คุณสมบัติ ZeroShell

zeroshellZeroShell เป็นลินุกซ์ฟรีสำหรับเครื่องเซิร์ฟเวอร์และคอมพิวเตอร์แบบฝังตัวเพื่อช่วยใน การจัดการเกี่ยวกับการบริการในระบบเครือข่ายคอมพิวเตอร์ (LAN) มีให้ใช้ในรูปแบบของ Live CD หรือ Compact Flash Image และคุณสามารถเซ็ตอัพและจัดการมันโดยใช้เว็บบราวซเซอร์ * Load Balancing and Failover สำหรับการทำ Load Balance Link * UMTS/HSDPA สำหรับการเชื่อมต่อผ่านโมเด็ม 3G * RADIUS Server สำหรับความปลอดภัยในการตรวจสอบชื่อผู้ใช้ และการเข้ารหัสข้อมูลเมื่อใช้กับเครือข่ายไร้สายมาตราฐาน 802.11b และ 802.11g สนับสนุการทำงานกับ 802.1x ใน EAP-TLS, EAP-TTLS และ PEAPหรือ รูปแบบที่มีความปลอดภัยน้อยกว่า เช่น WPA กับ TRIP และ WPA2 กับ CCMP (802.11i) ก็รองรับการทำงานด้วยเช่นกัน RADIUS Server ก็เช่นเดียวกัน ขึ้นอยู่กับ ชื่อผู้ใช้ กลุ่ม หรือ MAC Address ของผู้ร้องขอ เพื่ออนุญาตให้เข้าถึง VLAN 802.1Q ที่ได้ตั้งค่าไว้ * Captive Portal เพื่อให้ผู้ใช้ Log in ผ่านเว็บในเครือข่ายไร้สายและมีสาย ZeroShell ทำตัวเป็น Gateway สำหรับเน็ตเวิร์คในที่ซึ่ง Captive Portal ทำงานอยู่ และบน Private IP ที่ Captive Portal นั้นทำงานอยู่เช่นกัน เครื่องลูกข่าย (Client) ที่ต้องการเข้าถึงเครือข่ายส่วนตัวนี้จะต้องตรวจสอบตัวเองผ่านหน้าเว็บโดย ใช้ชื่อและรหัสผ่านบน Kerberos 5ก่อนที่ไฟร์วอลล์จะอนุญาตให้เข้าไปยังเครือข่ายสาธารณะ (Public LAN) Captive Portal ส่วนใหญ่ใช้สำหรับการตรวจสอบการใช้งานอินเตอร์เน็ต เช่น postalHotSpot ZeroShell นำ Captive Portal ไปใช้งานในแบบเฉพาะของตัวเอง ไม่ต้องติดตั้งโปรแกรมใดๆเหมือนกับ NoCat หรือ Chillispot * QoS (Quality of Service) จัดการและควบคุมTrafic บนเครือข่ายที่มีความคับคั่ง คุณรับรองได้ว่าคุณจะได้แบนด์วิธขั้นต่ำ จำกัดแบนด์วิธ และกำหนดระดับความสำคัญให้กับกลุ่มของ trafic (มีประโยชน์มากสำหรับเครือข่ายที่อ่อนไหวในเรื่องความหน่วง เช่น VoIP) การปรับแต่ที่กล่าวมาสามารถประยุกต์ใช้กับ Ethernet Interface, VPN, Brigde และ VPN Bridge นอกจากนั้ยังสามารถในนำการแบ่งกลุ่มของ trafic ไปประยุกต์ใช้กับ Layer 7 ซึ่งสามารถตรวจสอบข้อมูลได้ลึกลงอีก (Deep Packet Inspection) ซึ่งเป็นประโยชน์สำหรับ VoIP และ P2P * HTTP Proxy server ที่สามารถบล็อกเว็บที่มีไวรัส คุณลักษณะนี้เป็นการนำเอา ClamAV Antivirus และ HAVP Proxy server มาประยุกต์ใช้งาน Proxy server ทำงานในโหมด Transparent ซึ่งคุณไม่ต้องตั้งค่าใดๆในเว็บบราวเซอร์ของผู้ใช้ แต่ http จะเปลี่ยนทิศทางไปยัง proxy โดยอัตโนมัติ * Wireless Access Point Mode สามารถสร้าง SSID และ VLAN ได้ สนับสนุนการทำงานร่วมกับ Chip Atheros อีกนัยหนึ่งของ ZeroShellที่มี Wifi Card สามารถทำให้เป็น Access Point มาตราฐาน 802.11a/b/g ที่มีความเสถึยรในเรื่องของการตรวจสอบชื่อผู้ใช้งาน การตรวจสอบชื่อผู้ใช้อาจจะทำผ่าน EAP-TLS และ PEAP บน RADIUS Server * Host-to-LAN แบบ L2TP/IPSec ตรวจสอบผู้ใช้ผ่านทาง Kerberos v5 ชื่อผู้ใช้และรหัสผ่านถูกเข้ารหัสอยู่ภายในท่อของ IPSec ตรวจสอบการเชื่อมต่อโดยใช้ IKE ซึ่งใช้ X.509 * LAN-to-LAN VPN เป็นการเข้ารหัสของ Ethernet Datagram อยู่ภายในท่อของ SSL/TLS สนับสนนการทำงานร่วมกับ 802.1Q และสามารถทำการรวม interface เพื่อทำ Load balance หรือชดเชยความผิดพลาด (เพิ่มความน่าเขื่อถือของระบบ) * Router สนับสนุนการทำงานทั้ง Static และ Dynamic Route (RIPv2 ที่มี MD5 หรือ ข้อความที่ไม่ได้เข้ารหัส ในการตรวจสอบการใช้งาน) * 802.1d Bridge with spanning tree protocol เพื่อหลีกเลี่ยงไม่ให้เกิด Loop แต่เพิ่มเส้นทางการวิ่งของ Packet * 802.1Q VLAN (tagged VLAN) * Firewall Packet Filter and Stateful Packet Inspection (SPI) โดยการกรองนี้ใช้กับทั้ง Bridge และ Routing รวมถึง VPN และ VLAN * สามารถ Reject หรือ ทำ QoS กับ P2P โดยใช้ Firewall หรือ QoS * NAT ไปยังเครือข่ายส่วนตัว เพื่อปิดบัง IP ภายในจากข้างนอก * TCP/UDP port forwarding เพื่อสร้างเซิร์ฟเวอร์เสมือน (Virtual Server) หมายความว่า เวิร์ฟเวอร์จรีงหลายๆตัวจะเห็นเพียงแค่ไอพีเดียวแต่ละการร้องขอจะส่งไปยัง เซิร์ฟเวอร์โดยใช้อัลกอริทึมแบบ Round Robin * Multizone DNS server สามารถทำ Reverse Address อัตโนมัติ * PPoE Client สำหรับการเชื่อมต่อ WAN ผ่าน ADSL * Dynamic DNS client เพื่อให้ง่ายต่ดการเข้าถึงโฮสต์ * NTP เป็นทั้ง client และ Server เพื่อทำให้เวลาของเครื่องคอมพิวเตอร์ในเครือข่ายตรงกัน * Syslog server สำหรับทำแคตาล็อกที่ถูกส่งมาจาก Unix, router, switch, Access Point, network printer และอื่นๆที่สามารถเข้ากันได้กับ syslog protocol * Kerberos 5 สามารถตรวจสอบชื่อผู้ใช้ทั้งในตัว ZeroShell เองและข้ามระหว่าง Realm * LDAP,NIS และ RADIUS * X509 CA สำหรับออกใบรับรองและเป็นตัวจัดการใบรับรอง * สามารถทำงานร่วมกับ Unix และ Windows Active Directory โดยใช้ LDAP และ Kerberos 5 คุณลักษณะดังต่อไปนี้จะถูกรวมเข้าไปในเวอร์ชัน 1.0.0 * Arpwatch เพื่อตรวจสอบเหตุการณ์ใน LAN เช่น ไอพีที่ซ้ำกัน และอื่นๆ * Host-to-LAN VPN โดยใข้ PPTP โปรโตคอล MPPEและ GRE คุณลักษณะดังต่อไปนี้จะมีให้ใช้งานในเวอร์ชันสูงกว่า 1.0.0 * IMAP v4 server เพื่อจัดการกล่องจดหมาย (mailbox) โดยสามารถตรวจสอบชื่อผู้ใช้ผ่าน Kerberos 5 ที่มีอยู่แล้ว * SMTP server เพื่อรับ ส่งและส่งต่อ จดหมายขึ้นอยู่กับแผนที่การส่งที่เก็บอยู่ใน LDAP server เมล์ที่เป็น Spam และไวรัสจะถูกตรวจสอบโดย antispam และ antivirus และสามารถอัปเดทผ่านทางอินเตอร์เน็ต นอกจากนี้ยังสนับสนุนการทำงานร่วมกับ Dynamic DNS client ที่สามารถอัปเดท DNS MX Record ทำให้มีความเป็นไปได้ที่จะมีเมล์อยู่บนไอพีที่เปลี่ยนแลงอยู่ตลอดเวลา * Smart Card authentication โดยใช้ PKINIT โปรโตคอลที่รวมอยู่ใน Kerberos 5 และใบรับรองแบบ X.509 เป็นไปไม่ได้ที่จะตรวจสอบผู้ใช้โดยใช้ Smartcard ในช่วงเวลาอันสั้น เนื่องจาก MIT ยังไม่ได้ดำเนินการกับ PKINIT ZeroShell เผยแพร่ในรูปแบบ Live CD หมายความว่า ไม่จำเป็นที่จะต้องติดตั้งโปรแกรมใดๆลงบนฮาร์ดดิส ในเมื่อมันสามารถทำงานได้โดยตรงจาก CDROM แต่ฐานข้อมูลซึ่งประกอบด้วยการตั้งค่าต่างๆสามารถเก็บอยู่ใน ATA,SATA,SCSI และ USB ข้อผิดพลาดของซอฟต์แวร์ (bug) สามารถดาวน์โหลดจากอินเตอร์เน็ตและติดตั้งลงฐานข้อมูลอัตโนมัติ ข้อผิดพลาดเหล่านี้จะไม่มีในการทำ Live CD ถัดไป คุณสามารถติดตั้ง ZeroShell ลงไปใน Compact Flash ขนาด 512MB ซึ่งเป็นคอมพิวเตอร์แบบฝังตัว (Embedded computer) แทนที่จะทำงานจาก CDROM Compact flash มีพื้นที่ให้ใช้ 400MB เพื่อเก็บการตั้งค่าและข้อมูล ชื่อ ZeroShell ถึงแม้จะเป็น Linux แต่สามารถบริหารจัดการได้ผ่าน เว็บ จริงๆแล้วหลังจากที่กำหนดไอพีผ่าน VGA หรือ Serial terminal หลังจากนั้นเพียงแค่เชื่อมต่อสาย LAN และสามารถใช้บราวเซอร์เข้าไปตั้งค่าต่างๆได้เลย โดยสามารถใช้ได้กับ Firefox 1.0.6+, Internet Explorer 6+, Netcape 7.2+, Mozilla 1.7.3+ Building Zeroshell Zeroshell ไม่เหมือนกับลินุกซ์ที่แจกจ่ายอยู่ในปัจจุบันเช่น Knoppix ซึ่งอยู่บนพื้นของ Debian ผู้สร้างได้คอมไพล์ซอฟต์แวร์ทั้งหมดจากซอฟต์แวร์ที่แจกจ่ายอยู่ โดยเริ่มจากซอร์สโค๊ดที่เป็น package ในรูปแบบ tar.gz หรือ tar.bz2 โดยใช้คอมไพเลอร์ gcc และ glibc ของ GNU ทำให้เราได้ซอฟต์แวร์ที่มีความกะทัดรัดมากขึ้น บางสคริปในตอนเริ่มต้น ผู้สร้างได้จาก Linux From Scratch สำหรับรายการของซอฟต์แวร์สามารถดูได้จากที่นี่ ที่มา : http://www.linuxfirewall.in.th