martedì, Marzo 19, 2024

ZeroShell: una distribuzione Linux per i servizi di rete

Si tratta di una distribuzione Live CD, intendendo con ciò che non è necessario installarla su hard disk poiché può funzionare direttamente dal CDROM su cui è distribuita. Ovviamente il database, contenente l’insieme dei dati e delle configurazioni, può essere memorizzato su dischi ATA, SATA, SCSI e USB. Eventuali Bug Fix di sicurezza potranno essere scaricati dal sistema automatico di update incrementale via Internet e installati nel database. Tali patch saranno automaticamente rimosse dal database da successive release del Live CD di Zeroshell che già contengono gli updates. Oltre all’immagine ISO per CD è disponibile anche un immagine per Compact Flash da 128MB (64MB dedicati al database) da cui è possibile il boot su sistemi che dispongono di un adattatore ATA CF.

Il nome Zeroshell sottolinea che pur trattandosi di un sistema Linux (tradizionalmente amministrabile da shell), tutte le operazioni di amministrazione possono essere svolte tramite un’interfaccia Web: è sufficiente infatti, dopo aver assegnato un indirizzo IP tramite un terminale VGA o seriale, collegarsi con un browser all’indirizzo assegnato per configurare il tutto. I browser testati e con cui Zeroshell non ha avuto problemi sono: Firefox 1.0.6, Internet Explorer 6, Netscape 7.2 e Mozilla 1.7.3.
Il suo scopo, è quello di fornire i servizi di cui una LAN necessita:

  • Autenticazione Kerberos 5 o con certificati X.509;
  • Autorizzazione LDAP, NIS e RADIUS;
  • Autorità di certificazione X.509 per l’emissione e la gestione di certificati elettronici;
  • Integrazione tra sistemi Unix e domini Windows Active Directory in un unico sistema di autenticazione e autorizzazione mediante LDAP e Kerberos 5 cross realm authentication;
  • Router con route statiche e dinamiche (RIPv2 con autenticazione MD5 o plain text e algoritmi Split Horizon e Poisoned Reverse);
  • Bridge 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;
  • Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia in routing sia in bridging su tutti i tipi di interfaccia di

rete comprese le VLAN;

  • NAT per utilizzare sulla LAN indirizzi di classi private mascherandoli sulla WAN con indirizzi pubblici;
  • TCP/UDP port forwarding (PAT) per creare Virtual Server, ovvero cluster di server reali visti con un unico indirizzo IP (l’indirizzo del Virtual Server). Le richieste sul server virtuale saranno smistate sui server reali in Round-Robin (ciclicamente) preservando le connessioni e le sessioni già esistenti. Si può così ottenere il load balancing su web farm, cluster SQL e farm di calcolo;
  • Server DNS multizona e con gestione automatica della Reverse Resolution in-addr.arpa;
  • Server DHCP multi subnet con possibilità di assegnare l’indirizzo IP in base al MAC Address del richiedente;
  • VPN host-to-lan con protocollo PPTP (Point to Point Tunneling Protocol) e crittografia MPPE (Microsoft Point to Point Encryption) su tunnel GRE;
  • VPN lan-to-lan con incapsulamento delle trame Ethernet in tunnel SSL/TLS, con supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);
  • Virtual LAN 802.1Q (tagged VLAN) applicabili sulle interfacce Ethernet, sulle VPN lan-to-lan, sui bonding di VPN e sui bridge composti da interfacce Ethernet, VPN e bond di VPN;
  • Client PPPoE per la connessione alla WAN tramite linee ADSL, DSL e cavo (richiede MODEM adeguato);
  • Client DNS dinamico che permette la rintracciabilità su WAN anche quando l’IP è dinamico. Gestione dinamica del record dns MX per l’instradamento SMTP della posta elettronica su mail server con IP variabile;
  • Server e client NTP (Network Time Protocol) per mantenere gli orologi degli host sincronizzati;
  • Server RADIUS per fornire autenticazione sicura e gestione automatica delle chiavi WEP alle reti Wireless 802.11b/g supportando il protocollo 802.1x nella forma EAP-TLS e PEAP o la meno sicura autenticazione del solo MAC Address; il server RADIUS può inoltre, in base allo username, il gruppo di appartenenza o MAC Address del supplicant smistare l’accesso su di una predefinita VLAN 802.1Q.
  • Server syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altro compatibile con protocollo syslog;
  • Monitor arpwatch per monitorare sulla LAN eventi ARP quali duplicazione di indirizzi IP, flip-flop e altre anomalie;

Le seguenti features saranno integrate nelle release successive la 1.0.0:

  • Supporto per la modalità Host AP per le schede di rete wireless con chipset Intersil Prism2/2.5/3. In altre parole, un box Zeroshell con una di tali schede WI-FI può funzionare come Access Point per le reti IEEE 802.11 supportando i protocolli 802.1X, WPA per l’autenticazione e la generazione di chiavi WEP dinamiche. Ovviamente l’autenticazione avviene tramite EAP-TLS o PEAP sfruttando il server RADIUS integrato;
  • Gestione del QoS (Quality of Service) per il controllo del traffico su reti congestionate. Si possono imporre vincoli sulla banda minima garantita, sulla banda massima e sul tempo massimo di latenza di un pacchetto prima di essere smistato (utile nelle connessioni realtime come le VoIP). Tali vincoli potranno essere applicati sulle interfacce Ethernet, sulle VPN, sui point to point PPPoE, sui bridge e sui bonding (aggregati) di VPN. Inoltre il firewall, in aggiunta ai target DROP, REJECT e ACCEPT dispone di una particolare chain QOS che applicherà i vincoli di QoS in base alle regole imposte sui protocolli e sulle connessioni. In particolare, alcune regole di layer 5 (sessione) permetteranno di modellare o vietare il traffico P2P (peer to peer);
  • Captive Portal per il supporto del web login su reti wireless e wired. Zeroshell agisce da gateway per la rete su cui è attivo il Captive Portal e su cui gli indirizzi IP (di solito appartenenti a classi private) vengono forniti dinamicamente dal DHCP. Un client che accede a questa network privata deve autenticarsi mediante un web browser con username e password Kerberos 5 prima che il firewall di Zeroshell gli permetta di accedere alla LAN pubblica. I gateway Captive Portal sono utilizzati spesso per fornire accesso a Internet negli HotSpot in alternativa all’autenticazione 802.1X troppo complicata da configurare per gli utenti. Zeroshell implementa la funzionalità di Captive Portal in maniera nativa, senza utilizzare altro software specifico come NoCat o Chillispot;
  • Server IMAP versione 4 per la gestione delle mailbox degli utenti con autenticazione fornita dal server Kerberos 5 integrato;
  • Server SMTP per la ricezione, la spedizione e lo smistamento delle mail in base alle mappe di instradamento registrate sul server LDAP integrato. I messaggi e-mail in ingresso e uscita sono sottoposti a filtri antispam e antivirus aggiornabili automaticamente. Inoltre, il supporto al record MX da parte del DNS dinamico integrato in Zeroshell, permette di gestire un mail server anche quando non si dispone su WAN di un indirizzo IP fisso (per esempio nei collegamenti ADSL);
  • Autenticazione tramite Smart Card con protocollo PKINIT combinando credenziali Kerberos 5 e certificati X509. Purtroppo, diversamente dalle features sopraelencate, non vi è nessuna garanzia che il supporto alle Smartcard sia implementato in tempi brevi. Ciò è dovuto al fatto che MIT Kerberos 5 non implementa lo standard PKINIT.

Articoli correlati

Il caso “Medusa Ransomware”

I ransomware stanno diventando sempre più una minaccia di rilevanza importante, quasi da non far dormire sonni tranquilli ad aziende sia pubbliche che private,...

Digital Transformation


 

Noleggia una Tesla per il tuo evento ICT!

Categorie