Jul 3, 2008

Internet Content Adaptation Protocol(ICAP)

Internet Content Adaptation Protocol (ICAP) is a lightweight HTTP based protocol specified in RFC 3507 designed to off-load specific content to dedicated servers, thereby freeing up resources and standardizing the way in which features are implemented. ICAP is generally used in proxy servers to integrate with third party products like antivirus software, malicious content scanners and URL filters.

ICAP concentrates on leveraging edge-based devices (proxies and caches) to help deliver value-added services. At the core of this process is a cache that will proxy all client transactions and will process them through ICAP Web servers. These ICAP servers are focused on a specific function, for example, ad insertion, virus scanning, content translation, language translation, or content filtering. Off-loading value-added services from Web servers to ICAP servers allows those same web servers to be scaled according to raw HTTP throughput versus having to handle these extra tasks.

ICAP in its most basic form is a "lightweight" HTTP based remote procedure call protocol. In other words, ICAP allows its clients to pass HTTP based (HTML) messages (Content) to ICAP servers for adaptation. Adaptation refers to performing the particular value added service (content manipulation) for the associated client request/response.

可接受使用策略(Acceptable Usage Policy, AUP)

“可接受使用(Acceptable Use)”是指與網路和IT資源的使用有關的慣例或過程。按照我們的定義,可接受使用策略(AUP)是指一組業務規則和策略,描述了網路及其相關IT服務如何用於組織當中的商務活動。部分AUP來自于公司的安全策略,這些安全策略可以排除或限制某些網路資料流程和網路服務結合在某部分網路接入點的使用。另外一些AUP參數來自於其他商務策略描述,指明如何使用網路。

預先為一個企業設定AUP之後,將構建一個安全解決方案。這個模型使用了網路策略架構,將其劃分為企業組織當中的角色(Role)、網路架構中定義的服務(Service)、與定義的服務相關的規則(Rule)。

Jul 2, 2008

網路監看基金會(Internet Watch Foundation, IWF)

網路監看基金會(Internet Watch Foundation 簡稱IWF)於1996年九月在英國成立,來自電腦網路業界、媒體、消費者及兒童福利團體等各路人馬共同為此問題奮戰。它提供了通報專線,受理民眾檢舉網路犯罪,其中以網路兒童色情為優先。在IWF第一年所接受的1015檢舉通報中,大約有325通是網路色情;網路色情中有290個包含了兒童色情。

談到「網路色情發源地」,其中有30個是來自英國。 IWF第一年報告顯示:2000項涉及兒童色情的網頁,隨後有95%被刪移。網路犯罪6%來自英國,美國囊括了63%是最大宗。在跨國合作方面,IWF亦和美國休閒軟體諮詢會、澳洲廣播主管單位達成合作共識。

Jul 1, 2008

利用GNS3架設SP CCIE Lab

再過四個月就要去澳洲找袋鼠大魔王報到了,手邊還沒有Lab可以練習,所以趁著這個星期沒有上課的時間,再重溫舊夢一次,把之前用過的GNS3再重新安裝一次,現在的最新的版本是0.5,安裝完成之後第一個視窗就是指導你設定的兩大步驟,看來容易不過對於初上手的人來說還是有點小複雜,不過總比手寫來得方便~ 各位可以在到GNS3官網去下載。


經過一個上午的測試,最後決定全系列Router全部使用Cisco 7200 IOS 12.4(15).5T,因為…如果照Cisco官網上面的建議規格用IOS 12.2根本沒有vpdn的指令可用(也就是不支持PPPoE),那就很麻煩了,因為最不熟的部份就是這個特色…最後硬著頭皮還是使用12.4的IOS,雖然每一台Router都至少要給256M RAM,不過我的X60 w/ 3G RAM還是很稱職地把十幾台Router全部上線完畢(建議手動幾台幾台批次開啟,不要一次全開,電腦很容易會hang住..甚至當機)。以下這張圖片就是我全部設完之後的架構,右邊的設備清單有看到綠燈就表示已開機的狀態。



各位會覺得很奇怪,怎麼全部都是Hub-and-Spoke,因為現在CCIE Lab都採用這樣的實體連線方式,Router之間的Serial都是Frame-Relay,Router之間的Ethernet都是Trunk,只要考官dump default configuration,同一套設備可以馬上變成Routing & Switching or Service Provider的網路架構。


不過設定了一整個下午到晚上還是沒有把所有設定弄上去,因為剛開始時還蠻順的,但是到了後來設定了BGP之後…整個Lab的速度就開始龜速…甚至動不動就BGP session reset(可能是ISIS在Trunk上的部份在dynamips中仍有bug,不時會出現clns checksum error or circuit-type error,導致路由不穩定)。但是在MPLS還沒有設定之後,目前看來是仍堪用的,今天就到此為止,明天再繼續努力!


以下是由GNS3自行產生的SP.net,歡迎各位取用,不過IOS下載問題請各位自行解決:


autostart = False

[localhost:7202]

workingdir = C:\Program Files\Dynamips\sample_labs\GNS3

udp = 10200

[[7200]]

ghostios = True

image = C:\Program Files\Dynamips\images\c7200-spservicesk9-mz.124-15.T5.extracted.bin

ram = 256

sparsemem = True

idlepc = 0x606dd148

confreg = 0x2102

[[ROUTER R8]]

console = 2008

f0/0 = SW0 8

slot1 = PA-8T

s1/0 = FR0 8

x = 194.0

y = -7.0

[[ROUTER R9]]

console = 2009

f0/0 = SW0 9

slot1 = PA-8T

s1/0 = FR0 9

x = 190.0

y = -180.0

[localhost:7203]

workingdir = C:\Program Files\Dynamips\sample_labs\GNS3

udp = 10300

[[7200]]

ghostios = True

image = C:\Program Files\Dynamips\images\c7200-spservicesk9-mz.124-15.T5.extracted.bin

ram = 256

sparsemem = True

idlepc = 0x606dd148

confreg = 0x2102

[[ROUTER BB2]]

console = 2013

f0/0 = SW0 11

x = 176.0

y = 128.0

[[ROUTER BB1]]

console = 2011

f0/0 = SW0 10

x = -259.0

y = 131.0

[localhost:7200]

workingdir = C:\Program Files\Dynamips\sample_labs\GNS3

[[7200]]

ghostios = True

image = C:\Program Files\Dynamips\images\c7200-spservicesk9-mz.124-15.T5.extracted.bin

ram = 256

sparsemem = True

idlepc = 0x606dd148

confreg = 0x2102

[[ROUTER R1]]

console = 2001

f0/0 = SW0 1

slot1 = PA-8T

s1/0 = FR0 1

x = -296.0

y = -185.0

[[ROUTER R2]]

console = 2002

f0/0 = SW0 2

slot1 = PA-8T

s1/0 = FR0 2

x = -296.0

y = -8.0

[[ROUTER R3]]

console = 2003

f0/0 = SW0 3

x = -199.0

y = 237.0

[[FRSW FR0]]

1:107 = 7:701

2:208 = 8:802

6:609 = 9:906

7:701 = 1:107

8:802 = 2:208

9:906 = 6:609

x = -50.5

y = -169.5

[[ETHSW SW0]]

1 = dot1q 1

2 = dot1q 1

3 = dot1q 1

4 = dot1q 1

5 = dot1q 1

6 = dot1q 1

7 = dot1q 1

8 = dot1q 1

9 = dot1q 1

10 = dot1q 1

11 = dot1q 1

x = -44.5

y = 124.0

[localhost:7201]

workingdir = C:\Program Files\Dynamips\sample_labs\GNS3

udp = 10100

[[7200]]

ghostios = True

image = C:\Program Files\Dynamips\images\c7200-spservicesk9-mz.124-15.T5.extracted.bin

ram = 256

sparsemem = True

idlepc = 0x606dd148

confreg = 0x2102

[[ROUTER R4]]

console = 2004

f0/0 = SW0 4

x = -37.0

y = 240.0

[[ROUTER R5]]

console = 2005

f0/0 = SW0 5

x = 143.0

y = 241.0

[[ROUTER R6]]

console = 2006

f0/0 = SW0 6

slot1 = PA-8T

s1/0 = FR0 6

slot2 = PA-A1

x = -106.0

y = -7.0

[[ROUTER R7]]

console = 2007

f0/0 = SW0 7

slot1 = PA-8T

s1/0 = FR0 7

x = 12.0

y = -9.0

輕量級目錄存取協定(Lightweight Directory Access Protocol, LDAP)

LDAP (Lightweight Directory Access Protocol) 是一個搜尋及管理目錄中之項目的標準網際網路通訊協定,其中項目是與辨識名稱相關的一或多個屬性。辨識名稱(Distinguished Name,DN)是在目錄樹中識別項目的名稱。一個目錄可包含多個類型的項目,例如使用者、群組、裝置和應用程式資料的項目。

輕量級目錄存取協定(Lightweight Directory Access Protocol, LDAP)為網際網路工程任務推動小組(Internet Engineering Task Force, IETF)標準之一(RFC2251),最初係由美國密西根大學設計,可於TCP/IP通訊協定堆疊架構上工作,並由階層目錄中存取資訊。透過LDAP,使用者可於網際網路上輸入某些相關資訊,以尋找其它特定的資訊,例如我們可輸入某人的姓名、或是身份證字號,以尋找其電子郵件信箱或個人首頁網址等。經由共通之LDAP,可將目前眾多的網路搜尋技術標準化,降低網路搜尋之紛擾。

LDAP目錄結構組成
  • DN(Distinguished Name):識別名稱,一條記錄的位置
  • RDN(Relative Distinguished Name):相對識別名稱,(指的就是cn及cn的值 ex.cn=weithenn,獨一無二的屬性)
  • CN(Common Name) /uid:顯示名稱,一條記錄的名字/ID
  • OU(Organizational Unit):組織,一條記錄所屬組織
  • DC(Domain Componet):網域元件,一條記錄所屬區域

所以一條完包含 cn 的 dn 記錄大概長得像這樣

dn: cn=weithenn,ou=people,dc=weithenn,dc=idv,dc=tw

整合式 Windows 驗證(Integrated Windows Authentication, IWA)

整合式 Windows 驗證 (IWA) 包含兩種獨立的驗證機制。第一種是 NTLM (在舊版本的 IIS 中也稱為 NT 挑戰/回應)。NTLM 是 Microsoft 專利技術,從開始到現在已經推出數個版序。NTLM v2 是 NTLM 的最新版本,它會使用複雜的挑戰/回應和雜湊演算法來保護使用者認證的傳輸安全。此通訊協定應該嚴密鎖定,以避免駭客嘗試使用舊有、已知及薄弱的通訊協定,如 NTLM v1。如需如何限制系統只使用 NTLM v2 的資訊,請參閱下文:

<如何啟用 NTLM v2 驗證> (英文)
http://support.microsoft.com/kb/239869/en-us

雖然 NTLM 是專利通訊協定,但已獲得大多數現代瀏覽器的廣泛支援,包括 Firefox、Internet Explorer 和 Opera。NTLM 驗證需要 HTTP 持續作用,否則便無法驗證,而且它無法透過多數的 Proxy 伺服器運作 (因為這些 Proxy 伺服器多半不允許持續作用)。

Kerberos 驗證最初是由麻省理工學院 (MIT) 開發的驗證技術。這是一項健全的驗證機制,利用共用密碼來保護使用者認證的安全,並使用時間戳記來預防轉送攻擊。各種網頁伺服器和多數的用戶端瀏覽器都廣泛支援此機制。IIS 透過交涉授權 HTTP (Negotiate Authorization HTTP) 標頭來實作 Kerberos 驗證。交涉標頭可讓用戶端和伺服器交涉普遍支援的驗證機制。

Kerberos (不同於 NTLM 或摘要式) 可以接受委派,這表示使用者的認證可以流動至遠端服務 (例如 SQL Server)。這是因為 IIS 會應驗證要求呼叫 LogonUser API,如果回應為「是」,則 IIS 便會取得權杖然後繼續進行。只要使用的權限正確,這項作業可說是非常準確且容易委派。下列 TechNet 文件提供了設定委派的資訊:<疑難排解 Kerberos 委派> (英文)。