Zeroshell: Router/Bridge Firewall Linux

Caracteristicas
Zeroshell es una distribución Linux para server y equipos integrados con la finalidad de brindar los principales servicios de red que una red LAN necesita. Es disponible en el formato de Live CD o de imagen(.ISO) para Compact Flash y es configurable e administrable a travez un browser web. A continuación un elenco de las principales caracteristicas de esta distribución Linux util a construir Net Appliance:
  • Balance y conmutación por error(Failover) de conexiones multiples a Internet
  • Conexiones UMTS/HSDPA mediante modem 3G
  • Server RADIUS para brindar autenticación y gestión automatica de las llaves de encriptación a las redes Wireless 802.11b, 802.11g e 802.11a apoyando el protocollo 802.1x en la forma EAP-TLS, EAP-TTLS y PEAP; están soportadas las modalidades WPA con TKIP y WPA2 con CCMP conforme al estándar 802.11i; el server RADIUS puede ademas, en base al username, grupo de afiliación o MAC Address del supplicant clasificar el acceso a una VLAN 802.1Q asignada a un SSID
  • Captive Portal para el soporte del web login en redes wireless y wired. Zeroshell se comporta de gateway para la red donde esta activa la Captive Portal y donde las direcciones IP (de norma pertenecen a clases privadas) vienen fornidas dinamicamente por el DHCP. Un usuario para acceder a esta red privada debe autenticarse a travez de un browser web con username y password Kerberos 5 antes que el firewall de Zeroshell le permita acceder a la LAN publica. El gateway Captive Portal son utilizados para brindar acceso a Internet en los HotSpot en alternativa a la autenticación 802.1X demasiado complicada de configurar para los usuarios. Zeroshell implementa la funzionalidad de Captive Portal en modo nativo, sin utilizar otro software específico como NoCat o ChilliSpot
  • gestión del QoS (Quality of Service) y Trafico Shaping para el control del trafico en redes congestionadas. Se pueden imponer vínculos sobre la banda minima garantizada, sobre la banda maxima y sobre la prioridad de un paquete (util en las conexiones realtime como las conexiones VoIP). Tales vínculos podran ser aplicados en interfaces Ethernet, en VPN, sobre point to point PPPoE, sobre brige e sobre bonding (agregados) de VPN. La clasificacion del trafico puede ocurrir tambien a travez de filtros Layer 7 que permiten el Deep Packet Inspection (DPI) y asi regular la banda y la prioridad de asignar a los flusos de aplicaciones como VoIP e P2P
  • HTTP Proxy con antivirus open source ClamAV en grado de blocar en manera centralizada las paginas web que contienen Virus. El proxy, realizado con HAVP, podra funcionar en modalidad transparent proxy, esto quiere decir, que no es necesario configurar el web browser de los usuarios para utilizar el server proxy, sino, las peticiones http vendran automaticamente redirigidas a este ultimo. Es ovvio, que en este caso, la maquina que hace de proxy debe ser tambien un gateway (router IP o bridge)
  • Soporte para la funzionalidad de Wireless Acces Point con Multi SSID utilizando tarjetas de red WiFi basadas sobre chipset Atheros. En otras palabras, un box Zeroshell con tales tarjetas Wi-Fi pueden funcionar como Access Point para las redes IEEE 802.11 soportando los protocolos 802.1x, WPA para la autenticación y la generacion de llaves dinamicas. Obviamente la autenticación pasa a travez EAP-TLS o PEAP usando el server RADIUS integrado
  • VPN host-to-lan con protocolos L2TP/Ipsec en el cual L2TP (Layer 2 Tunneling Protocol) autenticado con username e password Kerberos v5 esta encapsulado al interno de IPsec autenticado mediante IKE con certificados X.509
  • VPN lan-to-lan con encapsulado de las parcelas Ethernet en tunel SSL/TLS, con soporte para VLAN 802.1Q y agregables en load balancing (aumento de banda) o fault tollerance (aumento de fiabilidad)
  • Router con route estáticas y dinámicas (RIPv2 con autenticación MD5 o plain text y algoritmos Split Horizon y Poisoned Reverse)
  • Bridge 802.1d con protocolo Spanning Tree para evitar loop tambien en presencia de rutas redundantes
  • Firewall Packet Filter y StateFul Packet Inspection (SPI) con filtros aplicables sea en routing sea en bridging en todos los tipos de interfaz de red que comprende las VPN y las VLAN
  • Control a travez Firewall y Clasificador QoS del trafico de tipo File sharing P2P
  • NAT para utilizar la LAN direcciones de clases privadas disfrazandolo en la WAN con direcciones publicas
  • TCP/UDP port forwarding (PAT) para crear Virtual Server, o cluster de server reales vistos con una unica direccion IP (la direccion del Virtual Server)
  • TCP/UDP port forwarding (PAT) para crear Virtual Server, es decir Cluster de Server reales vistos con un unica direccion IP (la direccion del Virtual Server). Las peticiones en el server virtual seran gestionadas en los server reales en Round-Robin (cíclicamente) preservando las conexiones y las sesiones ya existentes. Se puede obtener asi el Load Balancing en web farm, cluster SQL y farm de calculo
  • Sever DNS multizona y con gestión automatica de la Reverse Resolution in-addr.arpa
  • Server DHCP multi subnet con posibilidad de asignar la direccion IP en base al MAC Address del solicitante
  • Virtual LAN 802.1Q (tagged VLAN) aplicables en las interfaces Ethernet, en VPN lan-to-lan, en bonding de VPN y sobre brige compuestos de interfaces Ethernet, VPN y bond de VPN
  • Client PPPoE para la conexion a la WAN a travez lineas ADSL, DSL y cable (se requiere modem adecuado)
  • Client DNS dinamico que permite la trazabilidad en WAN tambien cuando la direccion IP es dinamica. Gestión dinamica del record DNS MX para el enrutamiento SMTP del correo electronico con el mail server con IP variable
  • Server y Client NTP (Network Time Protocol) para mantener los relojes de los host sincronizados
  • Server syslog para la recepción y la catalogación de los log de sistema producidos por los host remotos como sistemas Unix, Router, Switch, Access Point Wi-Fi, Impresoras de red y otros equipos compatibles con procotolo syslog
  • Autenticación Kerberos 5 a travez de un KDC integrado y autenticación cross entre dominios
  • Autorización LDAP, NIS y RADIUS
  • Autoridad de certificacion X.509 para la emisión y la gestión de certificados electronicos
  • Integracion entre sistemas Unix y dominios Windows Active Directory en un unico sistema de autenticación y autorización a travez de LDAP y Kerberos 5 Cross Realm Authentication.


Las siguientes características no aun implementadas seran integradas en breve en la release 1.0.0:

  • Monitor ArpWatch para monitorar en la LAN eventos ARP como la duplicacion de direcciones IP, flip-flop y otras anormalidades
  • VPN host-to-lan con protocolo PPTP (Point to Point Tunneling Protocol) y criptografía MPPE (Microsoft Point to Point Encryption) con tunel GRE.


Las siguientes características seran integradas en las versiones siguientes a la 1.0.0:

  • Server IMAP version 4 para la gestión de la mailbox de los usuarios con autenticación brindada por el server Kerberos 5 integrado
  • Server SMTP para la recepción, el envío y la clasificación de los email en base a las mapas de enrutamiento registradas en el server LDAP integrado. Los mensajes e-mail en ingreso y salida son sometidos a filtros antispam y antivirus actualizables automaticamente. Ademas, el soporte a el record MX de parte del DNS dinamico integrado en Zeroshell, permite de gestionar una mail server tambien cuando no se dispone en WAN de una direccion IP fija (por ejemplo en las conexiones ADSL)
  • Autenticacion a travez Smart Card con protocolo PKINIT combinando credenciales Kerberos 5 y certificados X509. Lamentablemente, a diferencia de las caracteristicas mencionados anteriormente, No hay ninguna garantia que el soporte a las Smartcard sea implementada en breve tiempo. Esto es de debido al hecho que MIT Kerberos 5 No implementa el estándar PKINIT.


Se trata de una distribución Live CD, esto quiere decir que no es necesario hacer la instalacion en un hard disk porque puede funcionar directamente desde el CD-ROM. Obviamente el database, que contiene el conjunto de datos y informaciones, puede ser memorizado en dicos ATA, SATA, SCSI y USB. Eventuales Bug Fix de seguridad podran ser descargadas por el sistema automatico de actualización incremental por Internet y ser instalados en el database. Estos parches seran automaticamente removidos en el database de sucesivas versiones en el Live CD di Zeroshell el cual contiene las ultimas actualizaciones.

Ademas de la imagen ISO para CD esta disponible tambien una imagen para Compact Flash de 512MB (de los cuales 400MB dedicados a la conservación de la configuracion y de los datos) de aqui es posible el arranque en sistemas que disponen de un adaptador ATA CF como por ejemplo los equipos integrados para network applince.

El nombre Zeroshell resalta que a pesar de que se trata de un sistema linux (tradicionalmente administrable por la consola(SHELL)), todas las operaciones de administracion pueden ser desarolladas a travez de una interfaz Web: por esto sera suficiente, despues de haber asignado una direccion IP a travez un terminal VGA o serial, conectarse con un browser a la direccion asignada para la configuracion. Los web browser provados con los cuales Zeroshell no ha tenido problemas son: Firefox 1.0.6, Internet Explorer 6, Netscape 7.2 y Mozilla 1.7.3

Screenshots
Zeroshell