ZeroShell

ZeroShell є розподіл Linux Live CD, спрямовані на забезпечення основних мережевих служб ЛВС вимагає:
Ось деякі ключові особливості "ZeroShell":
· Kerberos 5 автентичності або сертифікати X.509;
· LDAP, NIS і авторизація RADIUS;
· X509 сертифікації для видачі та управління електронними сертифікатами;
· Unix і Windows Active сумісність каталог, використовуючи LDAP і Kerberos 5 автентичності хрест царство;
· Маршрутизатор зі статичними і динамічними маршрутів (RIPv2 з MD5 або простий текстової аутентифікації і Split Horizon і Отруєний Зворотний алгоритмів);
· 802.1d міст з протоколом Spanning Tree, щоб уникнути петлі навіть у присутності надлишкових шляхів;
· 802.1Q Virtual LAN (Tagged VLAN);
· Firewall Packet Filter і Stateful Packet Inspection (SPI) з фільтрами, застосовуваними в обох маршрутизації і подолання на всіх типах інтерфейсів, включаючи VPN і VLAN;
· NAT використовувати приватні LAN-адреси класу, приховані в глобальній мережі з публічних виступах;
· TCP / UDP переадресації портів (PAT) для створення віртуальних серверів. Це означає, що реальний кластер серверів буде видно тільки з одного IP-адреса (IP віртуального сервера), і кожен запит буде поширюватися з Round Robin алгоритму до реальних серверів;
· Мультизональні DNS-сервер з автоматичним управлінням in-addr.arpa зворотного дозволу;
· Багато підмережі DHCP-сервер з можливістю виправити IP залежно від MAC-адреси клієнта;
· Хост-лан VPN на L2TP / IPsec, в якому L2TP (Layer 2 Tunneling Protocol) з перевіркою достовірності з Kerberos v5 логін і пароль інкапсульований в IPsec з перевіркою достовірності з IKE, який використовує сертифікати X.509;
· Хост-лан VPN з протоколом PPTP (для Point Tunneling Protocol), MPPE (Microsoft точка-точка шифрування) і GRE тунель
· Lan-ЛВС VPN з інкапсуляції Ethernet датаграми SSL / TLS тунелю, з підтримкою 802.1Q VLAN і настроюється у зв'язку балансування навантаження (збільшення діапазону) або відмовостійкості (підвищити надійність);
· PPPoE клієнт для підключення до Інтернету через ADSL, DSL і кабельних ліній (потрібен відповідний модем);
· Клієнт Dynamic DNS використовується для легко дістатися до господаря на WAN, навіть якщо IP динамічний;
· NTP (Network Time Protocol) клієнт і сервер для зберігання хост-годинник синхронізовані;
· RADIUS-сервер для забезпечення безпечної аутентифікації і автоматичне керування ключами WEP в бездротового зв'язку 802.11b, 802.11g і 802.11a мереж, що підтримують протокол 802.1x в EAP-TLS, EAP-TTLS і форму PEAP-менш захищену аутентифікацію клієнт MAC-адресу; WPA з TKIP і WPA2 з CCMP (802.11i скарги) підтримуються теж; Сервер RADIUS може також, залежно від імені користувача, групи або МАС-адреса запитуючої, що дозволяють доступ на заданий VLAN 802.1Q.
· Syslog-сервер для отримання та каталогізації системні журнали, вироблені віддалених хостів, включаючи Unix систем, маршрутизаторів, комутаторів, точок доступу Wi-Fi, мережевих принтерів і інших сумісних з протоколом системного журналу;
· Arpwatch стежити за моніторинг ARP події в локальній мережі, такі як дублювання IP-адрес, фліп-флоп та інших порушень;
· RADIUS-сервер для забезпечення безпечної аутентифікації і автоматичне керування ключами шифрування в бездротового зв'язку 802.11b, 802.11g і 802.11a мереж, що підтримують протокол 802.1x в EAP-TLS, EAP-TTLS і форму PEAP-менш захищену аутентифікацію клієнт MAC-адресу; WPA з TKIP і WPA2 з CCMP (802.11i скарги) підтримуються теж; Сервер RADIUS може також, залежно від імені користувача, групи або МАС-адреса запитуючої, що дозволяють доступ на заданий VLAN 802.1Q;
· Полонянка портал для підтримки веб-вхід на бездротових і провідних мереж. ZeroShell виступає в якості шлюзу для мереж, в яких Полонянка порталу активна і на яких IP-адреси (звичайно, що належать приватним підмереж) призначаються динамічно по DHCP. Клієнт, який звертається до цієї приватної мережі повинні ідентифікувати себе через веб-браузер, використовуючи Kerberos 5 користувача та пароль, перш ніж брандмауер ZeroShell дозволяє йому отримати доступ до загальної локальної мережі. Шлюзи Полонянка порталу часто використовується, щоб забезпечити доступ з перевіркою достовірності в Інтернет в гарячих точках в альтернативних по протоколу 802.1X аутентифікації занадто складна, щоб налаштувати для користувачів. ZeroShell реалізує функціональність Captive Portal в рідному шляхом, без застосування інших спеціального програмного забезпечення, як NoCat або Chillispot;
· QoS (якість обслуговування) Управління та формування трафіку для контролю трафіку через перевантаженій мережі. Ви зможете гарантувати мінімальну пропускну здатність, обмеження пропускної здатності, Макс і призначити пріоритет класу трафіку (корисної в чутливих до затримок мережеві додатки, такі як VoIP). Попередня настройка може бути застосований на Ethernet інтерфейсів, VPN, мостів і VPN склеювання. Це можна класифікувати трафік за допомогою Layer 7 фільтрів, які дозволяють Deep Packet Inspection (DPI), які можуть бути корисні для формування VoIP і P2P-додатків;
· Хост-лан VPN на L2TP / IPsec, в якому L2TP (Layer 2 Tunneling Protocol) з перевіркою достовірності з Kerberos v5 логін і пароль інкапсульований в IPsec з перевіркою достовірності з IKE, який використовує сертифікати X.509;
· Lan-ЛВС VPN з інкапсуляції Ethernet датаграми SSL / TLS тунелю, з підтримкою 802.1Q VLAN і настроюється у зв'язку балансування навантаження (збільшення діапазону) або відмовостійкості (підвищити надійність);
Маршрутизатор зі статичними і динамічними маршрутів (RIPv2 з MD5 або простий текстової аутентифікації і розщепленого горизонту і алгоритмів Отруєний реверс);
802.1d міст з протоколом Spanning Tree, щоб уникнути петлі навіть у присутності надлишкових шляхів;
· 802.1Q Virtual LAN (Tagged VLAN);
· Firewall Packet Filter і Stateful Packet Inspection (SPI) з фільтрами, застосовуваними в обох маршрутизації і подолання на всіх типах інтерфейсів, включаючи VPN і VLAN;
· Можна відхилити або формувати P2P File Sharing трафіку за допомогою ipp2p модуль IPtables брандмауера і QoS класифікатором;
NAT використовувати приватні LAN-адреси класу, приховані в глобальній мережі з публічних виступах;
· TCP / UDP переадресації портів (PAT) для створення віртуальних серверів. Це означає, що реальний кластер серверів буде видно тільки з одного IP-адреса (IP віртуального сервера), і кожен запит буде поширюватися з Round Robin алгоритму до реальних серверів;
· Мультизональні DNS-сервер з автоматичним управлінням in-addr.arpa зворотного дозволу;
· Багато підмережі DHCP-сервер з можливістю виправити IP залежно від MAC-адреси клієнта;
· PPPoE клієнт для підключення до Інтернету через ADSL, DSL і кабельних ліній (потрібен відповідний модем);
· Клієнт Dynamic DNS використовується для легко дістатися до господаря на WAN, навіть якщо IP динамічний;
· NTP (Network Time Protocol) клієнт і сервер для зберігання хост-годинник синхронізовані;
· Syslog-сервер для отримання та каталогізації системні журнали, вироблені віддалених хостів, включаючи Unix систем, маршрутизаторів, комутаторів, точок доступу Wi-Fi, мережевих принтерів і інших сумісних з протоколом системного журналу;
· Kerberos 5 аутентифікацію з використанням комплексного KDC та крос-перевірки автентичності між сферами;
· LDAP, NIS і авторизація RADIUS;
· X509 сертифікації для видачі та управління електронними сертифікатами;
· Unix і Windows Active Directory сумісність з використанням LDAP і Kerberos 5 поперечне аутентифікацію сфері.
· Наступні функції будуть доступні в найближчому майбутньому, і включені у версії 1.0.0:
Веб-проксі-сервер, щоб мати централізоване Web Cache, яка здатна блокувати веб-сторінки, що містять вірус. Ця функція реалізується за допомогою антивірусу ClamAV і Squid проксі-сервер. Проксі-сервер може бути налаштований для роботи в прозорому режимі проксі, в якій, вам не потрібно, щоб налаштувати веб-браузери для використання його, але HTTP-запитів будуть автоматично перенаправлятися на проксі-сервер.
Arpwatch монітор для моніторингу ARP події в локальній мережі, такі як дублювання IP-адрес, фліп-флоп та інших порушень;
Хост-ЛВС VPN з протоколом PPTP (Point-точка Tunneling Protocol), MPPE (Microsoft точка-точка шифрування) і GRE тунель;
Наступні функції будуть доступні в наступних випусках новіше 1.0.0:
Режим HostAP для бездротових мережевих карт з використанням Intersil prism2 / 2,5 / 3 чіпсети. Іншими словами, вікно ZeroShell з одним з таких WiFi карт може стати IEEE 802.11b / г Точка доступу забезпечує надійну ідентифікацію та динамічного обміну ключів WEP по 802.1X і WPA протоколів. Звичайно, аутентифікація проходить за допомогою EAP-TLS і PEAP за інтегральною сервера RADIUS;
IMAP v4 сервер для управління поштовими скриньками з перевіркою достовірності наданої інтегрованої Kerberos 5 сервер;
SMTP сервер для прийому, відправлення та маршрутні листи в залежності від SMTP карті маршрутизації, яка зберігається на вбудованому сервері LDAP. Вхідні та вихідні листи є спамом і вірус перевіряється антиспаму і антивіруса фільтри автоматично оновлюється з інтернету. Крім того, підтримується динамічна DNS-клієнт, який автоматично оновлює DNS MX запис, дозволяє мати поштовий сервер для домену також, якщо WAN IP-адреса не статично.
Перевірка справжності смарт-карти за допомогою PKINIT протокол, який поєднує в собі Kerberos 5 вірчі грамоти та сертифікати X.509. На жаль, на відміну від інших функцій, це не можливо, щоб підтримати автентичності смарт-карт в короткий проміжок часу, тому що MIT Kerberos v5 не підтримують протокол PKINIT ще.
ZeroShell живий розподілу компакт-диск, це означає, що немає необхідності встановлювати його на жорсткому диску, так як він може працювати безпосередньо з компакт-диска, на якому він розподіляється. Очевидно, бази даних, що містить всі дані і настройки, можуть бути збережені на ATA, SATA, SCSI і USB дисків. Будь-які безпеки Виправлення можуть бути завантажені з автоматичною системою оновлення через Інтернет і встановлюються в базі даних. Ці патчі будуть автоматично видалені з бази даних подальшими випусками ZeroShell Live CD вже містять оновлення.
Вона також доступна 512 Compact Flash зображення корисно, якщо ви повинні завантажити ваш ящик від цього пристрою, а не з компакт-диска, наприклад, в вбудованих пристроїв для мережевих пристроїв. Compact Flash зображення має 400Мб доступного для зберігання конфігурації і даних.
Назва ZeroShell підкреслює той факт, що, хоча це система Linux (традиційно адмініструються з оболонки), всі операції управління можуть здійснюватися за допомогою веб-інтерфейсу: дійсно, після того, як присвоюється IP-адреса за допомогою VGA або послідовний термінал, достатньо просто підключити до призначеного адресою за допомогою браузера, щоб налаштувати все. ZeroShell успішно протестований для роботи з Firefox 1.0.6+, Internet Explorer 6 +, Netscape 7.2+ електронної Mozilla 1.7.3+.
Будівництво ZeroShell
ZeroShell не ґрунтується на вже існуючій розподілу, наприклад Knoppix заснований на Debian. Автор зібрав усього програмного забезпечення, які розподілення у складі, починаючи від початкового коду в tar.gz або tar.bz2 пакетів. Компілятор GCC і glibcs ​​гну були складені занадто і мав так звану фазу початкового завантаження, в якому вони перекомпілювати себе кілька разів. Це було необхідно для оптимізації компілятора і усунути всі залежності від glibcs ​​системи, з яких перша збірка мало місце. Деякі сценарії ініціалізації, а також принципи, використовувані автором, ті з Linux From Scratch.
Список компонентів з відкритим кодом
· Linux для ядра Linux;
· HTTPD Apache для адміністрування веб-інтерфейс krb5 MIT для Kerberos 5 Authentication Server;
· OpenLDAP для сервера LDAP;
· Ypserv для NIS-сервера (YP);
· OpenSSL для SSL / TLS тунелю і управління CA;
· FreeRADIUS для RADIUS-сервера + EAP-TLS і PEAP (802.1x);
· Iptables для брандмауера пакетний фільтр і Stateful Packet Inspection (SPI), NAT і Port Forwarding (PAT);
· OpenVPN для ЛВС-LAN Ethernet VPN з підтримкою VLAN 802.1Q;
· Зв'язування для DNS-сервера;
· Стіг Venaas'LDAP SD для використання LDAP адміністратора для BIND DNS за допомогою dNSZone DHCP схеми для DHCP-сервера;
· Ipp2p модуль Iptables для класифікації загального доступу до файлів рівний-рівному;
· RP-PPPoE для PPPoE клієнта для підключення ADSL;
· VConfig тегами VLAN 802.1Q;
· Bridge-утиліти для подолання 802.1d з STP;
· PPP точка-точка з'єднання IP, використовувані для PPPoE та протоколу PPTP;
· Quagga для протоколу RIP версії 2, використовуваний для динамічного управління маршрутизації;
· NTP для клієнта NTP і сервер для синхронізації системи;
· Sysklogd для Syslog-сервера для збору та каталогізації локальних і віддалених журналів через системного журналу протоколу;
· Arpwatch для моніторингу ARP подій, таких як дублювання IP-адрес, фліп-флоп та інших несправностей;
· Libpcap для пакета бібліотек Capture, що використовуються Arpwatch;
· LZO стиснення в режимі реального часу в LAN-к-LAN VPN ,;
· Wget для забезпечення автоматичного оновлення з плямами, знайдених на http://www.zeroshell.net/updates;
· Pciutils для визнання бренду та моделі Ethernet карт на автобусі PCI;
· Ethtool для визнання статусу фізичної посилання на з'єднаннях Ethernet;
· E2fsprogs для управління ext2 і ext3 файлових систем;
· Reiserfsprogs для управління ReiserFS файлових систем;
· Dosfstools для управління FAT і FAT32 (DOS і Windows) файлових систем;
· Розлучилися з управління розділів. Зокрема, partprobe дозволяє переглядати нові розділи без перезавантаження;
· Udev для автоматичного управління DevFS для hotplugs в USB дисків;
· Судо для підвищення безпеки шляхом запуску Apache в якості непривілейованого процесу та підвищення привілеїв тільки в разі гострої необхідності;
· Linux-PAM для PAM (Pluggable Authentication Modules) ,.