ZeroShell

Zeroshell es una distribución Linux Live CD de destinado a la prestación de los principales servicios de red LAN requiere:
Aquí están algunas características clave de "ZeroShell":
· Kerberos 5 autenticación o con certificados X.509;
· LDAP, NIS y autorización RADIUS;
· Autoridad de certificación X509 para la emisión y gestión de certificados electrónicos;
· Unix y Windows interoperabilidad Directorio Activo usando LDAP y Kerberos 5 autenticación reino cruz;
· Router con rutas estáticas y dinámicas (RIPv2 con MD5 o autenticación de texto sin formato y los algoritmos de Split Horizon y Envenenado inversa);
· Puente 802.1d con el protocolo de árbol de expansión para evitar bucles, incluso en presencia de rutas redundantes;
· 802.1Q LAN virtual (VLAN etiquetada);
· Firewall filtro de paquetes y Stateful Packet Inspection (SPI) con filtros aplicables tanto en el enrutamiento y puente en todo tipo de interfaces, incluyendo VPN y VLAN;
· NAT para utilizar direcciones de LAN clase privados ocultos en la WAN con direcciones públicas;
· TCP / reenvío de puertos UDP (PAT) para crear servidores virtuales. Esto significa que clúster de servidores reales se verá con una sola dirección IP (la IP del servidor virtual) y cada solicitud se distribuirá con el algoritmo Round Robin a los servidores reales;
· Servidor DNS multizona con gestión automática de la in-addr.arpa Resolución inversa;
· Multi servidor DHCP subred con la posibilidad de fijar IP en función de la dirección MAC del cliente;
· Host-to-LAN VPN con L2TP / IPsec en el que L2TP (Layer 2 Tunneling Protocol) autenticado con Kerberos v5 nombre de usuario y contraseña se encapsula dentro de IPsec autenticada con IKE que utiliza certificados X.509;
· Host-to-LAN VPN con el protocolo PPTP (protocolo punto a punto de túnel), MPPE (Microsoft Punto a Punto de cifrado) y túneles GRE
· Lan-to-LAN VPN con la encapsulación de datagramas Ethernet en SSL / TLS de túnel, con soporte para 802.1Q VLAN y configurable en la vinculación para el equilibrio de carga (aumento banda) o la tolerancia a fallos (aumento fiabilidad);
· Cliente PPPoE para la conexión a la WAN a través de líneas ADSL, DSL y de cable (requiere un módem adecuado);
· Cliente DNS dinámico utilizado para llegar fácilmente al anfitrión en WAN incluso cuando la IP es dinámica;
· NTP (Network Time Protocol) del cliente y el servidor para mantener sincronizados los relojes de acogida;
· Servidor RADIUS para proporcionar una autenticación segura y la gestión automática de las claves WEP para las redes 802.11b, 802.11gy 802.11a inalámbricas que soportan el protocolo 802.1x en la EAP-TLS, EAP-TTLS y PEAP forma o la autenticación menos seguro de la cliente Dirección MAC; WPA con TKIP y WPA2 con CCMP (queja 802.11i) se apoyan también; el servidor RADIUS puede también, dependiendo de el nombre de usuario, grupo o la dirección MAC de la solicitante, permitir el acceso en una VLAN 802.1Q preestablecido.
· Servidor Syslog para recibir y catalogar los registros del sistema producidos por los hosts remotos, incluyendo los sistemas Unix, routers, switches, puntos de acceso WI-FI, impresoras de red y otros compatibles con el protocolo syslog;
· Monitor Arpwatch para el seguimiento de eventos de ARP en la LAN como la duplicación de direcciones IP, chanclas y otros defectos;
· Servidor RADIUS para proporcionar una autenticación segura y la gestión automática de las claves de cifrado para las redes 802.11b, 802.11gy 802.11a inalámbricas que soportan el protocolo 802.1x en la EAP-TLS, EAP-TTLS y PEAP forma o la autenticación menos seguro de la cliente Dirección MAC; WPA con TKIP y WPA2 con CCMP (queja 802.11i) se apoyan también; el servidor RADIUS puede también, dependiendo de el nombre de usuario, grupo o la dirección MAC de la solicitante, permitir el acceso en una VLAN 802.1Q preestablecido;
· Portal Cautivo para apoyar el inicio de sesión web en redes cableadas e inalámbricas. Zeroshell actúa como puerta de entrada para las redes en las que el portal cautivo está activo y en el que las direcciones IP (por lo general pertenecientes a las subredes privadas) son asignados dinámicamente por el DHCP. Un cliente que acceda a esta red privada debe autenticarse a través de un navegador web utilizando Kerberos 5 nombre de usuario y contraseña antes de firewall del Zeroshell le permite acceder a la LAN pública. Los gateways Captive Portal se utilizan a menudo para proporcionar acceso a Internet autenticado en los puntos de acceso en alternativa al protocolo de autenticación 802.1X demasiado complicado de configurar para los usuarios. Zeroshell implementa la funcionalidad del portal cautivo en forma nativa, sin necesidad de utilizar otro software específico como NoCat o Chillispot;
· QoS (Quality of Service) la gestión y formación de tráfico para controlar el tráfico en una red congestionada. Usted será capaz de garantizar el ancho de banda mínimo, limitar el ancho de banda máximo y asignar una prioridad a una clase de tráfico (útil en aplicaciones de red sensibles a la latencia, como VoIP). La afinación anterior se puede aplicar en interfaces Ethernet, VPN, puentes y uniones de VPN. Es posible clasificar el tráfico mediante el uso de la Capa 7 filtros que permiten la inspección profunda de paquetes (DPI) que pueden ser útiles para dar forma a las aplicaciones de VoIP y P2P;
· Host-to-LAN VPN con L2TP / IPsec en el que L2TP (Layer 2 Tunneling Protocol) autenticado con Kerberos v5 nombre de usuario y contraseña se encapsula dentro de IPsec autenticada con IKE que utiliza certificados X.509;
· Lan-to-LAN VPN con la encapsulación de datagramas Ethernet en SSL / TLS de túnel, con soporte para 802.1Q VLAN y configurable en la vinculación para el equilibrio de carga (aumento banda) o la tolerancia a fallos (aumento fiabilidad);
Router con rutas estáticas y dinámicas (RIPv2 con MD5 o autenticación de texto sin formato y Split Horizon y algoritmos Envenenado inversa);
802.1d puente con el protocolo de árbol de expansión para evitar bucles, incluso en presencia de rutas redundantes;
· 802.1Q LAN virtual (VLAN etiquetada);
· Firewall filtro de paquetes y Stateful Packet Inspection (SPI) con filtros aplicables tanto en el enrutamiento y puente en todo tipo de interfaces, incluyendo VPN y VLAN;
· Es posible rechazar o forma Intercambio de archivos P2P tráfico mediante el uso del módulo iptables IPP2P en el Firewall y QoS clasificador;
NAT para utilizar direcciones de LAN clase privados ocultos en la WAN con direcciones públicas;
· TCP / reenvío de puertos UDP (PAT) para crear servidores virtuales. Esto significa que clúster de servidores reales se verá con una sola dirección IP (la IP del servidor virtual) y cada solicitud se distribuirá con el algoritmo Round Robin a los servidores reales;
· Servidor DNS multizona con gestión automática de la in-addr.arpa Resolución inversa;
· Multi servidor DHCP subred con la posibilidad de fijar IP en función de la dirección MAC del cliente;
· Cliente PPPoE para la conexión a la WAN a través de líneas ADSL, DSL y de cable (requiere un módem adecuado);
· Cliente DNS dinámico utilizado para llegar fácilmente al anfitrión en WAN incluso cuando la IP es dinámica;
· NTP (Network Time Protocol) del cliente y el servidor para mantener sincronizados los relojes de acogida;
· Servidor Syslog para recibir y catalogar los registros del sistema producidos por los hosts remotos, incluyendo los sistemas Unix, routers, switches, puntos de acceso WI-FI, impresoras de red y otros compatibles con el protocolo syslog;
· Kerberos 5 autenticación utilizando un KDC integrada y transversal de autenticación entre dominios;
· LDAP, NIS y autorización RADIUS;
· Autoridad de certificación X509 para la emisión y gestión de certificados electrónicos;
· Unix y Windows interoperabilidad de Active Directory mediante LDAP y Kerberos 5 autenticación reino cruz.
· Las siguientes funciones estarán disponibles en un futuro próximo y se incluye en la versión 1.0.0:
Servidor proxy Web para tener un caché web centralizado que es capaz de bloquear las páginas web que contengan virus. Esta característica se implementa mediante el antivirus ClamAV y el servidor proxy Squid. El servidor proxy puede ser configurado para trabajar en modo proxy transparente, en el que, no es necesario configurar los navegadores de Internet para utilizarlo, pero las peticiones http, será redirigido al proxy.
Arpwatch monitor para monitorear eventos ARP en la LAN como la duplicación de direcciones IP, flip-flops y otros defectos;
Host-to-LAN VPN con el protocolo PPTP (protocolo punto a punto de túnel), MPPE (Microsoft Point to Point Encryption) y GRE túnel;
Las siguientes funciones estarán disponibles en las próximas versiones más nuevas de 1.0.0:
Modo HostAP para tarjetas de red inalámbricas utilizando Intersil Prism2 / 2,5 / 3 chipsets. En otras palabras, una caja Zeroshell con una de esas tarjetas WiFi podría convertirse en un estándar IEEE 802.11b / g Access Point proporciona autenticación fiable y dinámico intercambio de claves WEP mediante protocolos 802.1X y WPA. Por supuesto, la autenticación se lleva a cabo mediante la autenticación EAP-TLS y PEAP sobre el servidor RADIUS integrado;
V4 servidor IMAP para administrar los buzones con la autenticación proporcionada por el servidor integrado Kerberos 5;
Servidor SMTP para recibir, enviar y mails de ruta en función de SMTP mapa de encaminamiento almacenada en el servidor LDAP integrado. Los correos entrantes y salientes son spam y virus comprobado por el antispam y antivirus filtros auto actualiza desde Internet. Por otra parte, el cliente DNS dinámico apoyado, que actualiza automáticamente el registro DNS MX, hace posible tener un servidor de correo de un dominio también si la dirección IP WAN no está asignada estáticamente.
Autenticación de tarjetas inteligentes usando el protocolo PKINIT que combina Kerberos 5 credenciales y certificados X.509. Desafortunadamente, a diferencia de las otras características, no es posible admitir la autenticación con tarjeta inteligente en poco tiempo porque MIT Kerberos v5 no implementa el protocolo PKINIT todavía.
Zeroshell es una distribución Live CD, lo que significa que no es necesario para instalarlo en el disco duro ya que puede operar directamente desde el CD-ROM en la que se distribuye. Obviamente, la base de datos, que contiene todos los datos y la configuración, se puede almacenar en ATA, SATA, SCSI y discos USB. Cualquier Corrección de errores de seguridad se pueden descargar desde el sistema de actualización automática a través de Internet e instalarse en la base de datos. Estos parches se eliminan automáticamente de la base de datos de las versiones posteriores del Live CD de Zeroshell ya que contienen las actualizaciones.
También está disponible una imagen de 512 MB Compact Flash útil si tiene que iniciar el cuadro de este dispositivo en lugar de CD-ROM, por ejemplo, en los dispositivos embebidos para aplicaciones de red. La imagen Compact Flash tiene 400 MB disponibles para almacenar la configuración y los datos.
El nombre Zeroshell subraya el hecho de que si bien es un sistema Linux (tradicionalmente administrable desde un shell), todas las operaciones de administración se pueden realizar a través de interfaz Web: en efecto, después de haber asignado una dirección IP a través de VGA o terminal serie, sólo tiene que conectar a la dirección asignada por medio de un navegador para configurar todo. Zeroshell fue probado con éxito para funcionar con Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ correo Mozilla 1.7.3+.
Edificio Zeroshell
Zeroshell no se basa en una distribución ya existente como, por ejemplo Knoppix se basa en Debian. El autor ha recopilado todo el software de la que la distribución se compone a partir del código fuente de los paquetes tar.gz o tar.bz2. El compilador gcc y las glibcs ​​de la GNU han compilado también y han tenido la llamada fase de arranque en la que han vuelto a compilar ellos mismos más veces. Esto ha sido necesario para optimizar el compilador y eliminar cada dependencia de los glibcs ​​del sistema desde el que la primera compilación se llevó a cabo. Algunos de los scripts de inicio, así como las directrices seguidas por el autor son las de Linux From Scratch.
Lista de componentes Open Source
· Linux para Linux Kernel;
· Httpd Apache para la Administración de la interfaz web del MIT krb5 para Kerberos 5 Autenticación del servidor;
· Openldap para LDAP Server;
· Ypserv para Servidor NIS (YP);
· Openssl para SSL / TLS de túnel y la gestión de CA;
· Freeradius para el servidor RADIUS + EAP-TLS y PEAP (802.1x);
· Iptables para Firewall de filtro de paquetes y Stateful Packet Inspection (SPI), NAT y reenvío de puertos (PAT);
· Openvpn para VPN de LAN a LAN de Ethernet con soporte VLAN 802.1Q;
· Unen para DNS Server;
· Stig Venaas'LDAP SD utilizar backend LDAP para DNS se unen mediante dnsZone dhcp esquema para DHCP Server;
· IPP2P módulo de iptables para la clasificación de intercambio de archivos peer-to-peer;
· Rp-pppoe para el cliente PPPoE para la conexión ADSL;
· Vconfig para Tagged VLAN 802.1Q;
· Puente-utils para Bridging 802.1d con STP;
· Ppp para conexiones punto a punto IP utilizadas para el PPPoE y el protocolo PPTP;
· Versión quagga protocolo RIP 2 utilizado para la gestión de enrutamiento dinámico;
· Ntp para el cliente y el servidor NTP para sincronizar el reloj del sistema;
· Sysklogd para el servidor Syslog para la adquisición y catalogación de los registros locales y remotos a través de protocolo syslog;
· Arpwatch para el Monitoreo de eventos ARP como la duplicación de direcciones IP, chanclas y otros defectos;
· Libpcap para las bibliotecas de captura de paquetes utilizados por arpwatch;
· Lzo para la compresión en tiempo real en lan-to-LAN VPN;
· Wget para garantizar la actualización automática con los parches que se encuentran en http://www.zeroshell.net/updates;
· Pciutils para el reconocimiento de la marca y el modelo de las tarjetas de red en el bus PCI;
· Ethtool para el reconocimiento del estado de la conexión física de conexiones Ethernet;
· E2fsprogs para la gestión de los sistemas de ficheros ext2 y ext3;
· Reiserfsprogs para la gestión de los sistemas de ficheros ReiserFS;
· Dosfstools para la gestión de los sistemas de archivos FAT y FAT32 (DOS y Windows);
· Separado para la gestión de particiones. En particular partprobe permite visualizar nuevas particiones sin necesidad de reiniciar;
· Udev para la gestión automática de devfs para hotplugs de discos USB;
· Sudo para aumentar la seguridad mediante la ejecución de Apache como un proceso sin privilegios y el aumento de privilegios sólo si es estrictamente necesario;
· Linux-PAM para PAM (Pluggable Authentication Modules).