ZeroShell

ZeroShell является распределение Linux Live CD направлена ​​на обеспечение основных сетевых служб ЛВС требуется:
Вот некоторые ключевые особенности "ZeroShell":
· Kerberos 5 подлинности или сертификаты X.509;
· LDAP, NIS и авторизация RADIUS;
· X509 сертификации для выдачи и управления электронными сертификатами;
· Unix и Windows Active совместимость Каталог использованием LDAP и Kerberos 5 подлинности крест царство;
· Маршрутизатор с статических и динамических маршрутов (RIPv2 с MD5 или простой текстовой аутентификации и Сплит горизонте Отравленный Обратный алгоритмов);
· 802.1d мост с протоколом Spanning Tree, чтобы избежать петли даже в присутствии избыточных путей;
· 802.1Q Virtual LAN (VLAN тегами);
· Брандмауэр фильтрации пакетов и Stateful Packet Inspection (SPI), с фильтрами, применяемыми в обоих маршрутизации и мостиковых на всех типов интерфейсов, включая VPN и VLAN;
· NAT использовать частные LAN-адреса класса скрытые в глобальной сети с публичных выступлениях;
· TCP / UDP переадресации портов (PAT), чтобы создать виртуальные серверы. Это означает, что реальный кластер серверов будет видно только с одной IP-адрес (IP-виртуального сервера), и каждый запрос будет распространяться с Круглый Робин алгоритма к реальным серверам;
· Мультизональные DNS-сервер с автоматическим управлением in-addr.arpa обратного разрешения;
· Много подсети DHCP-сервер с возможностью исправить IP в зависимости от MAC-адреса клиента;
· Хост-лан VPN с L2TP / IPsec, в котором L2TP (Layer 2 Tunneling Protocol) с проверкой подлинности Kerberos v5 с именем пользователя и паролем инкапсулируется в IPsec с проверкой подлинности с IKE, который использует сертификаты X.509;
· Хост-лан VPN с протоколом PPTP (точка-точка Tunneling Protocol), MPPE (Microsoft точка-точка шифрование) и GRE-туннелирование
· Лан-ЛВС VPN с инкапсуляции Ethernet датаграммы в SSL / TLS туннеля, с поддержкой VLAN 802.1Q и настраивается в связи для балансировки нагрузки (увеличение диапазона) или отказоустойчивости (увеличение надежности);
· PPPoE клиент для подключения к глобальной сети через ADSL, DSL и кабельных линий (требуется соответствующий модем);
· Клиент динамического DNS используется для легко добраться до хозяина на WAN, даже если IP-динамичен;
· НТП (Network Time Protocol), клиент и сервер для хранения хост часов, синхронизированных;
· Сервер RADIUS для обеспечения безопасной аутентификации и автоматическое управление ключами WEP к беспроводной 802.11b, 802.11g и 802.11a сетей, поддерживающих протокол 802.1x на в EAP-TLS, EAP-TTLS и PEAP форму или менее безопасной аутентификации из MAC-адрес клиента; WPA TKIP с WPA2 и с CCMP (802.11i) жалобы поддерживаются тоже; Сервер RADIUS может также, в зависимости от имени пользователя, группы или МАС-адрес запрашивающей, разрешающие доступ на заданной VLAN 802.1Q.
· Syslog-сервер для приема и каталогизации системные журналы, произведенные удаленных хостов, включая Unix систем, маршрутизаторов, коммутаторов, точек доступа Wi-Fi, сетевых принтеров и других совместимых с протоколом системного журнала;
· Arpwatch следить за мониторинг ARP события в локальной сети, такие как дублирование адресов, шлепанцы и другие недостатки;
· Сервер RADIUS для обеспечения безопасной аутентификации и автоматическое управление ключами шифрования к беспроводной 802.11b, 802.11g и 802.11a сетей, поддерживающих протокол 802.1x на в EAP-TLS, EAP-TTLS и PEAP форму или менее безопасной аутентификации из MAC-адрес клиента; WPA TKIP с WPA2 и с CCMP (802.11i) жалобы поддерживаются тоже; Сервер RADIUS может также, в зависимости от имени пользователя, группы или МАС-адрес запрашивающей, разрешающие доступ на заданной VLAN 802.1Q;
· Пленница портал для поддержки веб-логин на беспроводных и проводных сетей. ZeroShell действует как шлюз для сетей, в которых порабощенных портал активным и на которых IP-адреса (обычно принадлежащих частным подсетей) динамически назначается DHCP. Клиент, который обращается к этой частной сети должны идентифицировать себя через веб-браузер, используя Kerberos 5 имя пользователя и пароль, прежде чем брандмауэр ZeroShell позволяет ему получить доступ к общей локальной сети. Шлюзы Пленница портал часто используются, чтобы обеспечить доступ с проверкой подлинности в Интернет в горячих точках в альтернативу протоколу 802.1X аутентификации слишком сложной, чтобы настроить для пользователей. ZeroShell реализует функциональность Captive Portal в родном образом, без использования других конкретного программного обеспечения как NoCat или Chillispot;
· QoS (качество обслуживания) управление и управление трафиком для контроля трафика через перегруженной сети. Вы будете в состоянии гарантировать минимальную пропускную способность, ограничивать пропускную способность Макс и назначить приоритет класса трафика (полезной в чувствительных к задержкам приложений, таких как сетевые VoIP). Предыдущий настройка может быть применен на Ethernet интерфейсов, VPN, мостов и VPN склеивания. Это можно классифицировать трафик с помощью слоя 7 фильтров, которые позволяют глубокого Packet Inspection (DPI), которые могут быть полезны для формирования VoIP и P2P-приложений;
· Хост-лан VPN с L2TP / IPsec, в котором L2TP (Layer 2 Tunneling Protocol) с проверкой подлинности Kerberos v5 с именем пользователя и паролем инкапсулируется в IPsec с проверкой подлинности с IKE, который использует сертификаты X.509;
· Лан-ЛВС VPN с инкапсуляции Ethernet датаграммы в SSL / TLS туннеля, с поддержкой VLAN 802.1Q и настраивается в связи для балансировки нагрузки (увеличение диапазона) или отказоустойчивости (увеличение надежности);
Маршрутизатор с статических и динамических маршрутов (RIPv2 с MD5 или простой текстовой аутентификации и Сплит Horizon и алгоритмов Отравленный реверс);
802.1d мост с протоколом Spanning Tree, чтобы избежать петли даже в присутствии избыточных путей;
· 802.1Q Virtual LAN (VLAN тегами);
· Брандмауэр фильтрации пакетов и Stateful Packet Inspection (SPI), с фильтрами, применяемыми в обоих маршрутизации и мостиковых на всех типов интерфейсов, включая VPN и VLAN;
· Можно отклонить или формировать P2P File Sharing трафик с помощью ipp2p модуль Iptables в Firewall и QoS классификатором;
НАТ использовать частные LAN-адреса класса скрытые в глобальной сети с публичных выступлениях;
· TCP / UDP переадресации портов (PAT), чтобы создать виртуальные серверы. Это означает, что реальный кластер серверов будет видно только с одной IP-адрес (IP-виртуального сервера), и каждый запрос будет распространяться с Круглый Робин алгоритма к реальным серверам;
· Мультизональные DNS-сервер с автоматическим управлением in-addr.arpa обратного разрешения;
· Много подсети DHCP-сервер с возможностью исправить IP в зависимости от MAC-адреса клиента;
· PPPoE клиент для подключения к глобальной сети через ADSL, DSL и кабельных линий (требуется соответствующий модем);
· Клиент динамического DNS используется для легко добраться до хозяина на WAN, даже если IP-динамичен;
· НТП (Network Time Protocol), клиент и сервер для хранения хост часов, синхронизированных;
· Syslog-сервер для приема и каталогизации системные журналы, произведенные удаленных хостов, включая Unix систем, маршрутизаторов, коммутаторов, точек доступа Wi-Fi, сетевых принтеров и других совместимых с протоколом системного журнала;
· Kerberos 5 аутентификацию, используя интегрированную KDC и кросс-проверки подлинности между сферами;
· LDAP, NIS и авторизация RADIUS;
· X509 сертификации для выдачи и управления электронными сертификатами;
· Unix и Windows Active Directory, используя LDAP совместимость и Kerberos 5 поперечное аутентификацию сфере.
· Следующие функции будут доступны в ближайшем будущем, и включены в версии 1.0.0:
Веб-прокси-сервер, чтобы иметь централизованную веб-кэша, которая способна блокировать веб-страницы, содержащие вирус. Эта функция реализуется с помощью антивируса ClamAV и Squid прокси-сервер. Прокси-сервер может быть настроен для работы в режиме прокси прозрачный, в котором вы не должны настроить веб-браузеры, чтобы использовать его, но HTTP-запросов будут автоматически перенаправляться на прокси-сервер.
Arpwatch монитор для мониторинга ARP события в локальной сети, такие как дублирование адресов, шлепанцы и другие недостатки;
Хост-лан VPN с протоколом PPTP (точка-точка Tunneling Protocol), MPPE (Microsoft точка-точка шифрование) и GRE туннелирование;
Следующие функции будут доступны в следующих версиях, чем 1.0.0 новых:
Режим HostAP для беспроводных сетевых карт с использованием Intersil prism2 / 2,5 / 3 чипсетов. Другими словами, коробка ZeroShell с одним из таких карт WiFi может стать IEEE 802.11b / г Точка доступа обеспечивает надежную идентификацию и динамического обмена ключей WEP по 802.1X и WPA протоколов. Конечно, аутентификация выполняется с использованием EAP-TLS и PEAP на сервере RADIUS интегрированной;
IMAP v4 сервер для управления почтовыми ящиками с аутентификации, предоставленной интегрированной Kerberos 5 сервер;
SMTP-сервер для получения, передачи и маршрут письма в зависимости от SMTP карте маршрутизации, которая хранится на встроенном сервере LDAP. Входящие Исходящие письма и являются спама и вирусов проверяется спама и вирусов фильтры автоматического обновление из Интернета. Кроме того, поддерживается динамический DNS-клиент, который автоматически обновляет DNS MX запись, делает возможным иметь почтовый сервер для домена и, если IP-адрес WAN не статически.
Аутентификация с использованием смарт-карт PKINIT протокол, который сочетает в себе Kerberos 5 верительные и сертификаты X.509. К сожалению, в отличие от других функций, это не возможно, чтобы поддержать подлинности смарт-карт в короткое время, потому что MIT Kerberos V5 не реализует протокол PKINIT еще.
ZeroShell живой распределение компакт-диск, это означает, что нет необходимости устанавливать его на жестком диске, так как он может работать непосредственно с компакт-диска, на котором она распределенной. Очевидно, что база данных, содержащая все данные и настройки, могут быть сохранены на ATA, SATA, SCSI и USB дисков. Любые безопасности Исправления могут быть загружены с автоматической системой обновления через Интернет и установлен в базе данных. Эти патчи будут автоматически удалены из базы данных последующими выпусками ZeroShell Live CD уже содержащих обновления.
Она также доступна 512 Мб памяти Compact Flash изображения полезно, если у вас есть, чтобы загрузить ваш ящик от этого устройства, а с компакт-диска, например, в устройствах для встраиваемых сетевых устройств. Компактная флэш-память 400MB изображение имеет доступную для хранения конфигурации и данных.
Название ZeroShell подчеркивает тот факт, что, хотя это система Linux (традиционно администрируемое из оболочки), все операции управления могут осуществляться с помощью веб-интерфейса: действительно, после того, назначен IP-адрес через VGA или последовательный терминал, просто подключите назначенному адресу с помощью браузера, чтобы настроить все. ZeroShell был успешно протестирован для работы с Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ электронной Mozilla 1.7.3+.
Строительство ZeroShell
ZeroShell не основывается на уже существующей распределения, например Knoppix основан на Debian. Автор собрал всего программного обеспечения которых распределение состоящую начиная с исходного кода в tar.gz или tar.bz2 пакетов. Компилятор GCC и glibcs ​​ГНУ были составлены слишком и имели так называемую фазу начальной загрузки, в котором они сами перекомпилированной более раз. Это было необходимо для оптимизации компилятора и устранить все зависимость от glibcs ​​системы, из которых первый сборник состоялась. Некоторые сценарии инициализации, а также принципы, используемые автором, принадлежат Linux From Scratch.
Список компонентов с открытым кодом
· Linux Kernel для Linux;
· HTTPD Apache для администрирования веб-интерфейса krb5 MIT Kerberos 5 для Authentication Server;
· OpenLDAP для сервера LDAP;
· Ypserv для NIS Server (YP);
· OpenSSL для SSL / TLS тоннеля и управления CA;
· FreeRADIUS для RADIUS-сервера + EAP-TLS и PEAP (802.1x);
· Iptables для межсетевого экрана пакетный фильтр и Stateful Packet Inspection (SPI), NAT и перенаправление портов (PAT);
· OpenVPN для LAN-к-LAN Ethernet VPN с поддержкой VLAN 802.1Q;
· Связывания для DNS-сервера;
· Стиг Venaas'LDAP SD для использования LDAP бэкэнд для BIND DNS с помощью протокола DHCP dNSZone схемы для DHCP-сервера;
· Ipp2p модуль Iptables для классификации обмена файлами равный-равному;
· RP-PPPoE для PPPoE клиента для подключения ADSL;
· VConfig для тегами VLAN 802.1Q;
· Bridge-утилиты для Преодоление 802.1d STP; с
· PPP точка-точка соединения IP, используемые для PPPoE и PPTP протокола;
· Quagga для протокола RIP версии 2, используемый для динамического управления маршрутизации;
· NTP для клиента NTP и сервер для синхронизации системы;
· Sysklogd для Syslog-сервера для сбора и каталогизации локальных и удаленных журналов через системного журнала протокола;
· Arpwatch для мониторинга ARP событий, таких как дублирование IP-адресов, флип-флоп и другие неисправности;
· Libpcap для пакетной библиотек Захват используемых Arpwatch;
· LZO сжатия в режиме реального времени в локальной сети-ЛВС сетей VPN;
· Wget для обеспечения автоматического обновления с патчей, найденных на http://www.zeroshell.net/updates~~pobj;
· Pciutils для признания марки и модели из Ethernet карт на автобусе PCI;
· Ethtool для признания статуса физического ссылку на соединениях Ethernet;
· E2fsprogs для управления ext2 и ext3 файловых систем;
· Reiserfsprogs для управления ReiserFS файловых систем;
· Dosfstools для управления FAT и FAT32 (DOS и Windows) файловых систем;
· Расстались управления разделов. В частности partprobe позволяет просматривать новые разделы без перезагрузки;
· Udev для автоматического управления DevFS для hotplugs в USB дисков;
· Sudo для повышения безопасности путем запуска Apache в качестве непривилегированного процесса и повышения привилегий только в случае острой необходимости;
· Linux-PAM PAM для (Съемные модули аутентификации).