Zeroshell – Solución Router / Firewall en linux

En una de las instituciones en las que realizamos soporte técnico, ha sido necesaria la implementación de un nuevo sistema que facilitara el control de acceso a la red y los contenidos de internet.

Luego de buscar y probar varias alternativas, nos encontramos con ZeroShell.

Según la información de sus autores:

——————————————————-

Zeroshell es una distribución Linux para servidores y dispositivos integrados destinados a proporcionar los servicios de red principal de una LAN requiere. Está disponible en forma de Live CD o de imagen de Compact Flash y se puede configurar y administrar utilizando el navegador web. Las principales características de esta distribución de Linux para aplicaciones de red se enumeran a continuación:

  • De equilibrio de carga y conmutación por error de varias conexiones a Internet;
  • UMTS/HSDPA conexiones mediante el uso de módems 3G;
  • Servidor RADIUS para proporcionar una autenticación segura y la gestión automática de las claves de cifrado para el Wireless 802.11b, 802.11g y 802.11a redes que soportan el protocolo 802.1x en el EAP-TLS, EAP-TTLS y PEAP forma o la autenticación menos seguro del cliente de dirección MAC, WPA con TKIP y WPA2 con CCMP (802.11i queja) se apoyan demasiado, el servidor RADIUS también puede, en función del nombre de usuario, grupo o dirección MAC del suplicante, permitir el acceso de un 802.1Q VLAN ;
  • Portal Cautivo para apoyar el inicio de sesión web, en redes cableadas e inalámbricas. Zeroshell actúa como puerta de enlace de las redes en la que el portal cautivo está activo y en la que las direcciones IP (por lo general pertenecientes a las subredes privadas) son asignados dinámicamente por el servidor DHCP. Un cliente que tiene acceso a esta red privada debe autenticarse a través de un navegador web utilizando Kerberos 5 nombre de usuario y contraseña antes de que el firewall del Zeroshell permite al público acceder a la LAN. El Captive Portal se utilizan a menudo para proporcionar acceso autenticado a Internet en los hotspots en alternativa al protocolo de autenticación 802.1X demasiado complicado de configurar para los usuarios. Zeroshell implementa la funcionalidad de Portal Cautivo en forma nativa, sin necesidad de utilizar otro software específico NoCat o Chillispot;
  • QoS (Quality of Service) y de gestión de tráfico para controlar el tráfico en una red congestionada. Usted será capaz de garantizar el ancho de banda mínimo, limitar el ancho de banda máximo y asignar una prioridad a una clase de tráfico (útil en aplicaciones de red sensibles a la latencia como VoIP). El ajuste anterior se puede aplicar en interfaces Ethernet, redes privadas virtuales, bridges y bondings VPN. Es posible clasificar el tráfico mediante el uso de L7 filtros que permitan la inspección profunda de paquetes (DPI), que puede ser útil para dar forma a las aplicaciones de VoIP y P2P;
  • Servidor proxy de HTTP que es capaz de bloquear las páginas web que contienen virus. Esta característica se implementa con la solución antivirus ClamAV y el servidor proxy HAVP. El servidor proxy trabaja en proxy transparente el modo en el que, no es necesario configurar los navegadores de los usuarios a usarlo, pero las peticiones http será redirigido automáticamente;
  • Punto de acceso inalámbrico con múltiples SSID y VLAN de apoyo utilizando las tarjetas de red WiFi basada en el chipset Atheros. En otras palabras, un cuadro de Zeroshell con uno de tales tarjetas WiFi podría convertirse en un punto de acceso IEEE 802.11a/b/g proporciona autenticación fiable y el intercambio de claves dinámicas de 802.1X y protocolos WPA. Por supuesto, la autenticación se lleva a cabo con EAP-TLS y PEAP sobre el servidor RADIUS integrado;
  • Host-a-LAN VPN con L2TP/IPsec en el que L2TP (Layer 2 Tunneling Protocol) autenticado con Kerberos v5 nombre de usuario y la contraseña es encapsulado dentro de IPSec autenticada con IKE que utiliza certificados X.509;
  • VPN Lan-to-LAN con la encapsulación de datagramas Ethernet en SSL/TLS de túnel, con soporte para VLAN 802.1Q y configurar en la vinculación de balanceo de carga (aumento de banda) o la tolerancia a fallos (aumentar la fiabilidad);
  • Enrutador con rutas estáticas y dinámicas (RIPv2);
  • Bridge 802.1d con protocolo Spanning Tree para evitar bucles, incluso en la presencia de rutas redundantes;
  • LAN virtual 802.1Q (VLAN etiquetado);
  • Firewall Packet Filter y Stateful Packet Inspection (SPI) con filtros aplicables en las dos rutas y bridges en todo tipo de interfaces, incluyendo VPN y VLAN;
  • Es posible rechazar o forma de uso compartido de archivos P2P tráfico mediante el uso de iptables IPP2P módulo en el Firewall y QoS clasificador;
  • NAT para utilizar la red LAN clase de direcciones privadas ocultas en la WAN con direcciones públicas;
  • Port Forwarding TCP/UDP (PAT) para crear servidores virtuales. Esto significa que clúster de servidores reales se verán con una única dirección IP (la IP del servidor virtual) y cada solicitud será distribuido con Round Robin algoritmo a los servidores reales;
  • Multizona servidor DNS con la gestión automática de la Resolución Inversa in-addr.arpa;
  • Subred multi servidor DHCP con la posibilidad de IP fija en función de la dirección MAC del cliente;
  • Cliente PPPoE para la conexión a la WAN a través de ADSL, DSL y líneas de cable (requiere un adecuado MODEM);
  • Cliente de DNS dinámico para llegar fácilmente a la sede, incluso cuando la IP es dinámica;
  • NTP (Network Time Protocol) del cliente y el servidor host para mantener sincronizados los relojes;
  • Servidor Syslog para la recepción y catalogación de los registros del sistema producido por los hosts remotos, incluidos los sistemas Unix, routers, switches, puntos de acceso Wi-Fi, impresoras de red y otros compatibles con el protocolo syslog;
  • Autenticación Kerberos 5 utilizando un enfoque integrado y transversal KDC-autenticación entre reinos (cross-authentication);
  • LDAP, NIS y RADIUS autorización;
  • X509 entidad emisora ​​de certificados para la emisión y gestión de certificados electrónicos;
  • Unix y Windows Active Directory mediante la interoperabilidad LDAP y Kerberos 5 de autenticación reino cruz.

Zeroshell es una distribución Live CD, es decir, que no es necesario instalarlo en el disco duro, ya que puede operar directamente desde el CD-ROM en el que se distribuye. Obviamente, la base de datos, que contiene todos los datos y la configuración, se pueden almacenar en ATA, SATA, SCSI y discos USB. Cualquier Corrección de errores de seguridad se pueden descargar desde el sistema de actualización automática a través de Internet e instalado en la base de datos. Estos parches se eliminará automáticamente de la base de datos de las versiones posteriores del Zeroshell Live CD que ya contiene las actualizaciones.

También está disponible una imagen Compact Flash de 512 MB útil si tiene que iniciar el cuadro de este dispositivo en lugar de CD-ROM por ejemplo, en dispositivos integrados para aplicaciones de red. La imagen Compact Flash tiene 400 MB disponibles para almacenar la configuración y datos.

El nombre Zeroshell subraya el hecho de que, si bien se trata de un sistema Linux (tradicionalmente administrable desde una consola), todas las operaciones de administración se puede realizar a través de interfaz web: de hecho, después de haber asignado una dirección IP a través de una terminal VGA o de serie , basta con conectarse a la dirección asignada por medio de un navegador para configurar todo. Zeroshell fue probado con éxito para trabajar con Firefox 1.0.6 +, Internet Explorer 6 +, Netscape 7.2 + e + Mozilla 1.7.3.

—————————————————————————–

La verdad, es que nos ha sorprendido gratamente debido a sus excelentes resultados, puesto que trabaja con cerca de 200 equipos, un portal cautivo y filtrado de contenidos mediante DansGuardian.

Si estás buscando una alternativa económica y con excelentes resultados para tu empresa o institución, probablemente ZeroShell sea lo que necesitas.

http://www.zeroshell.net/es/

Publicaciones Similares