Edera (open source).

Edera è una soluzione open-source nata dalla necessità di un software di controllo accessi pratico, semplice e veloce.
E sopratutto sicuro.
È attualmente mantenuto su (clicca sul logo per andare alla pagina del progetto).

Si basa su un sottosistema GNU/Linux ed utilizza:

• Netfilter/Iptables;
• Apache http server;
• Php;
• Mysql database.

Con la nascita della soluzione EderaBOX, abbiamo aggiunto:

• Netfilter/Ulog;
• Hostap;
• Ncftp;
• Mcrypt.

Iptables.

Uno script posizionato tra quelli eseguiti all'avvio (su sistemi Debian, in /etc/rc2.d/S99-edera) si occupa di inserire alcune regole iptables per bloccare tutto il traffico effettuato dall'interno della rete verso internet, ad eccezione delle richieste DNS, e dirottarlo verso il server stesso, su cui gira il captive-portal. Superata l'autenticazione, viene quindi creata una regola che permette allo specifico host di attraversare il gateway ed uscire sulla rete esterna.

Apache e Php.

Il server web si occupa di accogliere gli utenti una volta dirottati da iptables. Modificando la pagina "404 - Not found", qualunque cosa venga chiesta dall'utente non autorizzato viene indirizzata alla login box, da cui è anche possibile creare un nuovo utente, recuperare la password o chiedere aiuto all'assistenza. Per l'amministrazione di Edera, la sezione admin prevede due livelli configurabili, quello "base" per l'inserimento/modifica di utenti e ticket, e quello avanzato che mostra statistiche sugli accessi, log, ed informazioni di amministrazione.

Mysql.

Le informazioni sugli utenti sono archiviate sul database mysql e codificate dove necessario (password). In questo modo è possibile gestire i dati anche da postazioni remote o interfacciare la soluzione Edera ad altri sistemi utilizzando lo standard sql.

Ulog.

Ulog è un demone che permette di estrapolare le informazioni sulle sessioni gestite da iptables e salvarle in vari formati. Permette quindi, con l'aggiunta di una piccola riga nello script di inizializzazione, di collezionare quelle informazioni che la legge richiede, in modo automatico ed associandole all'host ed all'orario: un rapido incrocio con i log presenti sul database mysql ed il gioco è fatto!

Hostap.

Il servizio hostap sta alla base delle funzionalità wireless. Sebbene non così semplice da installare e configurare, permette di trasformare il server in un access point, eliminando così la necessità di un ulteriore dispositivo presso il locale ed aggregando tutte le funzionalità di rete in un unico oggetto. Funziona però solo con alcune schede, in quanto non sono molte a supportare la modalità "master".

Ncftp e Mcrypt.

Ultimi ma non per questo meno importanti, questi due strumenti si occupano di proteggere i dati relativi al traffico generato dagli utenti (la legge lo prevede) e di inviarlo al sistema di backup, che può essere un NAS locale od un qualunque altro server ftp. Un piccolo script si occupa di gestire il tutto in maniera incrementale, riducendo l'overhead sulla rete e gestendo la rotazione dei log.

Il software, tutt'ora in fase di sviluppo, è rilasciato sotto licenza GPLv2 ed è pertanto liberamente scaricabile ed installabile su qualunque sistema GNU/Linux.