ZeroShell

Zeroshell je distribuce Linux Live CD zaměřená na poskytování hlavních síťových služeb LAN vyžaduje:
Zde jsou některé klíčové rysy "ZeroShell":
· Kerberos 5 ověřování nebo X.509 certifikáty;
· LDAP, NIS a autorizace RADIUS;
· X509 certifikační autorita pro vydávání a správu elektronických certifikátů;
· Unix a Windows Active Directory interoperability pomocí LDAP a Kerberos 5 cross ověření říše;
· Router s statické a dynamické trasy (RIPv2 s MD5 nebo prostý ověřování textu a Splitu Horizon a Poisoned reverzní algoritmy);
· 802.1D Spanning Tree most s protokolem, aby se zabránilo smyčkám i za přítomnosti redundantních cest;
· 802.1Q Virtual LAN (VLAN označeny);
· Firewall paketový filtr a Stateful Packet Inspection (SPI), filtry, platnými v obou směrování a přemostění na všechny typy rozhraní, včetně VPN a VLAN;
· NAT používat privátní třídy LAN adresy skryté na WAN s veřejnými adresami;
· TCP / UDP port forwarding (PAT), k vytvoření virtuálních serverů. To znamená, že skutečná clusteru serverů bude vidět pouze jedné IP adresy (IP virtuálního serveru), a každý požadavek bude distribuován s Round Robin algoritmem na skutečné servery;
· Multizone DNS server s automatickým řízením in-addr.arpa Reverse usnesení;
· Více podsítě DHCP server s možností upevnění IP v závislosti na MAC adresu klienta;
· Hostitele-to-LAN VPN s L2TP / IPSec, ve kterém L2TP (Layer 2 Tunneling Protocol), ověřeného s Kerberos V5 uživatelské jméno a heslo je shrnuto v IPsec ověřeného s IKE, který používá X.509 certifikáty;
· Hostitele-to-LAN VPN s protokolem PPTP (Point to Point Tunneling Protocol), MPPE (Microsoft Point to Point Encryption) a GRE tunelování
· Lan-to-LAN VPN s zapouzdření Ethernet datagramů v SSL / TLS tunel, s podporou 802.1Q VLAN a konfigurovatelný v lepení pro vyrovnávání zátěže (zvýšení pásmo) nebo odolnost proti chybám (zvýšení spolehlivosti);
· PPPoE klient pro připojení k WAN přes ADSL, DSL a kabelových vedení (vyžaduje vhodný modem);
· Klient Dynamic DNS pro snadné dosáhnout hostitele na WAN, i když IP dynamická;
· NTP (Network Time Protocol) klient a server pro udržení hostitelských hodiny synchronizované;
· RADIUS server pro zajištění bezpečné autentizaci a automatickou správu klíčů WEP k bezdrátové 802.11b, 802.11ga 802.11a sítí podporujících 802.1x protokol v EAP-TLS, EAP-TTLS a PEAP formu nebo méně bezpečné ověřování klient MAC Address; WPA s TKIP a WPA2 s CCMP (802.11i stížnosti) jsou podporovány také; RADIUS server může také, v závislosti na uživatelské jméno, skupiny nebo MAC Adresa žadatelem, umožňují přístup na přednastavené 802.1Q VLAN.
· Syslog server pro příjem a katalogizaci systémové protokoly z produkce počítačů v síti, včetně unixových systémů, směrovače, přepínače, přístupové WI-FI bodů, síťových tiskáren a dalších kompatibilních s protokolem syslog;
· Arpwatch monitor pro sledování ARP událostí na síti, jako je kopírování IP adres, žabky a jiné vady;
· RADIUS server pro zajištění bezpečné autentizaci a automatické správy šifrovacích klíčů k bezdrátové 802.11b, 802.11ga 802.11a sítí podporujících 802.1x protokol v EAP-TLS, EAP-TTLS a PEAP formu nebo méně bezpečné ověřování klient MAC Address; WPA s TKIP a WPA2 s CCMP (802.11i stížnosti) jsou podporovány také; RADIUS server může také, v závislosti na uživatelské jméno, skupiny nebo MAC Adresa žadatelem, umožňují přístup na přednastavené 802.1Q VLAN;
· Captive Portal podporuje webové přihlášení na bezdrátové a kabelové sítě. Zeroshell slouží jako brána pro sítě, na kterých Captive Portal je aktivní a na které IP adresy (obvykle v majetku soukromých podsítí) jsou dynamicky přiděluje DHCP. Klient, který přistupuje k této privátní sítě se musí ověřit sám sebe prostřednictvím webového prohlížeče pomocí protokolu Kerberos 5 uživatelského jména a hesla před stanoveným Zeroshell firewallu umožňuje přístup k veřejné síti LAN. Brány Captive Portal jsou často používány k poskytnutí ověřený přístup k internetu v hotspotů v alternativě k ověřovací protokol 802.1X příliš komplikované konfigurace pro uživatele. Zeroshell implementuje funkcionalitu Captive Portal v nativním způsobem, bez použití jiné specifické software jako NoCat nebo Chillispot;
· QoS (Quality of Service), řízení a traffic shaping řídit provoz přes ucpané sítě. Budete schopni garantovat minimální šířku pásma, omezit šířku pásma max a přiřadit prioritu třídy provozu (užitečné v latenci citlivé síťové aplikace, jako jsou VoIP). Předchozí ladění lze aplikovat na rozhraní Ethernet, VPN, mostů a lepení VPN. Je možné klasifikovat provoz pomocí vrstva, 7 filtry, které umožňují Deep Packet Inspection (dpi), které mohou být užitečné pro formování VoIP a P2P aplikací;
· Hostitele-to-LAN VPN s L2TP / IPSec, ve kterém L2TP (Layer 2 Tunneling Protocol), ověřeného s Kerberos V5 uživatelské jméno a heslo je shrnuto v IPsec ověřeného s IKE, který používá X.509 certifikáty;
· Lan-to-LAN VPN s zapouzdření Ethernet datagramů v SSL / TLS tunel, s podporou 802.1Q VLAN a konfigurovatelný v lepení pro vyrovnávání zátěže (zvýšení pásmo) nebo odolnost proti chybám (zvýšení spolehlivosti);
Router s statických a dynamických trasy (RIPv2 s MD5 nebo prostý ověřování textu a Splitu Horizont a Poisoned reverzní algoritmy);
802.1D Spanning Tree most s protokolem, aby se zabránilo smyčkám i za přítomnosti redundantních cest;
· 802.1Q Virtual LAN (VLAN označeny);
· Firewall paketový filtr a Stateful Packet Inspection (SPI), filtry, platnými v obou směrování a přemostění na všechny typy rozhraní, včetně VPN a VLAN;
· Je možné odmítnout nebo tvar P2P sdílení souborů přenosy pomocí IPP2P iptables modul Firewall a QoS klasifikátora;
NAT se používat soukromé třídy LAN adresy skryté na WAN s veřejnými adresami;
· TCP / UDP port forwarding (PAT), k vytvoření virtuálních serverů. To znamená, že skutečná clusteru serverů bude vidět pouze jedné IP adresy (IP virtuálního serveru), a každý požadavek bude distribuován s Round Robin algoritmem na skutečné servery;
· Multizone DNS server s automatickým řízením in-addr.arpa Reverse usnesení;
· Více podsítě DHCP server s možností upevnění IP v závislosti na MAC adresu klienta;
· PPPoE klient pro připojení k WAN přes ADSL, DSL a kabelových vedení (vyžaduje vhodný modem);
· Klient Dynamic DNS pro snadné dosáhnout hostitele na WAN, i když IP dynamická;
· NTP (Network Time Protocol) klient a server pro udržení hostitelských hodiny synchronizované;
· Syslog server pro příjem a katalogizaci systémové protokoly z produkce počítačů v síti, včetně unixových systémů, směrovače, přepínače, přístupové WI-FI bodů, síťových tiskáren a dalších kompatibilních s protokolem syslog;
· Kerberos 5 autentizaci pomocí integrovaného KDC a křížové ověření mezi říší;
· LDAP, NIS a autorizace RADIUS;
· X509 certifikační autorita pro vydávání a správu elektronických certifikátů;
· Unix a Windows interoperability Active Directory pomocí LDAP a Kerberos 5 křížové ověřování sféry.
· Následující funkce budou k dispozici v blízké budoucnosti a jsou zahrnuty do vydání 1.0.0:
Web proxy server, aby centrální webové mezipaměti, který je schopen blokovat webové stránky obsahující virus. Tato funkce je implementována pomocí antivirus ClamAV a Squid proxy server. Proxy server může být nakonfigurován pro práci v režimu transparentní proxy, ve kterém, nemusíte konfigurovat webové prohlížeče ji používat, ale požadavky HTTP bude automaticky přesměrován na proxy.
Arpwatch monitor pro sledování ARP událostí na síti, jako je kopírování IP adres, žabky a jiné vady;
Hostitele-to-LAN VPN s protokolem PPTP (Point to Point Tunneling Protocol), MPPE (Microsoft Point to Point Encryption) a GRE tunelování;
Následující funkce budou k dispozici v příštích verzích novější než 1.0.0:
Režim HostAP pro bezdrátové síťové karty pomocí Intersilu Prism2 / 2,5 / 3 čipové sady. Jinými slovy, Zeroshell box s jedním z těchto WiFi karet by se mohl stát IEEE 802.11b / g přístupový bod poskytující spolehlivé ověřování a dynamické klíče WEP Exchange 802.1X a WPA protokolů. Samozřejmě, ověřování probíhá pomocí EAP-TLS a PEAP přes integrovaný RADIUS serveru;
IMAP v4 server spravovat poštovní schránky s ověřování poskytované integrovanou Kerberos 5 serveru;
SMTP server pro příjem, odesílání a maily trasy v závislosti na SMTP směrování mapě uloženého na integrovaném LDAP serveru. Příchozí a odchozí maily jsou spam a viry zkontrolován antispamu a antiviru filtry auto aktualizován z Internetu. Kromě toho, podporovaný dynamický DNS klient, který se automaticky aktualizuje DNS MX záznam, je možné, že poštovní server pro doménu i v případě, že adresa WAN IP není staticky přiřazena.
Ověřování Smart Card používáte PKINIT protokolu, který kombinuje Kerberos 5 pověření a X.509 certifikáty. Bohužel, na rozdíl od ostatních prvků, není možné podporovat Smartcard ověřování v krátké době, protože MIT Kerberos v5 neprovádí PKINIT protokol dosud.
Zeroshell je distribuce Live CD, což znamená, že není nutné instalovat na pevný disk, protože může působit přímo z CD, na kterých je distribuován. Je zřejmé, že databáze, která obsahuje všechna data a nastavení, mohou být uloženy na ATA, SATA, SCSI a USB disky. Veškeré bezpečnostní opravy chyb lze stáhnout z automatické aktualizace systému pomocí internetu a nainstalovat do databáze. Tyto opravy budou automaticky odstraněny z databáze podle následujících vydáních Zeroshell Live CD, které již obsahují aktualizace.
Je také k dispozici obraz 512MB Compact Flash užitečné, pokud máte o spuštění box z tohoto přístroje místo z CD-ROM, například v embedded zařízení pro síťová zařízení. Obraz Compact Flash má 400 megabajt k dispozici pro uložení konfigurace a data.
Jméno Zeroshell podtrhuje skutečnost, že i když je systém Linux (tradičně podatelně z shellu), všechny operace správy lze provést přes webové rozhraní: opravdu, po přiřazena IP adresu přes VGA nebo sériový terminál, stačí připojit na přidělené adresy pomocí prohlížeče konfigurovat všechno. Zeroshell byla úspěšně testována pro práci s Firefoxem 1.0.6+, Internet Explorer 6+, Netscape 7.2+ e Mozilla 1.7.3+.
Stavební Zeroshell
Zeroshell není založen na již existující distribuci jako například Knoppix je založena na Debianu. Autor sestavil celý software, jehož distribuce je složený od zdrojového kódu v tar.gz nebo tar.bz2 paketů. Kompilátor gcc a glibcs ​​z GNU byly vypracovány a taky měli tzv fázi bootstrap, ve kterém překompilovat sami vícekrát. Toto bylo nutné optimalizovat kompilátor a odstranit všechny závislosti od glibcs ​​systému, z nichž první kompilace došlo. Některé z inicializačních skriptů, jakož i směry následuje autorem jsou Linux od nuly.
Seznam Source komponenty open
· Linux pro Linux Kernel;
· Httpd Apache pro správu webového rozhraní krb5 MPO na Kerberos 5 Authentication Server;
· OpenLDAP pro LDAP server;
· Ypserv NIS server (YP);
· Openssl pro SSL / TLS tunel a řízení CA;
· FreeRADIUS RADIUS serveru + EAP-TLS a PEAP (802.1x);
· Iptables pro Firewall paketového filtru a Stateful Packet Inspection (SPI), NAT a Port Forwarding (PAT);
· OpenVPN pro LAN-to-LAN Ethernet VPN s podporou VLAN 802.1Q;
· Bind pro server DNS;
· Stig Venaas'LDAP SD používat LDAP backend pro BIND DNS pomocí dNSZone schématu DHCP serveru DHCP;
· IPP2P iptables modul pro zařazení na peer-to-peer sdílení souborů;
· Rp-pppoe pro PPPoE klienta pro připojení ADSL;
· Vconfig pro Tagged VLAN 802.1Q;
· Mostů utils pro překlenutí 802.1D s STP;
· PPP bodu do bodu IP spojení se používají k PPPoE a protokolu PPTP;
· Quagga pro RIP protokol verze 2 používá pro dynamické řízení směrování;
· NTP pro NTP klient a server pro synchronizaci systémových hodin;
· Sysklogd na Syslog server na pořízení a katalogizace lokálních a vzdálených protokolů přes syslog protokolu;
· Arpwatch pro monitorování ARP událostí, jako je kopírování IP adres, žabky a další poruchy;
· Libpcap pro Packet Zachytit knihovny používané arpwatch;
· Lzo pro real-time kompresí v LAN-to-LAN VPN;
· Wget pro zajištění automatické aktualizace s náplastí nalézt na http://www.zeroshell.net/updates;
· Pciutils uznání značky a modelu Ethernet karet na sběrnici PCI;
· Ethtool o uznání statusu fyzické odkaz na Ethernet;
· E2fsprogs nakládání s ext2 a ext3;
· Reiserfsprogs nakládání s ReiserFS souborových systémů;
· Dosfstools nakládání s FAT a FAT32 (DOS a Windows) souborových systémů;
· Rozešli pro správu diskových oddílů. Zejména partprobe umožňuje prohlížení nových diskových oddílů bez restartu;
· Udev pro automatické řízení devfs pro hotplugs disků USB;
· Sudo pro zvýšení bezpečnosti spuštěním Apache jako neoprávnění procesu a zvýšit oprávnění pouze tehdy, pokud to nezbytně nutné;
· Linux-PAM pro PAM (Pluggable Authentication Modules).