ZeroShell

Zeroshell ist eine Linux-Live-CD-Distribution auf die Bereitstellung der wichtigsten Netzwerkdienste LAN erfordert ausgerichtet:
Hier sind einige der wichtigsten Features von "Zeroshell":
· Kerberos 5-Authentifizierung oder mit X.509-Zertifikaten;
· LDAP, NIS und RADIUS-Autorisierung;
· X509 Zertifizierungsstelle für die Ausgabe und Verwaltung von elektronischen Zertifikaten;
· Unix und Windows Active Directory-Interoperabilität unter Verwendung von LDAP und Kerberos 5 Querbereichsauthentifizierung;
· Router mit statischen und dynamischen Routen (RIPv2 mit MD5 oder Nur-Text-Authentifizierung und Split Horizon und Poisoned Reverse-Algorithmen);
· 802.1d Brücke mit Spanning Tree Protokoll um Schleifen, auch in Gegenwart von redundanten Pfaden zu vermeiden;
· 802.1Q Virtual LAN (VLAN getaggt);
· Firewall Paketfilter und Stateful Packet Inspection (SPI) mit Filtern in beiden Routing und Bridging anwendbar auf alle Arten von Schnittstellen, einschließlich VPN und VLAN;
· NAT private Klasse LAN-Adressen auf dem WAN versteckt mit öffentlichen Adressen zu verwenden;
· TCP / UDP-Port-Weiterleitung (PAT) auf virtuelle Server erstellen. Das bedeutet, dass reale Server-Cluster wird mit nur einer IP-Adresse (die IP-Adresse des virtuellen Servers) zu sehen ist, und jeder Antrag wird mit Round Robin-Algorithmus, um die realen Server verteilt werden;
· Mehrzonen-DNS-Server mit automatischer Verwaltung der umge Auflösung in-addr.arpa;
· Multi-Subnetz DHCP-Server mit der Möglichkeit, IP, je nach MAC-Adresse des Kunden zu beheben;
· Host-zu-LAN-VPN mit L2TP / IPsec in dem L2TP (Layer 2 Tunneling Protocol) mit Kerberos v5-Authentifizierung Benutzernamen und das Kennwort innerhalb IPsec mit IKE authentifiziert, die X.509-Zertifikate verwendet gekapselt;
· Host-zu-LAN-VPN mit PPTP-Protokoll (Point to Point Tunneling Protocol), MPPE und GRE Tunneling (Microsoft Point to Encryption Punkt)
· LAN-zu-LAN-VPN mit Einkapselung von Ethernet-Datagramme in SSL / TLS-Tunnel, mit Unterstützung für 802.1Q VLAN und konfigurierbar in Ausgleich für den Lastenausgleich (Band erhöhen) oder Fehlertoleranz (Zuverlässigkeit erhöhen);
· PPPoE-Client für die Verbindung zum WAN-Internet, DSL und Kabelleitungen (erfordert ein geeignetes Modem);
· Verwendet, um bequem den Host auf WAN, auch wenn die IP ist dynamisch Dynamic DNS Client;
· NTP (Network Time Protocol) Client und Server für die Aufbewahrung Host-Uhren synchronisiert;
· RADIUS-Server für die Bereitstellung sicherer Authentifizierung und automatische Verwaltung der WEP-Schlüssel zu den WLAN 802.11b, 802.11g und 802.11a-Netzwerke unterstützt die 802.1x-Protokoll in der EAP-TLS, EAP-TTLS und PEAP Form oder die weniger sichere Authentifizierung des Client MAC-Adresse; WPA mit TKIP und WPA2 mit CCMP (802.11i Beschwerde) werden ebenfalls unterstützt; der RADIUS-Server kann auch, je nach Benutzernamen, Gruppen oder MAC-Adresse des Supplicant, ermöglichen den Zugriff auf eine voreingestellte 802.1Q VLAN.
· Syslog-Server für den Empfang und die Katalogisierung der von den Remote-Hosts einschließlich Unix-Systeme, Router, Switches, WI-FI-Zugangspunkte, Netzwerkdrucker und andere mit dem Syslog-Protokoll kompatibel produziert Systemprotokolle;
· Arpwatch Monitor zur Überwachung von ARP Veranstaltungen im LAN wie die Vervielfältigung von IP-Adressen, Flip-Flops und andere Fehler;
· RADIUS-Server für die Bereitstellung sicherer Authentifizierung und automatische Verwaltung der Verschlüsselungsschlüssel zu den WLAN 802.11b, 802.11g und 802.11a-Netzwerke unterstützt die 802.1x-Protokoll in der EAP-TLS, EAP-TTLS und PEAP Form oder die weniger sichere Authentifizierung des Client MAC-Adresse; WPA mit TKIP und WPA2 mit CCMP (802.11i Beschwerde) werden ebenfalls unterstützt; der RADIUS-Server kann auch, je nach Benutzernamen, Gruppen oder MAC-Adresse des Supplicant, ermöglichen den Zugriff auf eine voreingestellte 802.1Q VLAN;
· Captive Portal, um die Web-Login auf drahtlose und drahtgebundene Netzwerke. Zeroshell fungiert als Gateway für die Netze, an dem der Captive Portal aktiv ist und auf dem die IP-Adressen (in der Regel, die zu privaten Subnetze) werden dynamisch vom DHCP zugewiesen. Ein Client, der diesen privaten Netzwerk zugreift muss sich über einen Webbrowser mit Kerberos 5 Benutzernamen und Passwort, bevor der Zeroshell Firewall Authentifizierung ermöglicht es, die Öffentlichkeit LAN zugreifen. Die Captive Portal-Gateways werden oft verwendet, um authentifizierte Internetzugang in den HotSpots in Alternative zum 802.1X-Authentifizierungsprotokoll zu kompliziert, um für die Benutzer konfigurieren, bereitstellen. Zeroshell implementiert die Funktionalität von Captive Portal im nativen Weg, ohne andere spezifische Software wie Nocat oder Chilli;
· QoS (Quality of Service) Management und Traffic Shaping für den Verkehr über einen überlasteten Netzwerk. Sie werden in der Lage, die Mindestbandbreite zu gewährleisten, die maximale Bandbreite zu begrenzen und eine Priorität einer Prioritätsklasse zu (nützlich bei latenzempfindlichen Netzwerkanwendungen wie VoIP). Die früheren Kanal auf Ethernet-Schnittstellen, VPNs, Brücken und VPN Verklebungen angewendet werden. Es ist möglich, den Datenverkehr, indem Sie die Layer 7 Filter, die Deep Packet Inspection (DPI) zu ermöglichen, die nützlich, um VoIP und P2P-Anwendungen zu gestalten sein zu klassifizieren;
· Host-zu-LAN-VPN mit L2TP / IPsec in dem L2TP (Layer 2 Tunneling Protocol) mit Kerberos v5-Authentifizierung Benutzernamen und das Kennwort innerhalb IPsec mit IKE authentifiziert, die X.509-Zertifikate verwendet gekapselt;
· LAN-zu-LAN-VPN mit Einkapselung von Ethernet-Datagramme in SSL / TLS-Tunnel, mit Unterstützung für 802.1Q VLAN und konfigurierbar in Ausgleich für den Lastenausgleich (Band erhöhen) oder Fehlertoleranz (Zuverlässigkeit erhöhen);
Router mit statischen und dynamischen Routen (RIPv2 mit MD5 oder Nur-Text-Authentifizierung und Split Horizon und Poisoned Reverse-Algorithmen);
802.1d Brücke mit Spanning Tree Protokoll um Schleifen, auch in Gegenwart von redundanten Pfaden zu vermeiden;
· 802.1Q Virtual LAN (VLAN getaggt);
· Firewall Paketfilter und Stateful Packet Inspection (SPI) mit Filtern in beiden Routing und Bridging anwendbar auf alle Arten von Schnittstellen, einschließlich VPN und VLAN;
· Es ist möglich, abzulehnen oder zu formen P2p filesharing Verkehr mithilfe IPP2P iptables Modul im Firewall- und QoS-Klassifizierer;
NAT private Klasse LAN-Adressen auf dem WAN versteckt mit öffentlichen IP-Adressen zu verwenden;
· TCP / UDP-Port-Weiterleitung (PAT) auf virtuelle Server erstellen. Das bedeutet, dass reale Server-Cluster wird mit nur einer IP-Adresse (die IP-Adresse des virtuellen Servers) zu sehen ist, und jeder Antrag wird mit Round Robin-Algorithmus, um die realen Server verteilt werden;
· Mehrzonen-DNS-Server mit automatischer Verwaltung der umge Auflösung in-addr.arpa;
· Multi-Subnetz DHCP-Server mit der Möglichkeit, IP, je nach MAC-Adresse des Kunden zu beheben;
· PPPoE-Client für die Verbindung zum WAN-Internet, DSL und Kabelleitungen (erfordert ein geeignetes Modem);
· Verwendet, um bequem den Host auf WAN, auch wenn die IP ist dynamisch Dynamic DNS Client;
· NTP (Network Time Protocol) Client und Server für die Aufbewahrung Host-Uhren synchronisiert;
· Syslog-Server für den Empfang und die Katalogisierung der von den Remote-Hosts einschließlich Unix-Systeme, Router, Switches, WI-FI-Zugangspunkte, Netzwerkdrucker und andere mit dem Syslog-Protokoll kompatibel produziert Systemprotokolle;
· Kerberos 5-Authentifizierung mit Hilfe eines integrierten KDC und Cross-Authentifizierung zwischen Reichen;
· LDAP, NIS und RADIUS-Autorisierung;
· X509 Zertifizierungsstelle für die Ausgabe und Verwaltung von elektronischen Zertifikaten;
· Unix und Windows Active Directory-Interoperabilität unter Verwendung von LDAP und Kerberos 5 Querbereichsauthentifizierung.
· Die folgenden Funktionen verfügbar sein wird in der nahen Zukunft und enthalten in der Version 1.0.0:
Web-Proxy-Server, eine zentralisierte Web-Cache, der in der Lage, die Web-Seiten-Virus enthalten, blockieren können. Diese Funktion wird mit Hilfe der ClamAV Antivirus und Squid Proxy-Server implementiert. Der Proxy-Server kann so konfiguriert werden, um in den transparenten Proxy-Modus zu arbeiten, in denen Sie nicht brauchen, um die Web-Browser so konfigurieren, dass es zu benutzen, aber die HTTP-Anfragen werden automatisch an den Proxy umgeleitet werden.
Arpwatch Monitor zur Überwachung von ARP Veranstaltungen im LAN wie die Vervielfältigung von IP-Adressen, Flip-Flops und andere Fehler;
Host-zu-LAN-VPN mit PPTP-Protokoll (Point to Point Tunneling Protocol), MPPE und GRE Tunneling (Microsoft Point to Encryption Punkt);
Die folgenden Funktionen verfügbar sein wird in den nächsten Versionen neuer als 1.0.0:
HostAP Modus für die drahtlose Netzwerkkarten mit Intersil Prism2 / 2,5 / 3-Chipsätze. Mit anderen Worten könnte ein Zeroshell-Box mit einer solchen WiFi-Karten zu einer IEEE 802.11b / g Access Point eine zuverlässige Authentifizierung und dynamische WEP-Schlüssel Austausch von 802.1X und WPA-Protokolle. Selbstverständlich erfolgt die Authentifizierung statt mit EAP-TLS und PEAP über den integrierten RADIUS-Server;
IMAP-Server v4 um die Postfächer mit der Authentifizierung durch die integrierte Kerberos 5-Servers zur Verfügung gestellt zu verwalten;
SMTP-Server zu erhalten, abhängig von SMTP-Routing Karte auf den integrierten LDAP-Server gespeichert senden und Routen Mails. Die ankommenden und austretenden Mails sind Spam und Viren durch die Spam- und Virenfilter überprüft automatisch aus dem Internet aktualisiert. Darüber hinaus ist die unterstützt dynamische DNS-Client, der automatisch aktualisiert DNS MX-Eintrag, macht es möglich, einen Mail-Server für eine Domäne auch, wenn die WAN-IP-Adresse wird nicht statisch zugewiesen werden.
Smartcard-Authentifizierung mit PKINIT Protokoll, das Kerberos 5-Anmeldeinformationen und X.509-Zertifikate kombiniert. Leider, im Gegensatz zu den anderen Funktionen, ist es nicht möglich, Smartcard-Authentifizierung in kurzer Zeit, weil MIT Kerberos v5 nicht PKINIT Protokoll implementieren noch unterstützt.
Zeroshell ist eine Live CD Verteilung, was bedeutet, dass es nicht notwendig ist, sie auf der Festplatte zu installieren, da sie direkt von der CD-ROM, auf dem sie verteilt arbeiten kann. Offensichtlich ist die Datenbank, die alle Daten und Einstellungen können auf ATA, SATA, SCSI und USB-Festplatten gespeichert werden. Alle Sicherheitsfehlerbehebungen können von der automatischen Update-System über das Internet heruntergeladen und in der Datenbank installiert werden. Diese Patches werden automatisch aus der Datenbank von nachfolgenden Versionen des Zeroshell Live CD bereits die Updates, die entfernt werden.
Sie ist auch eine 512 MB Compact Flash Bild nützlich, wenn Sie Ihre Box von diesem Gerät anstelle von CD-ROM in den Embedded-Geräte für die Netzwerkgeräte startet zum Beispiel haben. Die Compact Flash Bild hat 400 MB vorhanden, um die Konfiguration und Daten zu speichern.
Der Name Zeroshell unterstreicht die Tatsache, dass, obwohl es ein Linux-System (traditionell verabreichbare aus einer Shell), alle Verwaltungsvorgänge können über Web-Interface durchgeführt werden: in der Tat, nachdem er eine IP-Adresse über einen VGA- oder serielle Terminal zugeordnet ist, einfach eine Verbindung an die zugeordnete Adresse mit Hilfe eines Browsers, um alles zu konfigurieren. Zeroshell wurde erfolgreich getestet mit Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ e Mozilla 1.7.3+ funktioniert.
Gebäude Zeroshell
Zeroshell ist nicht auf eine bereits bestehende Distribution wie zB Knoppix basiert auf Debian. Der Autor hat die gesamte Software von der die Verteilung besteht ab der Quellcode in den tar.gz oder tar.bz2-Pakete zusammengestellt. Der Compiler gcc und die glibcs ​​der GNU haben auch erstellt und haben die so genannte Phase der Bootstrap in der sie sich mehrmals neu kompiliert habe. Dies war notwendig, um dem Compiler zu optimieren und um jede Abhängigkeit von den glibcs ​​des Systems, von dem die erste Zusammenstellung erfolgte eliminieren. Einige der Initialisierungsskripten sowie den Richtlinien gefolgt vom Autor sind die von Linux From Scratch.
Liste der Open-Source-Komponenten
· Linux für Linux Kernel;
· Apache httpd für Verwaltung Web-Interface krb5 MIT Kerberos 5-Authentifizierungsserver;
· Openldap für LDAP-Server;
· Ypserv für NIS Server (YP);
· Openssl für SSL / TLS-Tunnel und CA-Management;
· Freeradius für RADIUS-Server + EAP-TLS und PEAP (802.1x);
· Für iptables Firewall Paketfilter und Stateful Packet Inspection (SPI), NAT und Port Forwarding (PAT);
· Openvpn für LAN-zu-LAN-Ethernet-VPN mit VLAN 802.1Q Unterstützung;
· Bind für die DNS-Server;
· Stig Venaas'LDAP SD auf LDAP-Backend für Bind DNS mit DHCP dnsZone Schema für DHCP-Server;
· IPP2P iptables-Modul für die Peer-to-Peer-Filesharing-Klassifikation;
· Rp-pppoe für PPPoE-Client für ADSL-Verbindung;
· Vconfig für Tagged VLAN 802.1Q;
· Bridge-utils zur Überbrückung 802.1d STP;
· Ppp für Punkt-zu-IP-Verbindungen für den PPPoE und PPTP-Protokoll verwendet, zu zeigen;
· Quagga für RIP-Protokoll Version 2 für das dynamische Routing Führung verwendet werden;
· NTP NTP-Client und -Server für den Systemtaktsynchronisation;
· Sysklogd für Syslog-Server für den Erwerb und Erschließung von lokalen und Remote-Protokolle über Syslog-Protokoll;
· Arpwatch zur Überwachung der ARP-Veranstaltungen wie die Vervielfältigung von IP-Adressen, Flip-Flops und andere Fehler;
· Libpcap für Paketerfassung Bibliotheken arpwatch verwendet;
· Lzo zur Echtzeit-Komprimierung in LAN-zu-LAN-VPN;
· Wget für die Gewährleistung der automatischen Updates mit den Flecken auf http://www.zeroshell.net/updates gefunden;
· Pciutils für die Anerkennung der Marke und das Modell der Ethernet-Karten auf PCI-Bus;
· Ethtool zur Anerkennung des Status der physikalischen Verbindung über Ethernet-Verbindungen;
· E2fsprogs für die Verwaltung von ext2 und ext3-Dateisysteme;
· Reiserfsprogs für die Verwaltung von ReiserFS-Dateisysteme;
· Dosfstools für die Verwaltung von FAT- und FAT32 (DOS und Windows) Dateisysteme;
· Trennten für Partitionsverwaltung. Insbesondere partprobe ermöglicht die Anzeige von neuen Partitionen ohne Neustart;
· Udev für die automatische Verwaltung von devfs für hotplugs von USB-Festplatten;
· Sudo für die Erhöhung der Sicherheit von als unprivilegierten Prozess mit Apache und zunehmende Privilegien nur, wenn unbedingt erforderlich ist;
· Linux-PAM für PAM (Pluggable Authentication Modules).