Faith Networks esseri umani e macchine sono fatti di memoria: privi di essa perdono entrambi significato ed identità
    [ The Web? FaITh Systems & Services. Just connect! ]   
::  Il sito di Emanuele Zerbin  ::  Saturday, 20 April 2024 - 07:11      


 :: Ciao!

Ciao

Buon giorno, 18.222.23.115!


 :: Navigazione


 :: Contenuti


 :: Ricerca

Cerca

Inserisci il termine da ricercare nel sito


 


 :: Widgets


 :: Campagne

European Digital Rights

No al Trusted Computing!

No alla brevettabilità del software!



 :: News Odierne
Nessun articolo per oggi...


 :: Headlines


 :: Traffico
· 31.184.238.33
· 208.80.194.27
· 193.105.210.87
· 83.99.185.25
· 64.31.20.60
· 89.252.58.37
· 94.181.128.125
· 207.46.13.93
· 77.122.6.192
· 66.249.72.101
NukeSentinel™ 2.0.0 RC 6


 :: Visite Totali

Visite

Da Marzo 2005 il sito ha ricevuto 9844054 contatti.




 :: Nuke Sentinel

NukeSentinel

Questo sito è protetto da NukeSentinel™ 2.0.0 RC 6.

Finora sono stati bloccati 1235 tentativi di attacco.


 :: Preferenze Cookies


Beh? =)

 Zeroshell
Hacking
E' da un po' che volevo scrivere questo articolo su ZeroShell, l'ottima distribuzione italiana Linux-based di Fulvio Ricciardi, che gira ormai da anni sul gateway di casa FaITh Systems.

Come descrivere meglio Zeroshell se non utilizzando la descrizione sul sito ufficiale?

Zeroshell è una distribuzione Linux per server e dispositivi embedded il cui scopo è fornire i principali servizi di rete di cui una LAN necessita. È disponibile nel formato di Live CD o di immagine per Compact Flash ed è configurabile ed amministrabile tramite un browser web. Di seguito sono elencate le principali caratteristiche di questa distribuzione Linux utile a costruire Net Appliance:
  1. Bilanciamento e Failover di connessioni multiple a Internet;
  2. Connessioni UMTS/HSDPA mediante modem 3G;
  3. Server RADIUS per fornire autenticazione e gestione automatica delle chiavi di cifratura alle reti Wireless 802.11b, 802.11g e 802.11a supportando il protocollo 802.1x nella forma EAP-TLS, EAP-TTLS e PEAP; sono supportate le modalità WPA con TKIP e WPA2 con CCMP conforme allo standard 802.11i; il server RADIUS può inoltre, in base allo username, il gruppo di appartenenza o MAC Address del supplicant smistare l'accesso su di una VLAN 802.1Q assegnata ad un SSID;
  4. Captive Portal per il supporto del web login su reti wireless e wired. Zeroshell agisce da gateway per la rete su cui è attivo il Captive Portal e su cui gli indirizzi IP (di solito appartenenti a classi private) vengono forniti dinamicamente dal DHCP. Un client che accede a questa network privata deve autenticarsi mediante un web browser con username e password Kerberos 5 prima che il firewall di Zeroshell gli permetta di accedere alla LAN pubblica. I gateway Captive Portal sono utilizzati spesso per fornire accesso a Internet negli HotSpot in alternativa all'autenticazione 802.1X troppo complicata da configurare per gli utenti. Zeroshell implementa la funzionalità di Captive Portal in maniera nativa, senza utilizzare altro software specifico come NoCat o Chillispot;
  5. Gestione del QoS (Quality of Service) e traffic shaping per il controllo del traffico su reti congestionate. Si possono imporre vincoli sulla banda minima garantita, sulla banda massima e sulla priorità di un pacchetto (utile nelle connessioni realtime come le VoIP). Tali vincoli potranno essere applicati sulle interfacce Ethernet, sulle VPN, sui point to point PPPoE, sui bridge e sui bonding (aggregati) di VPN. La classificazione del traffico può avvenire anche mediante i filtri Layer 7 che permettono il Deep Packet Inspection (DPI) e quindi di regolare la banda e la priorità da assegnare ai flussi di applicazioni come VoIP e P2P;
  6. HTTP Proxy con antivirus open source ClamAV in grado di bloccare in maniera centralizzata le pagine web contenenti Virus. Il proxy, realizzato con HAVP, potrà funziona in modalità transparent proxy, intendendo con ciò, che non è necessario configurare i web browser degli utenti per utilizzare il server proxy, ma, le richieste http verranno automaticamente reindirizzate a quest'ultimo. È ovvio, che in questo caso, la macchina che fa da proxy deve essere anche un gateway (router IP o bridge);
  7. Supporto per la funzionalità di Wireless Access Point con Multi SSID utilizzando schede di rete WiFi basate sui chipset Atheros. In altre parole, un box Zeroshell con una di tali schede WI-FI può funzionare come Access Point per le reti IEEE 802.11 supportando i protocolli 802.1X, WPA per l'autenticazione e la generazione di chiavi dinamiche. Ovviamente l'autenticazione avviene tramite EAP-TLS o PEAP sfruttando il server RADIUS integrato;
  8. VPN host-to-lan con protocollo L2TP/IPsec in cui L2TP (Layer 2 Tunneling Protocol) autenticato con username e password Kerberos v5 viene incapsulato all'interno di IPsec autenticato mediante IKE con certificati X.509;
  9. VPN lan-to-lan con incapsulamento delle trame Ethernet in tunnel SSL/TLS, con supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);
  10. Router con route statiche e dinamiche (RIPv2 con autenticazione MD5 o plain text e algoritmi Split Horizon e Poisoned Reverse);
  11. Bridge 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;
  12. Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia in routing sia in bridging su tutti i tipi di interfaccia di rete comprese le VPN e le VLAN;
  13. Controllo mediante Firewall e Classificatore QoS del traffico di tipo File sharing P2P;
  14. NAT per utilizzare sulla LAN indirizzi di classi private mascherandoli sulla WAN con indirizzi pubblici;
  15. TCP/UDP port forwarding (PAT) per creare Virtual Server, ovvero cluster di server reali visti con un unico indirizzo IP (l'indirizzo del Virtual Server). Le richieste sul server virtuale saranno smistate sui server reali in Round-Robin (ciclicamente) preservando le connessioni e le sessioni già esistenti. Si può così ottenere il load balancing su web farm, cluster SQL e farm di calcolo;
  16. Server DNS multizona e con gestione automatica della Reverse Resolution in-addr.arpa;
  17. Server DHCP multi subnet con possibilità di assegnare l'indirizzo IP in base al MAC Address del richiedente;
  18. Virtual LAN 802.1Q (tagged VLAN) applicabili sulle interfacce Ethernet, sulle VPN lan-to-lan, sui bonding di VPN e sui bridge composti da interfacce Ethernet, VPN e bond di VPN;
  19. Client PPPoE per la connessione alla WAN tramite linee ADSL, DSL e cavo (richiede MODEM adeguato);
  20. Client DNS dinamico che permette la rintracciabilità su WAN anche quando l'IP è dinamico. Gestione dinamica del record dns MX per l'instradamento SMTP della posta elettronica su mail server con IP variabile;
  21. Server e client NTP (Network Time Protocol) per mantenere gli orologi degli host sincronizzati;
  22. Server syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altro compatibile con protocollo syslog;
  23. Autenticazione Kerberos 5 mediante un KDC integrato e cross autenticazione tra domini;
  24. Autorizzazione LDAP, NIS e RADIUS;
  25. Autorità di certificazione X.509 per l'emissione e la gestione di certificati elettronici;
  26. Integrazione tra sistemi Unix e domini Windows Active Directory in un unico sistema di autenticazione e autorizzazione mediante LDAP e Kerberos 5 cross realm authentication.

Si tratta di una distribuzione Live CD, intendendo con ciò che non è necessario installarla su hard disk poiché può funzionare direttamente dal CDROM su cui è distribuita. Ovviamente il database, contenente l'insieme dei dati e delle configurazioni, può essere memorizzato su dischi ATA, SATA, SCSI e USB. Eventuali Bug Fix di sicurezza potranno essere scaricati dal sistema automatico di update incrementale via Internet e installati nel database. Tali patch saranno automaticamente rimosse dal database da successive release del Live CD di Zeroshell che già contengono gli updates.

Oltre all'immagine ISO per CD è disponibile anche un'immagine per Compact Flash da 512MB (di cui 400MB dedicati alla memorizzazione della configurazione e dei dati) da cui è possibile il boot su sistemi che dispongono di un adattatore ATA CF come per esempio i dispositivi embedded per netwok appliance.

Il nome Zeroshell sottolinea che pur trattandosi di un sistema Linux (tradizionalmente amministrabile da shell), tutte le operazioni di amministrazione possono essere svolte tramite un'interfaccia Web: è sufficiente infatti, dopo aver assegnato un indirizzo IP tramite un terminale VGA o seriale, collegarsi con un browser all'indirizzo assegnato per configurare il tutto.

L'installazione che ho messo in opera utilizza un SSD opportunamente partizionato come base per il sistema e come archivio del database, un processore Intel P4 3GHz e 3Gb di RAM. Ovviamente l'hardware è di molto sovradimensionato, ma considerando che funge anche da proxy per la rete riservata agli ospiti ed ai dispositivi wireless ho preferito restare sul comodo (considerando anche la sovrabbondanza di pezzi nel laboratorio).

Il processo di installazione della distribuzione su disco è molto semplice.
Innanzitutto occorre copiare su una chiavetta usb l’immagine di Zeroshell per compact flash, utilizzando -per esempio- l'esplora risorse di Windows. Per semplicità ho preferito rinominare il file scaricato in zeroshell.img.gz. Terminata la copia, inserite la chiavetta sulla macchina che diventerà il nostro nodo Zeroshell e collegate l’HD dove eseguire la scompattazione della distro (ovviamente come primary master).
Avviate la macchina con il live cd di Zeroshell, alla schermata principale premete il tasto s per aprire la shell di Linux, verificate che tutti i device siano presenti, con il comando fdisk –l. Si dovrebbe vedere una lista con i relativi block device, tipo Disk /dev/hda , /dev/hda1 [etc...], e soprattutto il /dev/sda1 che nella maggior parte dei casi è la partizione della chiavetta usb. Verificato ciò montate il volume della chiavetta utilizzando mount /dev/sda1 /mnt/loop1 e spostatevi sul device appena montato con il comando cd /mnt/loop1. Eseguite da qui gunzip –c zeroshell.img.gz > /dev/hda facendo presente che ogni dato presente su hda verrà eliminato. Attendete la fine dell’operazione , riavviate con ctrl+alt+canc. rimuovete il cd di Zeroshell e proseguite con la configurazione.

Terminato il setup della parte di base, sta all'utente finale eseguire la personalizzazione del sistema, in base alle proprie esigenze: load balancing e failover, captive portal, proxy con antivirus, QoS e traffic shaping e moltissime altre tra le funzioni disponibili. Oltre alle pagine di documentazione ufficiali disponibili sul sito del progetto, un ottima guida è disponibile all'indirizzo www.linuxgeek.net/firewalls/zero-shell/.

  Postato Wednesday, 25 March 2015 @ 12:46:59 CET da Emanuele


 
 :: Links Correlati
· Inoltre Hacking
· News by Emanuele
Articolo più letto relativo a Hacking:
Il contatore Enel digitale


 :: Gradimento
Voto medio: 4.92
Voti: 14


Puoi votare questa news!

Eccellente
Discreto
Buono
Così così
Schifoso

 


 :: Opzioni


I commenti sono di proprietà dell'inserzionista. Noi non siamo responsabili per il loro contenuto.

Commenti NON abilitati...

Licenza Creative Commons No Spam! Glider! Powered by Apache Powered by MySQL Powered by PhP Php Nuke Based Feeder Rss2 Protetto da NukeSentinel 


.: Informazioni Legali & Copyright :: Informazioni su questo portale e su FaITh :.

Emanuele Zerbin - ©FaITh.net Systems - Servizi e Risorse Web in Friuli
L'engine di questo portale è un copyright © PHP-Nuke - Francisco Burzi. Tutti i diritti riservati. PHP-Nuke è un Software Free rilasciato sotto licenza GNU/GPL. Versione Z 5.19.2 - Pagina generata in 0.08 secondi