banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: thangdiablo  XML
Profile for thangdiablo Messages posted by thangdiablo [ number of posts not being displayed on this page: 7 ]
 

hoanghai04hn wrote:
Mình tìm kiếm mãi mà không thể down về được bản Meta Stock 10. Có huynh nào biết xin chỉ địa chỉ download giùm và nếu có cả crack thì càng tốt. Xin cảm ơn các huynh. 


PM cho mình địa chỉ email, mình gửi cho.

hvthang wrote:
Tại sao phải hash? Giả sử user A có password là a, password này được application "hash" nó thành 0cc175b9c0f1b6a831c399e269772661 rồi chứa vào CSDL. Khi user A login và dùng password a để đăng nhập, application sẽ hash a và so sánh giá trị vừa hash xong với giá trị đã lưu trong CSDL. Nếu chúng trùng nhau, user A được vào. Nếu hệ thống bị nhân nhượng, kẻ tấn công chỉ thu thập được hashed password và nếu muốn dùng chúng, hắn phải brute force nó (mất thời gian và ít thành công). 


Xin "đào mồ" chủ đề này xíu, em đọc thảo luận của các bác cũng sáng ra nhiều vấn đề. Theo em hiểu thì phương pháp hash một dữ liệu (password) thì sẽ giảm khả năng lộ password dạng đọc được trên đường truyền, và người không thẩm quyền cũng chỉ có được một chuỗi kỹ tự loằng ngoằng mà họ không đọc được. Tuy nhiên, cái em thắc mắc là khi đó họ sử dụng trực tiếp luôn cái chuỗi đó chữ không cần dịch lại làm gì cả, vì chuỗi đó là duy nhất mà (tính chất của hàm hash).
Vậy thì hash password, theo em nó chỉ che mắt được chứ không có tác dụng bảo vệ, không biết em nghĩ có sai không. Cảm ơn các bác. 


Ví dụ password đúng là acb. Khi bạn đăng nhập với password acb thì chương trình sẽ hash password của bạn ra thành 1 chuỗi "loằng ngoằng" và nó khớp ( match ) với cái chuỗi "loằng ngoằng" được lưu trong CSDL. Tuy nhiên, bằng 1 cách nào đó bạn lấy được chuỗi loẳng ngoằng này sau đó dùng nó để đăng nhập thì lúc này ứng dụng sẽ hash thành 1 chuỗi "loằng ngoằng mới". Và lúc này thì chuỗi mới không còn khớp (match) với chuỗi nằm trong CSDL nữa.

Kết quả là login bị fail.

Bạn nên đọc kỹ những gì anh conmale viết.

mrro wrote:


Mình nghĩ những giải pháp như RSA SecurID chỉ phù hợp với môi trường xác thực khách hàng bên ngoài sử dụng các dịch vụ công mà doanh nghiệp cung cấp như thương mại điện tử hay ngân hàng điện tử.

Dùng RSA SecurID cho các loại hình dịch vụ này thiệt ra cũng chỉ là tô vẽ thêm cho khách hàng an tâm và hơn hết là làm đúng quy định của nhà chức trách thôi, chứ nếu tính toán về chi phí và hiệu quả thì mình không nghĩ dùng RSA SecurID là giải pháp tối ưu cho bài toán xác thực hai yếu tố.



-m 


Khi triển khai 1 dịch vụ nào đó về IT trong kinh doanh, người ta luôn xem xét đến các khía cạch khác nhau. Ngoài việc nó phù hợp với thương mại điện từ và ngân hàng về mặt IT thì đúng là yếu tố marketing do nó mang lại cũng khá tốt cho doanh nghiệp.

Đôi khi ngoài việc bảo mật, chi phí ...etc nó còn phải đạt được yếu tố thuận tiện,dễ sử dụng và đẹp nữa.
Chứ xác thực 2 hay 3 yếu tố thì có nhiều cách khác nhau với chi phí rẻ hơn, nhưng tại sao doanh nghiệp vẫn lựa chọn RSA, Entrust, Vasco ... vì nếu xét trên khía cạnh thương mại nó vẫn tốt.

Mình cũng cho rằng, đem RSA SecurID vào áp dụng cho môi trường doanh nghiệp để xác thực nhân viên sẽ không phù hợp ở chỗ chi nhiều tiền để giải quyết một rủi ro không quá nghiêm trọng. Thử nghĩ xem RSA SecurID khi dùng kèm với Active Directory để làm Windows logon authentication thì giải quyết được những rủi ro gì? Mình sẽ bàn kỹ về vấn đề này trong một post khác nếu có bạn nào muốn thảo luận.  


Nói như vậy cũng chưa đúng lắm!
Vd như RSA SecureID mình dùng cho các Admin để login vào windows,linux,firewall,SSL VPN....etc cho an toàn.
RSA SecureID mình dùng kèm với Active Directory để user mobile có thể sử dụng email khi ra ngoài làm việc và dùng máy tính công cộng.
Còn tất nhiên, mình cũng không bao giờ triển khai cái RSA SecureID nếu chỉ để user login vào windows

mrro wrote:
Mình nghĩ nếu đã muốn xác thực nhân viên, thì nên hướng đến xác thực việc sử dụng dữ liệu, bởi cuối cùng rồi thì dữ liệu của doanh nghiệp, chứ không phải tài khoản của người sử dụng, mới là thứ quý giá cần phải được bảo vệ. Thử nghĩ đến trường hợp nhân viên cố tình phá hoại, vốn luôn là rủi ro hàng đầu của mọi doanh nghiệp, thì chúng ta sẽ thấy giải pháp xác thực nhân viên lúc họ đăng nhập vào máy tính sẽ trở nên không còn có ý nghĩa.
Tương tự như các dịch vụ công, cái cần phải tập trung bảo vệ là các giao dịch tài chính, chứ không phải tài khoản của khách hàng.
 


Về vấn đề này mình đồng ý với mrro 1 nửa.
Con người luôn là yếu tố quan trọng nhất. Nếu 1 tay Admin muốn phá hoại thì chẳng có hệ thống bảo mật nào ngăn cản được.

Tuy nhiên trong thương mại điện tử, ngoài việc bảo vệ các giao dịch tài chính thì tài khoản khách hàng còn vô cùng quan trọng.

Vd như trong chứng khoán nếu như 1 KH bị mất password để người khác login vào sau đó họ lấy tiền của KH mua/bán CK.
Tỉ lệ rủi ro với số tiền của KH là vô cùng lớn. Ngoài ra còn có 1 số dịch vụ chuyển tiền online nữa, nếu không bảo vệ tài khoản khách hàng thì số tiền bị sử dụng không kiểm soát là hoàn toàn có thể xảy ra.

Tương tự như các dịch vụ công, cái cần phải tập trung bảo vệ là các giao dịch tài chính, chứ không phải tài khoản của khách hàng.  

Cuncon201 wrote:

Gõ passcode lần thứ 2 có tác dụng ji? Em ko hiểu? Với 2 cách anh nói thì random đều đựa theo thời gian cả. Chỉ là 1 cái 1 khoảng tg nó random còn 1 cái khi người dùng cần thì nó random thôi.Còn client và AM chỉ xác thực 1 lần duy nhất. Vì vậy mốc tg là bên phía mỗi thiết bị. Vậy giã sử tg bên token chậm hơn bên server thì nhập passcode lần 2 để làm ji? Em ko hiểu.
 

Thế này nhé!
Với Token ở dạng time base cần phải đồng bộ lại khi cái đồng hồ (clock) giữa AM và token không còn giống nhau nữa.
Với Token ở dạng Event base cần phải đồng bộ lại khi tokencode count giữa AM và token không còn giống nhau nữa.
Nghĩa là bộ đếm của thuật toán 1 chiều không khớp nhau tại 1 thời điểm.


Mình ví dụ ở thời điểm phút 01 ngày 01 tháng 01 năm 2001 thì passcode trên AM và Token đều đồng bộ là 111111
Tuy nhiên vì lí do gì đó, sau 1 tháng token mất đồng bộ về passcode với AM. Nghĩa là phút 01 ngày 01 tháng 02 năm 2001 passcode trên AM là 999999 nhưng passcode trên token bị chậm mất 1 phút vẫn là 888888

Do đó khi user gõ 888888 vào thì AM báo xác thực bị lỗi. Lúc này cách làm là admin sẽ đồng bộ lại token với AM bằng cách gõ passcode 2 lần.

Lần thứ 1 vd passcode là 888888
Sau đó chờ 1' để token chuyển sang passcode mới thì gõ lần thứ 2 là 999999
Lúc này AM sẽ tự động chuyển lại thời gian sinh ra passcode sao cho trùng với đồng hồ của token.
Thuật toán về đồng bộ thời gian mà RSA đang sử dụng là AES-TIME
Đó là sync với token là time base.
Còn với Event base thì trong RSA có 1 mode gọi là Database Recovery Mode dùng để reset lại thuật toán trên AM.



Anh có thể giải thích giùm em chơ chế gửi node secret từ client tới server và cơ chế node secret được tạo ra bên server là ntn để nó phân biệt dc các agent của nó?
Thank anh. 


Node secret là 1 thuật ngữ trong RSA, còn với Entrust hay Vasco có thể người ta gọi tên kiểu khác. Tuy nhiên, về mặt ý nghĩa thì nó cũng giống nhau.
Node Secret là 1 shares secret giữa Agent với AM. Agent sẽ sử dụng node secret để mã hóa yêu cầu xác thưc và gửi nó tới AM.

Vd như Agent nó chạy lên AM kêu là " Anh ơi! Passcode của em là 123456 có đúng không anh, anh cho em vào nhé? " Thì nguyên cái đoạn hỏi này agent sẽ dùng node secret để mã hóa.

Giữa AM và Agent phải hoàn toàn đồng ý với nhau về trạng thái của node secret. Thật ra cái này cũng không khó hình dung. Để dễ hiểu hơn bạn cứ nghĩ tới việc thỏa thuận các thuật toán mã hóa, xác thực ..etc trong quá trình thiệt lập VPN IPSEC site to site ấy.

Có 2 cách để tạo ra 1 node secret. Như cách trình bày bên trên là cách tạo tự động khi có yêu cầu của agent và AM xác nhận đây là trust agent. Tất nhiên, các agent này đều phải được add bằng tay trên AM.
Ngoài ra cũng có thể tạo node secret trên AM trước, sau đó copy sang Agent.

lebale wrote:
Mình đang gặp tình trạng tất cả các ổ đĩa trên HDD đều tự động share mỗi lần Restart.
Mình đã thử khắc phục bằng cách :
Start\run\Notepad\ok

Code:
Net share C$ /delete /y
Net share D$ /delete /y
Net share E$ /delete /y

Save lại *.bat >>> RUN
Sau đó mình kiểm tra lại thấy các ổ đĩa không còn bị share nữa.
Nhưng khi restart lại máy thì tình trạng trên vẫn tiếp diễn. smilie smilie
Giờ mình phải làm sao?
Rất mong được sự chỉ giáo của các bạn.
Mình rất cảm ơn ! smilie 


Ban vui lòng đặt lại tiêu đề.

Cuncon201 wrote:
Cho em hỏi. Thuật toán tạo passcode dùng HOTP = HMAC-SHA1 đồng bộ giữa client và server dựa vào 2 yếu tố chính là shared secret và movingFactor.
MovingFactor là đồng bộ về thời gian, thời gian trên server là giờ hệ thống của server, còn thời gian trên client( mobile) là giờ hệ thống của client. Lỡ thời gian giữa 2 cái ko đồng bộ thì sao? Có cách nào giải quyết tốt vấn đề này? Hay phải tự đồng bộ thời gian giữa client và server?

Em đang làm đề tài về vấn đề này. Mong mấy anh giúp đỡ.
Thân. 


Theo mình được biết, giữa token và authentication server được đồng bộ với nhau bằng 2 cách
- Cách thứ 1 gọi là time base
- Cách thứ 2 gọi là event base

Còn cách gọi shared secret hay MovingFactor có thể là 1 cách gọi trong 1 số tài liệu khác
Với cách thứ 1 thì token sẽ hiển thị chuỗi số radom 1 cách liên tục và thời gian đồng bộ giữa token và authentication manager (AM không vượt quá 1 phút).
Với cách thứ 2 thì trên token có 1 nút bấm để tạo ra 1 số radom. Chuỗi số này đống bộ với thuật toán một chiều trên AM.

Với cả 2 cách đều có những thời điểm giữa token và AM không đồng bộ được với nhau về thời gian hoặc sai giá trị về thuật toán.
Khi gặp những trường hợp này thì chúng ta có thể sync ( đồng bộ ) lại giữa token vào AM bằng cách sau khi gõ passcode lần thứ 1, bạn sẽ được yêu cầu gõ passcode lần thứ 2.

Shared secret là một key bí mật cần trao đổi giữa client và server ( em hiểu nôm na là thế).Vậy cho em hỏi cơ chế tạo ra secret là ntn? 


Giữa AM và agent sẽ được xác thực và mã hóa thông tin với nhau thông qua node secret.
Lần đầu tiên khi Agent có yêu cầu được chứng thực với AM thì nó sẽ gửi tới AM node secret. AM sẽ respond node secret này hợp lệ hay không trong lần authen đầu tiên để đảm bảo agent đó là đáng tin cậy.
Nó giống kiểu SSH bằng pubkey.
Node Seret được tạo ra trên servers và copy sang cho agents.
Hi all,
Trên HVA hiện cũng có vài topic về chủ đề này nhưng rải rác và được thảo luận sôi nổi lắm.
Với lại hiện tại mình đang trong qúa trình làm OTP cho hệ thống của công ty. Mình có 1 số thắc mắc cũng như kinh nghiệm muốn trao đổi cùng anh em nên lập ra topic này.

Relate topic:
/hvaonline/posts/list/26513.html
/hvaonline/posts/list/30760.html

Do đây không phải là bài viết hướng dẫn nên không có giới thiệu cũng như hướng dẫn cách làm. Mà chỉ nêu ra những thắc mắc hoặc kinh nghiệm cần trai đổi trong quá trình làm OTP.

Hiện bên mình đang sử dụng RSA với tokens là hardware, Base Server License.

Mình setup agent là windows thành công và khi muốn access vào agent thì phải dùng UserID + Passcode (Pin + 6 digit numbers on token)
Để tránh nhầm lẫn ngay từ bài đầu tiên này mình nói rõ ý nghĩa của mấy cụm từ như PIN, PASScode ..etc vì nó có rất nhiều thứ mà thông thường chúng ta hay gọi là "password"

PIN = là 1 chuỗi ký tự cố định được set trên RSA Authentication Manager.
Passcode = là PIN + 1 chuỗi ký tự radom được thể hiện trên token
Password = là mật khẩu cố định của agents (windows, linux, firewall ...etc)

Việc access vào agent bằng UserID + .... gì gì phía sau thì tùy mình set option. Cái này không quan trọng.

Lúc này khi login vào Windows đương nhiên phải sử dụng UserID + Passcode. Đến đây nghĩ thấy...bảo mật quá smilie
Nhưng khi mình thử share 1 folder trên windows và từ client mình access vào thư mục share bằng user ID + password.
Nó vẫn vào được bình thường, như vậy có vẻ không ổn lắm nhỉ?
Các bạn khác có ý kiến gì không?

Còn vài thứ muốn chia sẻ với anh em khi móc LDAP từ RSA AM nhưng từ từ đã.

khicon19bmt wrote:


Có thể mô tả thế này:
- User vô web bình thường.
- Khi đăng nhập thì dùng username và passcode (= pass + pin code).

Vấn đề là mình không biết cách để nhúng giao diện của RSA vào giao diện đăng nhập của web!!!
Không biết mô tả thế bạn có rõ không smilie 


Công ty mình cách chứng thức khác với nhu cầu của bạn.
Tuy nhiên theo mình biết, quy trình để nhúng RSA vào website phải bao gồm những bước mình sẽ trình bày phía dưới. Nhưng trước khi đi vào các step cần làm mình muốn làm rõ 1 số thông tin trước.

- Trước khi nhúng RSA agent vào website. Thì password khi user login nằm trên database của web. ( Mình giả định trường hợp này user chỉ cần 1 password duy nhất trong quá trình login vào sử dụng website.)

- Sau khi nhúng RSA agent vào website với nhu cầu ( combine password tĩnh + passcode được tạo ra từ token ) thì toàn bộ những password này được RSA authentication server quản lý. Chứ không còn nằm riêng biệt trên Database của website nữa ). Lúc này cái password tĩnh thông thường của KH đóng vai trò như PIN code trên RSA authentication server.

Bây giờ những việc chúng ta cần làm là:
- Sửa lại hàm APIs login, change password ...etc trên website để kết nối với RSA authentication Server.
Có vài khó khăn là không phải tất cả các APIs này đều hỗ trợ kết hợp password tĩnh với passcode.
Trên trang của RSA cũng có cung cấp các library và APIs để kết nối vào RSA authentication manager.

- Lập trình trong webservice để tương tác với RSA Authentication Manager.
Nhớ lưu ý thêm phần thay đổi password tĩnh. Nghĩa là nếu KH có nhu cầu thay đổi password tĩnh thì nó phải tương tác được với RSA Authentication Manager để chỉnh lại Pin code luôn.


PS: Hiện tại mình đang tích hợp cái RSA agent này với LDAP có sẵn của công ty và các thiết bị khác như Router, Firewall, VPN, Mail ...etc. Bạn nào cũng đang làm có nhu cầu trao đổi về vấn đề này thì xin mời nhé.

khicon19bmt wrote:


Hi bạn,

Mình có thử tích hợp RSA vào web server (IIS), tuy nhiên mình chỉ làm được ở mức chứng thực qua RSA, sau đó mới vào web. Trong khi đó, yêu cầu thực tế là RSA phải nhúng vào ứng dụng web luôn (tương tự như các trang web ngân hàng). Mình đang lúng túng trong việc nhúng vào web, mình đã đọc tài liệu tích hợp web của RSA và được cung cấp 1 số hàm API để thực hiện, nhưng vẫn chưa làm đc.  


Cụ thể hơn được không?
Yêu cầu của bạn muốn thế nào khi authen bằng RSA trên môi trường web?
Bạn bị khó khăn ở chỗ nào?

Vd như bên mình với cái website
- User vẫn login và web bằng username + password bình thường.
- Sau đó trong phần đặt lệnh thì mới dùng tới passcode được generate ra từ token (hardware hoặc software)

Tuy nhiên authen bằng RSA có rất nhiều cách. Kết hợp password + passcode. Kết hợp SecureID PIN + passcode ..etc
Quan trọng là mình phải biết nhu cầu của bạn thế nào?

khicon19bmt wrote:

thangdiablo wrote:


Hiện mình cũng đang tích hợp RSA vào hệ thống nên sẽ rất vui nếu được trao đổi với những ai đã có kinh nghiệm trong việc này.
 


Hi bạn,

Mình cũng đang thực hiện tích hợp RSA 1 số phần như (VPN, logon domain, quản lý device, mobile, ứng dụng web) sử dụng cả hardware, software. Tuy nhiên phần nhúng RSA vào ứng dụng web (database Oracle) mình đang gặp khó khăn, bạn có thể chia sẻ 1 số tài liệu và kinh nghiệm cho mình không ? ( tất nhiên là không phải những tài liệu trên trang của rsa smilie )

Thanks!

 


Bạn gặp khó khăn ở phần nào? Hiện mình đang tích hợp RSA vào LDAP của Windows và các thiết bị phần cứng khác. Còn phần nhúng RSA vào web là do bên bộ phận web bên mình làm. Tuy nhiên, bạn cứ chia sẻ khó khăn bạn đang gặp phải. Mình sẽ trao đổi và reply nếu có được thông tin hữu ích giúp cho bạn.

prof wrote:
Hello Cuncon201,

Giải pháp VIP Access for Mobile của VeriSign về bản chất là giải pháp Mobile OTP đó. Đây là một giải pháp đang khá được ưa chuộng trên thế giới, mặc dù ở Việt Nam mình chưa thấy có doanh nghiệp nào áp dụng cả. Có lẽ mình đi chưa đủ nhiều smilie.

Trên sourceforge có một project liên quan: hxxp://motp.sourceforge.net/. Bạn có thể tham khảo thêm.

Chúc may mắn.

 

Cái Mobile OTP bên ACB xài rồi.

cuncon wrote:
Em đang làm đề tài về bảo mật token. Nhưng thay vì dùng USB token mỗi khách hàng phải mua 1 cái và đem theo bất tiện thì ta viết chương trình cho mobile. Em thấy trên mạng có VIP access for mobile của veriSign. Mấy anh nào đã từng nghiên cứu về cái này sharing cho em ít tài liệu.
Em cảm ơn!  


Tài liệu thì nhiều lắm. Bạn cần mình sẽ share cho bạn. Tuy nhiên bạn cần nói rõ bạn muốn tập trung vào phần nào?
Mình có cảm giác bạn đang bị nhầm lẫn giữa xác thực bằng (smartcard ) và One Time Password được generate ra từ token (hardward hoặc software)

Hiện mình cũng đang tích hợp RSA vào hệ thống nên sẽ rất vui nếu được trao đổi với những ai đã có kinh nghiệm trong việc này.

conmale wrote:
Tớ chúa ghét spam và từ khi bắt đầu dùng qmail làm MTA hồi năm 2000 cho đến nay, tớ đã khoái ứng dụng rblsmtpd (real time backlist smtp daemon) có trong qmail.

Ngày trước đoạn script run tớ thường dùng cho qmail-smtpd là:

exec /usr/local/bin/softlimit -m 2000000 \
/usr/local/bin/tcpserver -v -H -P -R -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp /usr/local/bin/rblsmtpd -r relays.ordb.org -r relays.osirusoft.com /var/qmail/bin/qmail-smtpd >> /var/log/qmail/rblsmtpd.log 2>&1 


trong đó,
relays.ordb.org và relays.osirusoft.com là hai RBL servers. Chúng được rblsmtpd hỏi thăm mỗi khi có mail đi vào xem mail này có phải thuộc diện spam hay không trước khi tiếp nhận.

Thời gian gần đây, tớ thấy spams đi vào system càng lúc càng nhiều, bèn điều tra. Hóa ra hai cái servers trên chết tiệt hồi nào rồi nên chẳng còn real time blacklist gì ráo smilie) .

Tớ bèn google 1 phát và ra cái này:
http://www.email-policy.com/Spam-black-lists.htm

Sau khi duyệt xuyên qua cái danh sách và hí hoáy thử nghiệm, tớ thấy có 2 "anh chàng" ngon nhất và nhanh nhất đó là:
sbl-xbl.spamhaus.orgdnsbl.njabl.org. Thế là đoạn script run tớ dùng cho qmail-smtpd trở thành:
exec /usr/local/bin/softlimit -m 32000000 \
/usr/local/bin/tcpserver -v -H -R -l 0 -P -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 25 /usr/local/bin/rblsmtpd -b -r sbl-xbl.spamhaus.org -b -r dnsbl.njabl.org /var/qmail/bin/qmail-smtpd >> /var/log/qmail/rblsmtpd.log 2>&1 


Điểm khác biệt tất nhiên là 2 cái server mới ở trên. Tuy nhiên, điểm quan trọng là tớ dùng -b thêm vào. -b cho rblsmtpd có nghĩa là "Use a 553 error code for IP addresses listed in the RBL" (theo nguyên bản chú thích của Dan Bernstein). Bởi thế, một đoạn log mới của qmail's rblsmtpd.log cho thấy:

tcpserver: pid 27269 from 24.195.254.113
tcpserver: ok 27269 0smiliexx.xxx.xxx.xxx:25 :24.195.254.113::1921
rblsmtpd: 24.195.254.113 pid 27269: 553 http://www.spamhaus.org/query/bl?ip=24.195.254.113
tcpserver: end 27269 status 0 


Đại khái tcpserver daemon báo rằng,
- process id 27268 nhận mail từ 24.195.254.113.

- sau đó, nó tiếp nhận (ok) ở dòng tiếp theo. xxx.xxx.xxx.xxx:25 là cổng smtp và IP của server của tớ, 24.195.254.113 và cổng 1921 là IP và cổng của máy (hoặc open relay server đó) gởi mail đến server tớ.

- dòng kế tiếp, rblsmtpd nhảy vào và query spamhaus.org xem IP 24.195.254.113 có bị blacklist hay không và cho biết kết quả 553 (SMTP Relay denied).

- dòng cuối cùng, tcpserver báo rằng process đó kết thúc, không có chuyện gì xảy ra. Điều này có nghĩa rằng, spam mail từ 24.195.254.113 không hề vào được hệ thống của tớ smilie)


Ai dùng qmail nên thử xem thế nào? Ở đây tớ không bàn đến các phương pháp chống spam khác (như spamassasin... dùng fuzzy check, Bayesian filter... ) vì RBL là 1 dạng trong nhiều dạng chống.

Tớ nói thêm, những ai chưa dùng qmail thì bài viết này không có giá trị gì cả.

Thân mến. 


Hiện tại spamhaus đã chuyển nguồn combine sbl-xbl.spamhaus.org sang zen.spamhaus.org

Trên spamhaus cũng có 1 số error return code
Tham khảo tại
http://www.spamhaus.org/zen/
http://www.spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#200

@ anh conmale: Bài viết của anh rất có giá trị cho dù em không dùng qmail. smilie

B 0 0 B wrote:

quanta wrote:
Bạn có thể cho biết đó là tài liệu gì không? 


à coi mấy tài liệu configure thiết bị switch 


Tag ( đánh dấu ) được ứng dụng trong rất nhiều trường hợp. Trong trường hợp này bạn đề cập đến switch thì tag được đánh dấu để nhận biết VLAN ID của mình.

Thân mến
Nó là 1 cụm bao gồm những tools sau:

- Exchange Server Domain Rename Fixup
- Email Journaling Advance Configuration
- Exchange Server 2003 Management Pack for Microsoft Operations Manager
- Load Simulator 2003
- Microsoft Exchange Server User Monitor.

Tớ không có bản demo của con cái tools này.

@Quanta: Vì để thuận tiện cho việc quản lý nên tớ tổng hợp tất cả những tool để quản trị exchange thành một mối sẽ tốt hơn.
Vì món này ngày xưa public nên mình nghĩ trong đấy thế nào cũng có anh em còn giữ.
Chào anh em,

Mình đang cần Tools này để phục vụ cho mục đích công việc. Ngày trước MS nó có up cái tool này lên, tuy nhiên gần gây không biết vì lí do gì mà nó remove đi mất. Nếu ai có vui lòng cho mình xin.

Cám ơn
Đúng là có 1 đoạn do mình nhầm lẫn ở đây. Hôm nghe speaker nói có thể nghe không rõ ràng. Sau khi mình kiểm tra lại tài liệu về WAAS thì thấy trong đó có đoạn

Solution wrote:
Redundant data does not need to transit the WAN- reduces overall bandwidth usage
Tạm dịch là giảm thiểu việc dữ liệu trùng lặp đi xuyên qua mạng WAN qua đó sẽ giảm được băng thông nối tới chi nhánh.

 


Có thể hiểu là WAAS sẽ loại bỏ các gói tin bị trùng lặp.


Ngoài ra WASS có thể tối ưu hóa các giao thức phổ biến như MAPI (RPC ), CIFS,NFS,HTTP v.v
Nâng cao,cải thiện ( không phải tối ưu hóa) hiệu năng của TCP thông qua mạng WAN
Vậy WAAS làm thế nào và làm sao để có thể làm được điều này, mời anh em tiếp tục thảo luận.

StarGhost wrote:

Ồ, cái này thì đơn giản thôi: có một điều chắc chắn rằng intermediate systems không thể biết được TCP congestion control được sử dụng ở endpoints ra sao, thế nên việc tự ý retransmission sẽ dẫn đến packet duplications. Packet duplications sẽ dẫn đến duplicate acknowledgements. Nếu nhiều duplicate acknowledgements sẽ dẫn đến việc TCP thắt chặt sliding windows, và cuối cùng là dẫn đến giảm tốc độ truyền dữ liệu. Ngoài ra, packet duplications còn dẫn đến các vấn đề về pricing.

Trên thực tế thì không phải lúc nào cũng như vậy, và tùy vào môi trường lẫn configuration, nhưng không có nghĩa là nó không thể xảy ra.

Duy có một ngoại lệ của việc retransmission ở intermediate systems là trong Wireless LAN, do BER và FER là tương đối lớn. Tuy nhiên, việc retransmission này không có vấn đề là vì: thường không có vấn đề về pricing, retransmission diễn ra ở data link layer, retransmission diễn ra trong local loop nên không tạo ra nhiều ảnh hưởng đến network. 


Nếu như packet từ Endpoint khi được gửi xuyên qua intermediate systems ( trong trường hợp cụ thể này là thiết bị Cisco có gắn module WASS ). Thiết bị WAAS này sẽ có trách nhiệm lưu giữ tạm thời và đánh dấu những gói này trên NVRAM.
Sau 1 khoảng thời gian nếu không thấy phía bên kia báo thiếu thì những gói lưu giữ tạm thời này sẽ bị hủy.
Còn nếu thiếu nó sẽ tự động gửi lại thay vì chờ Endpoint.

Theo StarGhost thế có ổn không?


StarGhost wrote:
@thangdiablo: việc IP address có bị thay đổi hay không đâu có phụ thuộc vào thiết bị của Cisco hay là công nghệ gì gì đó. Vì vậy mình nghĩ quanh đi quẩn lại vẫn là VPN thôi.
 


Hi StarGhost: Bạn đọc kỹ lại bài mình viết.
Mình đâu có nói việc IP bị thay đổi do thiết bị Cisco. Để mình giải thích lại thế này.

Giả sử mình có 2 Peer HN và SG.
Trên 2 peer này mình sử dụng Cisco Router có module WAAS.
Giữa 2 peer này là của nhà cung cấp. Họ dùng gì ở giữa thì tùy ( có thể là Cisco, có thể là Nortel, có thể là Dlink ... )

Bây giờ 1 gói tin đi ra từ trong LAN của HN tới LAN của SG. Trên Router của 2 peer này tất nhiên là có apply các chính sách mã hóa và toàn vẹn dữ liệu cho gói tin.

Vậy nếu gói tin đi từ LAN của HN được giữ nguyên cho tới khi chuyển ra khỏi cái Router HN và đi tới nhà cung cấp đường truyền, tới đây nhà cung cấp thực hiện NAT cái gói tin và chuyển tới peer SG. Vậy thì khi Router SG, gói tin gửi đi từ A sẽ bị drop vì không còn đảm bảo tính toàn vẹn.

Còn tại sao mình lấy ví dụ 2 peer HN & SG lại là Router Cisco vì cái topic này đang đi vào vấn đề WAAS của Cisco.

StartGhost wrote:
Còn về cái trò "Tự động lưu và phát lại gói tin của giao thức TCP bị mất trên đường truyền thay vì đợi source host gửi lại", mình cho rằng khá là mạo hiểm.
 


Bạn có thể phân tích thêm lí do mạo hiểm được không? Mình cũng đang muốn hiểu thêm về vấn đề này.

End-to-end argument là một trong những vấn đề cốt lõi của networking. Việc sử dụng đặc điểm trên đòi hỏi sự hiểu biết sâu sắc về network operation theo một cách khoa học (scientifically). Nếu không sẽ dẫn đến các hậu quả thảm hại. Mình không nghĩ là nhiều network admin hoặc engineer có khả năng này, nên việc Cisco đưa cái này vào mình cho là không phù hợp.  


Mình thì lại không đồng ý với quan điểm này. Việc Cisco đưa ra các Module tối ưu hóa dữ liệu đi từ mạng nội bộ xuyên qua nó trước khi ra bên ngoài một cách tự động và có thể cấu hình 1 cách trực quan là điều tốt.
Tuy nhiên mình vẫn muốn nghe bạn giải thích những trường hợp có thể gây ra hậu quả thảm hại.



vikjava wrote:
Chào mọi người !

Vừa rồi cisco có một hội thảo "Tối ưu hóa chi phí công nghệ thông tin của các chi nhánh " . Trong cuộc hội thảo này cisco giới thiệu giải pháp WAAS. Giái pháp này theo giới thiệu thì nó có khả năng tối ưu hóa giao thức tcp/ip. Mình cũng chưa thât rõ vụ tối ưu này như thế nào ?

Một số cty cũng đi chào giải pháp cũng liên quan tới tối ưu hóa tcp/ip như A 10 Networks ... Khi mà đường truyền vietnam chưa có khả năng mở rộng thì có lẽ giải pháp này rất hợp với chung ta.

Xét về góc độ kỹ thuật thì tối ưu hóa giao thức tcp/ip xảy ra như thế nào? Hoạt động ra sao ? Mong mọi người chia sẽ ,thảo luận . Thân 


Theo như bài trình bày trong hội thảo công nghệ WAAS ( Wide Area Application Services ) thực chất là 1 module trên sản phẩm của Cisco ( như dòng Router 3825 Integrated Services) tối ưu hóa ở những mức độ sau:
- Có cơ chế lưu cache --> Giảm bandwidth chạy trên đường truyền của nhà cung cấp ---> Giảm chi phí
- Tự động lưu và phát lại gói tin của giao thức TCP bị mất trên đường truyền thay vì đợi source host gửi lại --> Cải thiện về mặt tốc độ.
- Có QoS cụ thể cho từng giao thức dưới giao diện đồ họa thông qua WAAS software ( Giống như kiểu SmartConsole của CheckPoint ), ngoài ra WAAS cung cấp giải pháp QoS tự động ( mặc định ) cho các giao thức về voice và video. --> Hiệu quả trong việc sử dụng băng thông.
- Có đẩy đủ các tính năng về security như ( authentication, authorization, Integrity, Encrypt v.v ) --> Không phải mua thêm Firewall --> Tiết kiệm chi phí.

Tuy nhiên đến khúc này tôi mới thắc mắc nhưng trong cái hội thảo đó không có thời gian cho người tham dự hỏi.
Speaker có nhắc đi nhắc lại là ưu điểm của WAAS là dòng dữ liệu được " trong suốt " ( transparent ) dẫn tới chúng ta có thể dễ dàng theo dõi dòng dữ liệu chay qua. Speaker còn giải thích rằng " trong suốt " có nghĩa là gói tin được gửi đi từ A với IP Des/Source không bị thay đổi khi tới B kể cả việc áp dụng các biện pháp security.

Trong đầu tôi mới suy nghĩ thế này.
Trong trường hợp ta áp dụng cơ chế đảm bảo cho gói tin được mã hóa (encrypt), toàn vẹn ( integrity ) khi gửi đi từ A tới B.

- Nếu trên quãng đường từ A-B có những thiết bị NAT/PAT nằm giữa. Điều này sẽ dẫn tới việc gói tin bị thay đổi IP Source/Des và khi tới B chắc chắn sẽ bị drop vì không còn đảm bảo tính integrity.

Do đó để giải quyết vần đề này trên quãng đường từ A-B người ta hay setup VPN ở mode Tunnel. Nghĩa là trước khi packet được gửi ra bên ngoài WAN ( tôi tạm gọi như vậy để biểu thị việc gói tin chạy qua hệ thống của ISP ) nó sẽ được bọc lại hoàn toàn với 1 IP Source khác. Và sau khi tới B thì phần IP Source được bọc bên ngoài này sẽ được gỡ ra còn lại gói tin nguyên thủy ban đầu.

Vậy nếu gói tin được coi là "trong suốt" như cái tính năng mà Speaker trình bày thì liệu có apply security lên nó được không?



Việc này chắc có liên quan đến comodo. Bạn thử trước khi vào Internet thì tắt firewall. Đừng để bị rồi mới kill xem nó thế nào?
Có thể firewall nó chặn port 53 của dns hoặc block luôn application firefox và yahoo.
Nếu xác định chính xác nguyên nhân là do thằng comodo thì vào thử phần cấu hình comodo xem các ứng dụng trên có bị block không? Nếu có thì allow or trust cái application đó.
Cái NBNS là Netbios name services dạng như Wins trên windows.
Còn SMB là 1 giao thức đề dùng để chia sẻ file dữ liệu, máy in v.v giữa các máy tính.
Thế bạn đã thử những cách nào để khắc phục vấn đề này? Kết quả ra sao?
Muốn change password gì?

StarGhost wrote:
[mình cho rằng kể cả switch có hỗ trợ STP thì vẫn bị "ngu" như thường. Tuy nhiên, cũng chưa có result chống lưng nên đành để sau vậy. 


STP mình đã kiểm tra nhiều lần ( bao gồm PVST, MSTP,RSTP), hoạt động tốt khi thử loop trên cả những dòng switch cisco thường như 2960 hay những loại trung như 3560 hay có stack như 3750.
Chưa thấy bị " ngu " lần nào.
Sau khi loop thử mình show cpu process thấy performance của switch không có đột biến gì bất thường.
 
Go to Page:  First Page Page 1 2 3 4 6 7 8 Page 9 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|