Internet Key Exchange Protocol Overview This module introduces the IKE (Internet Key Exchange) protocol in detail and provides an in-depth description of key management in IPsec VPNs. Detailed protocol characteristics are discussed, as well as different protection mechanisms and peer authentication schemes. Peer authentication schemes protect the key management system, and are vital to the proper operation of a secure and interoperable VPN. In order to build scalable IPsec VPNs, scalable key management is needed. This module provides the student with a strong knowledge of IKE, the key management and policy agreement protocol used in IPsec VPNs. Objectives Upon completing this module, you will be able to: n Identify the main purposes of the IKE protocol n Explains how IKE interacts with IPsec 2 Acces VPN v1.0 Copyright  2001, Cisco Systems, Inc. IKE Technology Introduction Objectives Upon completing this lesson, you will be able to: n Describe how IKE provides key management for IPsec n Describe two main functions of IKE—key management and policy negotiation n Describe how IKE interacts with IPsec and its security associations (SAs) Copyright  2001, Cisco Systems, Inc. Internet Key Exchange Protocol 3 © 2001, Cisco Systems, Inc. Access VPN v1. 0—Internet Key Exchange Protocol -5 Internet Key Exchange (IKE) Internet Key Exchange (IKE) • Internet Key Exchange (RFC 2409) • The protocol used for key management in IPsec networks • Allows for automatic negotiation and creation of IPsec SAs between IPsec peers The Internet Key Exchange (IKE) protocol, described in RFC 2409, is a key management protocol standard which is used in conjunction with the IPsec standard. IPsec can be configured without IKE, but IKE enhances IPsec by providing additional features, flexibility, and ease of configuration for the IPsec standard. As mentioned in the T_IPsec chapter, IPsec security associations (SAs) must exist in order for IPsec to protect network traffic. IKE manages those SAs on behalf of IPsec, and automatically negotiates protection policies between IPsec peers. 4 Acces VPN v1.0 Copyright  2001, Cisco Systems, Inc. © 2001, Cisco Systems, Inc. Access VPN v1. 0—Internet Key Exchange Protocol -6 IKE History IKE History IKE is a hybrid protocol based on: • ISAKMP (RFC 2408), the protocol for negotiated establishment of security associations • Oakley (RFC 2412), a key agreement/exchange protocol • SKEME, another key-exchange protocol IKE is a hybrid protocol based on the Internet Security Association and Key Management Protocol (ISAKMP), described in RFC 2408. The IKE protocol implements parts of two other key management protocols–-Oakley, described in RFC 2412, and SKEME. The protection policy within SAs is negotiated and established with the help of the ISAKMP protocol, and keying material (session keys for encryption and packet authentication) is agreed on and exchanged with the use of Oakley and SKEME protocols. ISAKMP—The Internet Security Association and Key Management Protocol is a protocol framework that defines payload formats, the mechanics of implementing a key exchange protocol, and the negotiation of a security association. ISAKMP is implemented according the latest version of the "Internet Security Association and Key Management Protocol (ISAKMP)" standard Oakley—A key exchange protocol that defines how to derive authenticated keying material. Skeme—A key exchange protocol that defines how to derive authenticated keying material, with rapid key refreshment. Gas Exchange Gas Exchange Bởi: OpenStaxCollege The purpose of the respiratory system is to perform gas exchange Pulmonary ventilation provides air to the alveoli for this gas exchange process At the respiratory membrane, where the alveolar and capillary walls meet, gases move across the membranes, with oxygen entering the bloodstream and carbon dioxide exiting It is through this mechanism that blood is oxygenated and carbon dioxide, the waste product of cellular respiration, is removed from the body Gas Exchange In order to understand the mechanisms of gas exchange in the lung, it is important to understand the underlying principles of gases and their behavior In addition to Boyle’s law, several other gas laws help to describe the behavior of gases Gas Laws and Air Composition Gas molecules exert force on the surfaces with which they are in contact; this force is called pressure In natural systems, gases are normally present as a mixture of different types of molecules For example, the atmosphere consists of oxygen, nitrogen, carbon dioxide, and other gaseous molecules, and this gaseous mixture exerts a certain pressure referred to as atmospheric pressure ([link]) Partial pressure (Px) is the pressure of a single type of gas in a mixture of gases For example, in the atmosphere, oxygen exerts a partial pressure, and nitrogen exerts another partial pressure, independent of the partial pressure of oxygen ([link]) Total pressure is the sum of all the partial pressures of a gaseous mixture Dalton’s law describes the behavior of nonreactive gases in a gaseous mixture and states that a specific gas type in a mixture exerts its own pressure; thus, the total pressure exerted by a mixture of gases is the sum of the partial pressures of the gases in the mixture 1/9 Gas Exchange Partial Pressures of Atmospheric Gases Gas Percent of total composition Partial pressure (mm Hg) Nitrogen (N2) 78.6 597.4 Oxygen (O2) 20.9 158.8 Water (H2O) 0.04 3.0 Carbon dioxide (CO2) 0.004 0.3 Others 0.0006 0.5 Total composition/total atmospheric pressure 100% 760.0 Partial and Total Pressures of a Gas Partial pressure is the force exerted by a gas The sum of the partial pressures of all the gases in a mixture equals the total pressure Partial pressure is extremely important in predicting the movement of gases Recall that gases tend to equalize their pressure in two regions that are connected A gas will move from an area where its partial pressure is higher to an area where its partial pressure is lower In addition, the greater the partial pressure difference between the two areas, the more rapid is the movement of gases Solubility of Gases in Liquids Henry’s law describes the behavior of gases when they come into contact with a liquid, such as blood Henry’s law states that the concentration of gas in a liquid is directly proportional to the solubility and partial pressure of that gas The greater the partial pressure of the gas, the greater the number of gas molecules that will dissolve in the liquid The concentration of the gas in a liquid is also dependent on the solubility of the gas in the liquid For example, although nitrogen is present in the atmosphere, very little nitrogen dissolves into the blood, because the solubility of nitrogen in blood is very low The exception to this occurs in scuba divers; the composition of the compressed 2/9 Gas Exchange air that divers breathe causes nitrogen to have a higher partial pressure than normal, causing it to dissolve in the blood in greater amounts than normal Too much nitrogen in the bloodstream results in a serious condition that can be fatal if not corrected Gas molecules establish an equilibrium between those molecules dissolved in liquid and those in air The composition of air in the atmosphere and in the alveoli differs In both cases, the relative concentration of gases is nitrogen > oxygen > water vapor > carbon dioxide The amount of water vapor present in alveolar air is greater than that in atmospheric air ([link]) Recall that the respiratory system works to humidify incoming air, thereby causing the air present in the alveoli to have a greater amount of water vapor than atmospheric air In addition, alveolar air contains a greater amount of carbon dioxide and less oxygen than atmospheric air This is no surprise, as gas exchange removes oxygen from and adds carbon dioxide to alveolar air Both deep and forced breathing cause the alveolar air composition to be changed more rapidly than during quiet breathing As a result, the partial pressures of oxygen and carbon dioxide change, affecting the diffusion process that moves these materials across the membrane This will cause oxygen to enter and carbon dioxide to leave the blood more quickly Composition and Partial Pressures of Alveolar Air Gas Percent of total composition Partial pressure (mm Hg) Nitrogen (N2) 74.9 569 Oxygen (O2) 13.7 104 Water (H2O) 6.2 40 Carbon dioxide (CO2) 5.2 47 Total composition/total alveolar pressure 100% 760.0 ... MỤC LỤC Local User Group 01 Local Policy-Local security Policy 08 Domain Controller-Join Domain .16 Domain User Group 22 Share-Offline file 30 NTFS 41 Homedirs-Profile 51 Printing .55 Ou-Delegate Control .63 GPO-Deploy SW 70 Security Template-Audit .78 Terminal .84 Backup-Shadow copy .88 L L O O C C A A L L U U S S E E R R & & G G R R O O U U P P I. Windows Server 2003 1. Tạo Local User B1: Click nút phải chuột trên My Computer → Mange → System tools → Local user and group → Users B2: Click nút phải chuột trên Users → New Users B3: Nhập tên “U1” vào ô User name, nhập Password là “P@ssword” vào ô Password, nhập lại Password vào ô Confirm Password. Bỏ dấu chọn ở ô “User must change password at next logon”. Chọn Create B4: Lặp lại B2 và B3 để tạo thêm 2 user: U2 và U3 B5: Start → Shutdown → Log off Administrator → OK B6: Logon U1: Ấn Ctrl + Alt + Delete → Nhập tên “U1” vào ô Username → Nhập password của U1 vào ô Password → OK B7: Logoff U1, Log on bằng Administrator B8: Phải chuột lên My Computer → Manage → System tools → Local user and group → Users → Click nút phải chuột trên trên U1 → Properties → Tại tab General đánh dấu vào ô User must change password at next logon → OK B9: Logoff Administrator → Logon U1 B10: Hệ thống sẽ yêu cầu user U1 đổi Password → Nhập password hiện tại “P@ssword” vào ô Old Password → nhập Password mới là “Newp@ss” vào 2 ô New Password và Confirm New Password → OK B11: Logoff U1 → Logon Administrator B12: Làm lại B8, B9, B10 cho user U2 và U3 2. Tạo Local Group trên Windows Server 2003 B1: Logon Administrator B2: Click nút phải chuột trên My Computer → Mange → System tools → Local user and group → Group B3: Click nút phải chuột trên trên Group chọn New Group B4: Trong ô Group name gõ “g1” → chọn Create → Close B4: Làm lại B2 và B3 để tạo ra 2 group: “G2” và “G3” B5: Trong Group → Click nút phải chuột trên trên group G1 chọn Properties → Add → Chọn Advanced… → Chọn Find Now → Tìm user U1 → Chọn U1 → OK (lúc này user U1 là thành viên của group G1) B6: Làm tương tự B5: U2 là thành viên của G2 → U3 là thành viên của G3 II. Windows XP 1. Tạo Local User, Local Group B1: Khởi động máy chọn Windows XP B2: Tại màn hình Wellcome nhấn Ctrl + Alt + Delete 2 lần → Logon Administrator B3: Thay đổi giao diện Màn hình và Menu Start → Click nút phải chuột trên trên Start chọn Properties Chọn Classic Start menu → Customize… → Bỏ dấu chọn tại ô Use Personallized Menus → OK → OK B4: Tạo các User: U1, U2, U3 Tạo các Group: G1,G2,G3 Bỏ user U1 vào group G1, U2 vào G2, U3 vào G3 (Làm tương tự như các bước của phần Windows Server 2003) B5: Thay đổi màn hình Log On cho giống với Windows Server 2003 → Log Off máy tính để thấy được màn hình Log On Nhấn Ctrl + Alt + Delete 2 lần → Logon Administrator B6: Mở My Computer → Tools → Folder Option Trong Folder Option → chọn thanh Offline Files B7: Start → Setting → Control Panel bỏ dấu chọn của ô Enable Offline Files → OK → Chọn Switch to Classic View → User Accounts → Change the way users log on or off Bỏ dấu chọn của ô User the Welcome screen → Apply Options B5: Đóng tất cả các cửa sổ đang có Ctrl + Alt + Delete → Log Off → OK → tại đây ta thấy màn hình Logon đã thay đổi giống như Windows Server 2003 2. Cấu hình Use Fast User Switching Mục đích: Khi 8 L L O O C C A A L L P P O O L L I I C C Y Y & & L L O O C C A A L L S S E E C C U U R R I I T T Y Y P P O O L L I I C C Y Y I. LOCAL POLICY 1. Giới thiệu Local Policy B1: Khởi động máy chọn Windows server 2003 → Logon Administrator → Start → Run,gõ lệnh MMC → OK → Xuất hiện màn hình Console1 → File → Add/Remove Snap-in. → Add → Trong màn hình Add Standalone Snap-in.→ Trượt thanh trượt tìm mục Group Policy Object Editor → Add → Finish → Close để đóng màn hình Add Standalone Snap-in → OK để đóng màn hình Add/Remove Snap-in 9 B2: Ở màn hình Console1 → Click dấu “+” ở phía trước các tiêu đề để xem nội dung bên trong → File→Save → Trong mục Save in chọn Desktop → Trong mục File Name gõ “Local Policy” → Save → Trong màn hình Desktop bây giờ xuất hiện biểu tượng Local Policy 2. Thực thi một số Policy trên Computer và User a. Thực thi Policy trên User VD1: Làm biến mất Control Panel B1: Vào Local Policy trên màn hình Desktop → Local Computer Policy → User Configuration → Administrative Templates → Control Panel → Qua cửa sổ bên phải chọn Prohibit access to the Control Panel → Right click trên Prohibit access to the Control Panel → Properties → đánh dấu vào options Enabled → Apply → OK. 10 B2: Đóng tất cả các cửa sổ đang có → Start → Run → gõ cmd → OK → Trong màn hính command line gõ gpupdate /force → Enter -Lưu Ý: Sau mỗi lần chỉnh sữa Policy cần phải đánh lệnh gpupdate /force để cập nhật Policy B3: Start→Settings. Bây giờ Control Panel đã mất b. Thực thi Policy trên Computer. VD2: Làm ẩn các option của tab Automatic Updates Chuẩn bị: Right click trên My Computer → Properties → Chọn tab Automatic Updates Lưu ý: Đây là lúc ta có thể chỉnh sửa các options trong tab Automactic Updates 11 B1: Vào Local Policy có trên màn hình Desktop → Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Windows Update → Chọn Configure Automatic Updates ở cửa sổ bên phải → Right click trên Configure Automatic Updates → Properties →Enabled → Apply → OK B2: Đóng tất cả các cửa sổ → Start → Run → gõ cmd → OK → Trong màn hình command line gõ gpupdate /force → khi hệ thông yêu cầu restart lai gõ “Y”→Enter(để thực thi Policy đó)→ Máy sẽ tự động restart lại B3: Sau khi máy restart lại → Logon Administrator → Right click trên My Computer→ Properties→ vào Tab Automatic Updates → Bây giờ tab Automatic Updates đã bị ẩn và không thể chỉnh sửa 3. Một số Local Policy thông dụng thường gặp.  Remove My Computer icon on the Desktop(User Configuration→Administrative Templates→Desktop): Nếu bật chức năng Enabled thì sẽ ẩn biểu tượng My Computer trên màn hình Desktop của user.Còn Disabled hoặc Not Configue thì ngược lại  Hide and Disabled all items on the Desktop(User Configuration→Administrative Templates→Desktop): Nếu bật chức năng Enabled thì sẽ xóa hết các biểu tượng có trên màn hình Desktop của user.Còn Disabled hoặc Not Configue thì ngược lại  Don’t Display the Getting Started Wellcome Screen at logon và chỉ áp dụng trên WinXP Pro và Win 2000 (Computer Configurateion → Administrative Templates →System→ Logon): Nếu bật chức năng Enabled thì sẽ làm ẩn đi màn hình Wellcome khi user logon vào hệ thống.Còn Disabled và Not Configue thì ngược lạI  Display Shutdown Event Tracker(Computer ConfigurationAdministrative TemplatesSystem):Nếu bật chức năng Enabled thì sau mỗI lần Shutdown máy sẽ không hiển thị màn hình Shutdown Event Tracker yêu cầu nhập lý do Shutdown máy. Còn Disabled và Not Configue thì ngược lại. 12 II Giới thiệu Local Security Policy Mục Đích: Thiết Lập chính sách bảo mật trên một máy đơn Chuẩn bị: - Logon vào Administrator, tạo user có tên “U1”. Đặt password là “u1” - Logoff Administrator → Logon U1 - Logoff U1 → Logon Administrator 1 Local Security Settings B1: “Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT Part 37 - Exchange Server - Email Address Policies Trong các bài trước chúng ta đã biết cách tạo các User Mailbox trong Exchange Server Điểm hay của Exchange là khi tạo User Mailbox xong nó sẽ tạo một Account tương ứng cho User này trong Active Directory Users and Computers. Vì vậy với cùng một tài khoản Mailbox ta vừa có thể Check mail vừa có thể Login và Domain Tại Recipient Configuration bạn nhấp phải vào Mailbox gccom1 và chọn Properties chọn Tab Account sẽ thấy User logon name của User này là gccom1@gccom.net tài khoản này dùng trong việc Logon vào Domain (trong mạng nội bộ) Chọn tiếp Tab E-Mail Address ta thấy Email của User cũng là gccom1@gccom.net tuy nhiên tài khoản này dùng để gởi và nhận Mail với các người dùng trên Internet 1 of 17 Như vậy người dùng sẽ tồn tại 2 User Account dùng để gởi Mail và Logon vào Domain trùng nhau. Vấn đề bảo mật sẽ trở nên lỏng lẽo và nhu cầu đặt ra là làm sao để Account Logon Domain hoàn toàn khác với Account Email Address. Như vậy nhiệm vụ của chúng ta là thay đổi Primary SMTP Address của các User khác với User Logon Domain một cách hoàn toàn tự động vì trong môi trường có hàng ngàn User thì việc chuyển đổi thông tin từng User là chuyện không tưởng. Trong thực tế công việc này sẽ được đề cập khi công ty chúng ta có nhu cầu thay đổi địa chỉ Email cho toàn bộ nhân viên vì một lý do nào đó (thay đổi tên công ty, sát nhập ) 2 of 17 Trong bài này giả sử công ty tôi đã tồn tại domain gccom.net và sau một thời gian hoạt động có nhu cầu sát nhập với một công ty khác và chuyển đổi thành domain chung là kythuatvien.com Vì vậy tôi phải tạo một Domain mới trong Exchange bằng cách vào Organization Configuration chọn tiếp Hub Transport chọn Tab Accepted Domains Nhấp phải vào vùng trống chọn New Accepted Domain 3 of 17 Nhập domain mới là kythuatvien.com vào Màn hình sau khi hoàn tất 4 of 17 Tiếp tục chọn Tab E-mail Address Mặc định trong này có sẵn một Policy do Exchange tạo sẵn. Bạn có thể tạo các Policy mới nhưng trong bài này tôi sẽ không tạo mới mà Modify Default Policy bằng cách nhấp phải Default Policy chọn Edit Tại E-Mail Address chọn @gccom.net chọn tiếp Edit 5 of 17 Chọn lựa chọn 2 First name.Last name và chọn tiếp domain kythuatvien.com trong E-mail Address domain Màn hình sau khi hoàn tất 6 of 17 Tiếp tục chọn Immediatery trong cửa sổ Schedule Bậy giờ trở lại màn hình Recipient Configuration nhận thấy các Email Address đã được đổi sang domain kythuatvien.com Bây giờ tôi tạo thử một User Account mới với: First name: Nguyen Last name: Pham User logon name: gccom6 7 of 17 Password: 123 Nhận thấy Exchange sẽ tự tạo Email mới cho User này theo cú pháp First name.Last name đã từng chọn ở trên Đến đây ta nhận xét như sau: User logon to Domain: gccom6@kythuatvien.com Email Address: nguyen.pham@kythuatvien.com 2 tài khoản này đã hoàn toàn khác nhau 8 of 17 Bây giờ từ gccom6 tôi sẽ gởi một Email cho gccom1 với Subject là Mail 11 Tại Inbox của gccom1 nhấp phải vào Email gccom6 vừa gởi chọn Message Options 9 of 17 Nhận thấy gccom1 chỉ biết được Email Address của gccom6 là nguyen.pham@khuatvien.com mà không thể biết được Account logon vào Domain là gccom6@kythuatvien.com 10 of 17 [...]... tương ứng với chi nhánh đó Vì vậy ta sẽ ứng dụng Email Address Policies để chuyển đổi domain cho các User này và công việc chuyển đổi này cũng sẽ hoàn toàn tự động và đựa vào đặc trưng riêng của các User này (xem lại bài Recipient Configuration - Group) Trở lại phần Hub Transport chọn Tab Email Address Policies nhấp phải vào cùng trống chọn New E-Mail Internet Key Exchange Protocol Overview This module introduces the IKE (Internet Key Exchange) protocol in detail and provides an in-depth description of key management in IPsec VPNs. Detailed protocol characteristics are discussed, as well as different protection mechanisms and peer authentication schemes. Peer authentication schemes protect the key management system, and are vital to the proper operation of a secure and interoperable VPN. In order to build scalable IPsec VPNs, scalable key management is needed. This module provides the student with a strong knowledge of IKE, the key management and policy agreement protocol used in IPsec VPNs. Objectives Upon completing this module, you will be able to: n Identify the main purposes of the IKE protocol n Explains how IKE interacts with IPsec 2 Acces VPN v1.0 Copyright  2001, Cisco Systems, Inc. IKE Technology Introduction Objectives Upon completing this lesson, you will be able to: n Describe how IKE provides key management for IPsec n Describe two main functions of IKE—key management and policy negotiation n Describe how IKE interacts with IPsec and its security associations (SAs) Copyright  2001, Cisco Systems, Inc. Internet Key Exchange Protocol 3 © 2001, Cisco Systems, Inc. Access VPN v1. 0—Internet Key Exchange Protocol -5 Internet Key Exchange (IKE) Internet Key Exchange (IKE) • Internet Key Exchange (RFC 2409) • The protocol used for key management in IPsec networks • Allows for automatic negotiation and creation of IPsec SAs between IPsec peers The Internet Key Exchange (IKE) protocol, described in RFC 2409, is a key management protocol standard which is used in conjunction with the IPsec standard. IPsec can be configured without IKE, but IKE enhances IPsec by providing additional features, flexibility, and ease of configuration for the IPsec standard. As mentioned in the T_IPsec chapter, IPsec security associations (SAs) must exist in order for IPsec to protect network traffic. IKE manages those SAs on behalf of IPsec, and automatically negotiates protection policies between IPsec peers. 4 Acces VPN v1.0 Copyright  2001, Cisco Systems, Inc. © 2001, Cisco Systems, Inc. Access VPN v1. 0—Internet Key Exchange Protocol -6 IKE History IKE History IKE is a hybrid protocol based on: • ISAKMP (RFC 2408), the protocol for negotiated establishment of security associations • Oakley (RFC 2412), a key agreement/exchange protocol • SKEME, another key-exchange protocol IKE is a hybrid protocol based on the Internet Security Association and Key Management Protocol (ISAKMP), described in RFC 2408. The IKE protocol implements parts of two other key management protocols–-Oakley, described in RFC 2412, and SKEME. The protection policy within SAs is negotiated and established with the help of the ISAKMP protocol, and keying material (session keys for encryption and packet authentication) is agreed on and exchanged with the use of Oakley and SKEME protocols. ISAKMP—The Internet Security Association and Key Management Protocol is a protocol framework that defines payload formats, the mechanics of implementing a key exchange protocol, and the negotiation of a security association. ISAKMP is implemented according the latest version of the "Internet Security Association and Key Management Protocol (ISAKMP)" standard Oakley—A key exchange protocol that defines how to derive authenticated keying material. Skeme—A key exchange protocol that defines how to derive authenticated keying material, with rapid key refreshment. Capillary Exchange Capillary Exchange Bởi: OpenStaxCollege The primary purpose of the cardiovascular system is to circulate gases, nutrients, wastes, and other substances to and from the cells of the body Small molecules, such as gases, lipids, and lipid-soluble molecules, can diffuse directly through the membranes of the endothelial cells of the ... new structures 7/9 Gas Exchange Chapter Review The behavior of gases can be explained by the principles of Dalton’s law and Henry’s law, both of which describe aspects of gas exchange Dalton’s... partial pressure of a gas, the more of that gas will dissolve in a liquid, as the gas moves toward equilibrium Gas molecules move down a pressure gradient; in other words, gas moves from a region... to gas exchange that occurs in the alveoli, whereas internal respiration refers to gas exchange that occurs in the tissue Both are driven by partial pressure differences Review Questions Gas