martedì 17 maggio 2011

Zeroshell: il miglior Router, Bridge, Firewall italiano

Zeroshell è una distribuzione Linux gratuita ed italiana che può essere installata su un PC standard e che fornisce i principali servizi di rete di cui una rete locale (LAN) normalmente necessita (router, bridge, firewal, VPN, http proxy, captive portal, ecc.) 

Zeroshell è disponibile nel formato di Live CD o di immagine per Compact Flash ed è configurabile ed amministrabile tramite un qualunque browser web. 

Chiunque abbia un poco di dimestichezza con l'hardware può ad esempio riutilizzare un vecchio PC e trasformarlo in router (tutto a costo zero quindi!).

Fra le molte caratteristiche messe a disposizione da questo strumento ho trovato molto interessanti:
1) il Net Balancer che può funzionare in due modi a) "Load Balancing and Failover" ovvero le richieste di accesso a Internet vengono bilanciate automaticamente e proporzionalmente al peso di ciascun gateway e in caso di guasto di un gateway, questo viene escluso dal bilanciamento automatico; b) "Failover" un solo link risulta attivo per volta (quello con peso più alto fra quelli che non sono nello stato di Fault). Gli altri sono nello stato di Spare, pronti per intervenire in caso di interruzione del collegamento attivo. 
2) il Virtual Private Network di tipo LAN-to-LAN ovvero la possibilità di  creare collegamenti cifrati (permanenti ed automatici) attraverso Internet che uniscono reti geograficamente distanti. 

Aggiornamento 07-08-2013: Importante aggiornamento di sicurezza 
"Con la versione 2.0.RC3 di Zeroshell vengono corretti alcuni problemi di sicurezza. In particolare, il DNS ora effettua il caching e accetta query ricorsive solo per le reti locali se non configurato altrimenti. Ultimamente i DNS completamenti aperti sono stati presi di mira per effettuare attacchi DDoS con conseguente consumo di banda. Per questo motivo la migrazione alla 2.0.RC3 è fortemente consigliata.
È stato aggiunto No-IP come provider per il DNS dinamico ed è stato migliorato il riconoscimento dei modem 3G USB. È ora possibile disabilitare la scansione antivirus delle pagine web con conseguente miglioramento delle prestazioni del proxy trasparente su hardware modesto.

Sono stati applicati diversi Fix sulla procedura di Backup/Restore dei profili."


Aggiornamento 02-01-2014: Zeroshell 3.0.0
"Zeroshell 3.0.0 include sostanziali novità tra cui il sistema di update automatico che applica automaticamente security e bug fix e permette l'aggiornamento alle nuove release. È stata migliorata la sicurezza e corretti numerosi bug. I grafici non richiedono più la chiave di attivazione. Sono disponibili numerosi Kernel ottimizzati per i diversi processori e un Kernel compilato con il PAE (Physical Address Extension) che permette di utilizzare più di 4GB di RAM."
Inoltre lo Sviluppatore Fulvio Ricciardi  ha comunicato per email agli iscritti in mailing list l'introduzione di una nuova modalità di bilanciamento del traffico chiamata "Weighted Bonding ":
"E'stata implementata una nuova modalità di bonding disponibile come New Feature per Zeroshell 3.0.0.
Con il Weighted Bonding è possibile distribuire il traffico in maniera proporzionale alla capacità delle interfacce facenti parte del bond. Prima dell'introduzione di questa funzionalità, la distribuzione del traffico avveniva con un semplice Round-Robin che trattava le interfacce in maniera uniforme indipendentemente dall'effettiva banda disponibile. La conseguenza diretta di ciò era che si poteva trarre giovamento dal bonding solo se le linee aggregate avevano una capacità simile. Si poteva constatare che sommare una linea ADSL da 2Mbit/s con una da 7Mbit/s risultava in una banda prossima a soli 4Mbit/s. Ben lontani dal risultato sperato.
Adesso con il Weighted Bonding, basta assegnare alla prima linea ADSL un peso di 2 e alla seconda un peso pari a 7, per vedere una banda aggregata molto prossima alla somma delle due linee. Si noti, che nell'esempio si è volutamentee omesso, per semplictà, di specificare che il bonding di linee WAN ha senso solo tramite il VPN bonding e che quindi il peso va assegnato alle VPN in layer 2."

Aggiornamento 15-07-2014: Zeroshell 3.1.0
Una nuova versione con le seguenti caratteristiche [Fonte Zeroshell.it]
"E' disponibile la nuova release Zeroshell 3.1.0. Con questa release si e' migliorata la stabilita' del sistema e sono stati corretti molti bug. Tra le nuove feature, ce ne sono alcune importanti come:
  • L'Installation Manager che permette un'installazione piu' facile e veloce rispetto a prima, partendo da CD o Flash USB oppure utilizzando un'installazione gia' esistente.
  • Il Weighted Bonding che permette di bilanciare il traffico su link con velocita' differente.
  • Il sistema di Monitoring e Alerting via e-Mail/SMS che tiene sotto controllo il verificarsi di determinati eventi come per esempio l'assenza di rete. La lista degli eventi puo' essere estesa e i gestori degli eventi personalizzati.
  • L'utility CNTop che visualizza gli indirizzi IP con il maggior numero di connessioni TCP/UDP aperte contemporaneamente. Cio' puo' essere usato efficacemente per determinare un host dal quale sta avvendo un attacco DDoS da o verso la propria rete.
Tra le altre cose, il Captive Portal e' stato migliorato e permette ora un maggior numero di utenti connessi contemporaneamente.
Se e' gia' installata la release 3.0.0 e l'accesso al repository attivo e' possibile fare l'upgrade alla 3.1.0 automaticamente, senza perdita della configurazione e con pochi semplici click. Il pacchetto da installare dal repository e' il 53100 che si occupera' di effettuare la migrazione con una minima interruzione di servizio dovuta al reboot. Se invece si vuole usare l'Installation Manager, tenete presente che tutti i dati sul disco di destinazione saranno distrutti. E' percio' necessario effettuare prima un backup del profilo e poi il successivo ripristino sulla nuova installazione."

LINK [Zeroshell Donwload]

ESPERIENZA PERSONALE: 
Utilizzo uno Zeroshell con bilanciamento su due collegamenti ADSL gestiti con differenti internet provider e differenti velocità.
Utilizzo una VPN LAN-to-LAN su altri due Zeroshell per collegare facilmente un'Azienda che possiede due sedi localizzate in città differenti sfruttando la loro connessione ADSL.

Di seguito alcune delle caratteristiche più importanti:
- Bilanciamento e Failover di connessioni multiple a Internet;
- Connessioni UMTS/HSDPA mediante modem 3G;
- Server RADIUS 
- Captive Portal 
- Gestione del QoS (Quality of Service) 
- HTTP Proxy con antivirus open source ClamAV 
- Supporto per la funzionalità di Wireless Access Point con Multi SSID utilizzando schede di rete WiFi basate sui chipset Atheros. 
- VPN host-to-lan con protocollo L2TP/IPsec 
- VPN lan-to-lan con incapsulamento delle trame Ethernet in tunnel SSL/TLS, 
- Router con route statiche e dinamiche 
- Bridge 802.1d con protocollo Spanning Tree 
- Firewall Packet Filter e Stateful Packet Inspection (SPI) 
- Controllo mediante Firewall e Classificatore QoS del traffico di tipo File sharing P2P;
- NAT (Network Address Translation)
- TCP/UDP port forwarding (PAT) per creare Virtual Server
- Server DNS multizona e con gestione automatica della Reverse Resolution in-addr.arpa;
- Server DHCP multi subnet con possibilità di assegnare l'indirizzo IP in base al MAC Address del richiedente;
- Virtual LAN 802.1Q (tagged VLAN) applicabili sulle interfacce Ethernet, sulle VPN lan-to-lan, sui bonding di VPN e sui bridge composti da interfacce Ethernet, VPN e bond di VPN;
- Client PPPoE per la connessione alla WAN tramite linee ADSL, DSL e cavo 
- Client DNS dinamico che permette la rintracciabilità su WAN anche quando l'IP è dinamico. 
- Server e client NTP (Network Time Protocol);
- Server syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altro compatibile con protocollo syslog;
- Autenticazione Kerberos 5 mediante un KDC integrato e cross autenticazione tra domini;
- Autorizzazione LDAP, NIS e RADIUS;
- Autorità di certificazione X.509 per l'emissione e la gestione di certificati elettronici;
- Integrazione tra sistemi Unix e domini Windows Active Directory in un unico sistema di autenticazione e autorizzazione mediante LDAP e Kerberos 5 cross realm authentication.


©RIPRODUZIONE RISERVATA