segura e gerenciamento automático das chaves WEP para as redes 802.11b, 802.11ge 802.11a sem fio que suportam o protocolo 802.1x no EAP-TLS, EAP-TTLS e PEAP forma ou a autenticação menos seguro do cliente MAC Address; WPA e WPA2 com TKIP com CCMP (802.11i reclamação) também são suportados; o servidor RADIUS pode também, dependendo do nome de usuário, grupo ou MAC Address do suplicante, permitir o acesso em uma VLAN 802.1Q preset.
· Servidor Syslog para receber e catalogar os registros do sistema produzidos pelas máquinas remotas, incluindo sistemas Unix, roteadores, switches, pontos de acesso WI-FI, impressoras de rede e outros compatíveis com o protocolo syslog;
· Arpwatch monitorar para monitorar eventos ARP na rede local, como a duplicação de endereços IP, flip-flops e outras falhas;
· Servidor RADIUS para fornecer autenticação segura e gerenciamento automático de chaves de criptografia para as redes 802.11b, 802.11ge 802.11a sem fio que suportam o protocolo 802.1x no EAP-TLS, EAP-TTLS e PEAP forma ou a autenticação menos seguro do cliente MAC Address; WPA e WPA2 com TKIP com CCMP (802.11i reclamação) também são suportados; o servidor RADIUS pode também, dependendo do nome de usuário, grupo ou MAC Address do suplicante, permitir o acesso em uma VLAN 802.1Q preset;
· Captive Portal para apoiar o início de sessão web em redes sem fio e cabeadas. Zeroshell atua como porta de entrada para as redes em que o Portal Captive está ativa e em que os endereços IP (geralmente pertencentes a sub-redes privadas) são atribuídos dinamicamente pelo DHCP. Um cliente que acessa esta rede privada deve autenticar-se através de um navegador da Web usando Kerberos 5 nome de usuário e senha antes de firewall do Zeroshell lhe permite acessar a LAN público. Os gateways Captive Portal são muitas vezes utilizados para fornecer acesso à Internet autenticado nos HotSpots em alternativa ao protocolo de autenticação 802.1X muito complicado para configurar para os usuários. Zeroshell implementa a funcionalidade do Captive Portal em forma nativa, sem utilizar nenhum outro software específico como NoCat ou Chillispot;
· QoS (Quality of Service) gestão e modelagem de tráfego para controlar o tráfego em uma rede congestionada. Você será capaz de garantir a largura de banda mínima, limitar a largura de banda máxima e atribuir uma prioridade a uma classe de tráfego (útil em aplicações de rede sensíveis à latência, como VoIP). A afinação anterior pode ser aplicado em Interfaces Ethernet, VPNs, pontes e bondings VPN. É possível classificar o tráfego usando a Camada 7 filtros que permitem que o Deep Packet Inspection (DPI), que podem ser úteis para modelar aplicações de VoIP e P2P;
· Host-to-lan VPN com L2TP / IPsec em que L2TP (Layer 2 Tunneling Protocol) autenticado com Kerberos v5 nome de usuário e senha é encapsulado dentro IPsec autenticado com IKE que utiliza certificados X.509;
· Lan-to-lan VPN com encapsulamento de datagramas Ethernet em SSL / TLS túnel, com suporte para 802.1Q VLAN e configurável na ligação para balanceamento de carga (aumento band) ou tolerância a falhas (aumento de confiabilidade);
Router com rotas estáticas e dinâmicas (RIPv2 com autenticação de texto simples ou MD5 e Split Horizon e algoritmos Poisoned reverso);
Bridge 802.1d com o protocolo Spanning Tree para evitar loops, mesmo na presença de caminhos redundantes;
· 802.1Q Virtual LAN (VLAN com etiquetas);
· Firewall filtro de pacotes e Stateful Packet Inspection (SPI) com filtros aplicáveis ​​tanto em roteamento e ponte em todos os tipos de interfaces, incluindo VPN e VLAN;
· É possível rejeitar ou forma P2P File Sharing tráfego usando módulo iptables ipp2p no Firewall e QoS classificador;
NAT usar classe endereços LAN privados escondidos na WAN com endereços públicos;
· / Encaminhamento de porta UDP TCP (PAT) para criar servidores virtuais. Isto significa que cluster de servidor de verdade vai ser visto com apenas um endereço IP (o endereço IP do servidor virtual) e cada pedido será distribuído com o Round Robin algoritmo para os servidores reais;
· Servidor de DNS Multizone com a gestão automática da resolução reversa in-addr.arpa;
· Multi servidor DHCP de sub-rede, com a possibilidade de fixar IP dependendo endereço MAC do cliente;
· Cliente PPPoE para conexão à WAN através de linhas ADSL, cabo e DSL (requer um MODEM adequado);
· Cliente DNS dinâmico utilizado para chegar facilmente ao alojamento na WAN, mesmo quando o IP é dinâmico;
· NTP (Network Time Protocol) cliente e servidor para manter os relógios sincronizados de acolhimento;
· Servidor Syslog para receber e catalogar os registros do sistema produzidos pelas máquinas remotas, incluindo sistemas Unix, roteadores, switches, pontos de acesso WI-FI, impressoras de rede e outros compatíveis com o protocolo syslog;
· Kerberos de autenticação 5 utilizando uma autenticação cruzamento entre reinos KDC integrada e;
· LDAP, NIS e autorização RADIUS;
· X509 autoridade de certificação para a emissão e gerenciamento de certificados electrónicos;
· Unix e Windows interoperabilidade Active Directory usando LDAP e autenticação Kerberos 5 reino cruz.
· As seguintes funcionalidades estarão disponíveis em um futuro próximo e incluído no 1.0.0 release:
Servidor proxy Web para ter um cache web centralizada que é capaz de bloquear as páginas da web que contenham vírus. Esse recurso é implementado usando o antivírus ClamAV e servidor proxy Squid. O servidor proxy pode ser configurado para funcionar no modo de proxy transparente, em que, você não precisa configurar os navegadores da web para usá-lo, mas as solicitações HTTP será automaticamente redirecionado para o proxy.
Arpwatch monitor para monitorar eventos ARP na rede local, como a duplicação de endereços IP, flip-flops e outras falhas;
Host-to-lan VPN com protocolo PPTP (Point to Point Tunneling Protocol), MPPE (Microsoft Point to Point Encryption) e tunelamento GRE;
Os seguintes recursos estarão disponíveis nas próximas versões mais recentes do que 1.0.0:
Modo HostAP para placas de rede sem fio usando Intersil Prism2 / 2,5 / 3 chipsets. Em outras palavras, uma caixa Zeroshell com um desses cartões Wi-Fi pode se tornar um IEEE 802.11b / g Access Point fornecendo autenticação confiável e dinâmico chaves WEP troca por protocolos 802.1X e WPA. É claro que a autenticação ocorre usando EAP-TLS e PEAP sobre o servidor RADIUS integrado;
Servidor IMAP v4 para gerenciar as caixas de correio com a autenticação prevista pelo integrada Kerberos 5 servidor;
Servidor SMTP para receber, enviar e-mails de rota dependendo mapa de encaminhamento SMTP armazenados no servidor LDAP integrado. Os e-mails recebidos e outcoming são spam e vírus verificada pelo antispam e antivírus filtros auto atualizado de Internet. Além disso, o cliente DNS dinâmico suportado, que atualiza automaticamente registro DNS MX, torna possível ter um servidor de correio para um domínio também se o endereço IP WAN não é atribuído estaticamente.
Autenticação de cartão inteligente usando o protocolo PKINIT que combina Kerberos 5 credenciais e certificados X.509. Infelizmente, ao contrário das outras características, não é possível para suportar a autenticação de cartão inteligente em curto espaço de tempo, porque MIT Kerberos v5 não implementa protocolo PKINIT ainda.
Zeroshell é uma distribuição vivo CD, o que significa que não é necessário para instalá-lo no disco rígido, uma vez que pode operar directamente a partir do CD-ROM em que é distribuída. Obviamente, a base de dados, que contém todos os dados e configurações, pode ser armazenado na ATA, SATA, SCSI e discos USB. Quaisquer correções de bugs de segurança pode ser descarregado a partir do sistema de atualização automática via Internet e instalado no banco de dados. Essas manchas serão automaticamente removidos do banco de dados por versões subseqüentes do Live CD Zeroshell já contendo as atualizações.
Também está disponível uma imagem de 512MB Compact Flash útil se você tem que arrancar o seu caixa a partir deste dispositivo, em vez de CDROM por exemplo, nos dispositivos embarcados para dispositivos de rede. A imagem Compact Flash tem 400MB disponíveis para armazenar a configuração e dados.
O nome Zeroshell sublinha o facto de que, embora seja um sistema Linux (tradicionalmente administráveis ​​a partir de um shell), todas as operações de administração pode ser realizada via interface Web: na verdade, depois de ter atribuído um endereço IP através de um terminal serial VGA ou, simplesmente conecte para o endereço atribuído por meio de um navegador para configurar tudo. Zeroshell foi testado com sucesso para trabalhar com Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ e Mozilla 1.7.3+.
Edifício Zeroshell
Zeroshell não é baseado em uma distribuição já existente como, por exemplo, Knoppix é baseado em Debian. O autor compilou todo o software de que a distribuição é composto a partir do código de origem nos pacotes tar.gz. ou tar.bz2. O compilador gcc e os glibcs ​​da GNU foram compilados e também tiveram a chamada fase de inicialização em que eles têm recompilados-se mais vezes. Isto foi necessário para optimizar o compilador e para eliminar todos os dependência das glibcs ​​do sistema a partir do qual a primeira compilação ocorreu. Alguns dos scripts de inicialização, bem como as orientações seguidas pelo autor são as do Linux From Scratch.
Lista de componentes de código aberto
· Linux para Linux Kernel;
· Httpd Apache para a Administração interface web MIT krb5 para autenticação Kerberos 5 Server;
· Openldap para LDAP Server;
· Ypserv para NIS Server (YP);
· OpenSSL para SSL / TLS Tunnel e gestão CA;
· Freeradius para servidor RADIUS + EAP-TLS e PEAP (802.1x);
· Iptables para o Firewall do filtro de pacotes e Stateful Packet Inspection (SPI), NAT e Port Forwarding (PAT);
· OpenVPN para VPN lan-to-lan ethernet com suporte VLAN 802.1Q;
· Ligam para o servidor DNS;
· Stig Venaas'LDAP SD para usar backend LDAP para o bind DNS utilizando dnsZone esquema dhcp para DHCP Server;
· Ipp2p módulo iptables para a classificação de compartilhamento de arquivos peer-to-peer;
· Rp-pppoe para PPPoE Client para conexão ADSL;
· Vconfig para Tagged VLAN 802.1Q;
· Bridge-utils para Bridging 802.1d com STP;
· Ppp para conexões ponto a ponto IP usados ​​para o PPPoE e protocolo PPTP;
· Quagga para o protocolo RIP versão 2 usado para gerenciamento de roteamento dinâmico;
· NTP para cliente e servidor para a sincronização do relógio do sistema NTP;
· Sysklogd para servidor Syslog para a aquisição e catalogação de registos locais ou remotos via protocolo syslog;
· Arpwatch de Monitoramento de eventos ARP, como a duplicação de endereços IP, chinelos e outros defeitos;
· Libpcap para bibliotecas de captura de pacotes usados ​​por arpwatch;
· Lzo para compressão em tempo real em lan-to-LAN VPNs;
· Wget para garantir a atualização automática com as manchas encontradas em http://www.zeroshell.net/updates;
· Pciutils para o reconhecimento da marca e modelo dos cartões Ethernet em bus PCI;
· Ethtool para o reconhecimento do status do link físico em conexões Ethernet;
· E2fsprogs para a gestão de arquivos ext2 e ext3;
· Reiserfsprogs para a gestão de sistemas de arquivos ReiserFS;
· Dosfstools para a gestão do FAT e FAT32 (DOS e Windows) sistemas de arquivos;
· Se separaram para a gestão de partição. Em particular partprobe permite visualizar novas partições sem reiniciar;
· Udev para gerenciamento automático de devfs para hotplugs de discos USB;
· Sudo para aumentar a segurança, executando Apache como um processo sem privilégios e aumentando privilégios somente se estritamente necessário;
· Linux-PAM para PAM (Pluggable Authentication Modules).