建置網路安全閘道器 實驗手冊 -...
TRANSCRIPT
- 1 -
建置網路安全閘道器 實驗手冊
Ⅰ. 實驗目的
“安全”是影響目前網際網路應用最重要的因素。企業上網蔚為風潮, Intranet的控管與保護也成了網路安全的重要課題。本實驗使用 RedHat套件中 freeware的網路工具 ipchains、FreeS/WAN和 Squid建立一個符合實務須求的 Security Gateway,並測試與紀錄 Security Gateway的各項安全保護功能。本實驗的主要目的有二:
1. 訓練同學熟悉 Linux操作環境,利用 Linux建構區域網路。 2. 在實際操作中了解 Firewall、VPN、URL Blocking的運作原理。
操作本實驗的同學應具基本網路常識,具有基本使用 Linux的經驗,了解 Firewall、VPN、Proxy的基本意義。Linux的安裝與操作請參考”實驗十 用 Linux建立 Intranet”。
Ⅱ. 實驗設備
硬體: 項目 數量 備註
個人電腦 4 2台 PCs安裝 Linux
2台 PCs安裝Windows98 Adaptor 6 NE2000 compatible 網路線 4 串接 server
軟體:
軟體名稱 數量 軟體種類 描述 Redhat Linux 6.2 1 OS Freeware可由網路上下載 Windows 98 1 OS Microsoft公司出版 FreeS/WAN 1 VPN 己收錄於 RedHat Squid 1 Proxy 己收錄於 RedHat ipchains 1 Firewall 己收錄於 RedHat Netscape 1 Browser 用以瀏覽 Internet
- 2 -
Ⅲ. 背景資料
「網路化」是現今各產業都無法倖免的風潮。走進網際網路(Internet)確實給企業帶來了許多利基,包括行銷、企業形象、顧客關係管理(CRM, Customer Relationship Management)等都產生正面的影響。然而網際網路(Internet)廣闊無邊,也同時波濤潛伏,企業在上網的同時也遭受了很多安全上的威脅。
為了保護企業內部的 Intranet,建構一個完善的 Security Gateway隔絕所有 Internet上的
騷擾和攻擊。Intranet的安全管理須要擁有健全的機制,控制合法的資訊進出,阻絕攻擊,保護企業內部資料不當流出或遭到截取。表一整理一般企業對 Security Gateway的功能須求。針對表一的須求,我們設計一個完善 Security Gateway所須具備的基本功能與技術條,列於表二,這些機制分別須要三種網路工具 Firewall、VPN、Proxy來幫助我們完成。接下來的實驗,就是利用這三項 freeware來建置 Security Gateway。
須求 方法 技術 阻止非法的對內傳輸 Packet filter Restrict
illegal transmit 阻止非法的對外傳輸 Packet filter
URL blocking Prevent attack 阻止 hacker的攻擊 Packet filter
LAN to LAN security tunnel VPN with IPSec Security transport LAN to Host security tunnel VPN with IPSec Transmit log 傳輸資料的統計 log
表一:Security Gateway的功能需求
Demand Example Technology Tool 限制員工偷看色情網站 URL blocking Proxy 限制某一部門對外連線 Filter outward packet
source address. Firewall Restrict
illegal transmit 阻止任何人從外部 telnet
內部 server Filter inward packet destination address
Firewall
Prevent attack 阻止外部 ping內部主機 Filter inward echo request packet
Firewall
和另外一個 LAN建立security tunnel
LAN to LAN tunnel transport
VPN Security transport 允許 sales安全存取內部
資料 LAN to various host tunnel transport
VPN
Transmit log 紀錄所有傳輸資料 Log transport packet 表二:Security Gateway應具備的功能
在這次實驗中,我們選擇 Linux做為 Security Gateway的平台,因為 Linux系統穩定,
功能強大,是目前網路 Server平台的最佳人選,另一個重要的原因是 Linux作業系統完全
- 3 -
free!我們也選擇 RedHat[1]套件中的三個網路功具,來扮演 Security Gateway中不同的角色,它們是 ipchains[2]、FreeS/WAN[3]、Squid[4],如表三。下面我們將逐一介紹三項工具及基本的操作。
軟體名稱 功能 執行空間 最新版本 免費下載
ipchains Firewall Kernel 1.3.9 ftp://ftp.rustcorp.com/ipchains /ipchains-scripts.tar.gz
FreeS/WAN VPN Kernel 1.4 http://www.freeswan.org/download.html
Squid Proxy Daemon 2.4 ftp://ftp.wownet.net/WWW/ Squid/
表三:工具軟體介紹
1. ipchains 目前市面上可見的防火牆大致分為四類[5],封包過濾器(packet filter)、防禦主機(Bastion
Host)、代理防火牆(proxy firewall)、屏敝式主機(screened host)。ipchains屬於封包過濾器(packet filter),是第三層的網路設備。主動檢查每一個通過防火牆的 packet,依照每一個 packet中 IP Header的資料決定如何處置這個 packet。最大的優點是速度快。
圖一:ipchains的運作原理
ipchains內附於 Red Hat 6.2之中,在 Linux安裝完成後,就已經存在系統中。ipchains允許系統管理者建立串鏈(chain),每一個串鏈(chain)由多條規則(rule)規則串接而成,如圖一,每條 rule包含對 packet的描述,和指定的動作(action)。packet通過防火牆要逐一比對每一條rule,符合描述特徵的 packet就依照 action中的動作處理 packet。對 packet的動作有三種,”ACCEPT”代表允許 packet通過,”DENY”表示丟棄 packet,”REJECT”也是丟棄 packet,但是會回應一個 destination unreachable的訊息給 packed的發送端。表四整理 ipchains內定三條串鏈(chain),針對不同的 packet做不同的處理。圖二是 ipchains的基本指令格式,進階操縱請參考 IPCHAINS-HOWTO[6]網頁。
pattern description action
pattern description action
pattern description action
pattern description action
any to any deny
packet
Rule3:
Rule2:
Rule4:
Rule N:
Rule1:
- 4 -
名稱 描述 Input Input packet rule control chain Output Input packet rule control chain Forwarding IP masquerade packet rule control chain
表四:ipchains內建的 control chains
ipchains -Command chains rule-specification [option] ipchains -Command chains rulenum rule-specification [option] ipchains -Command chains
圖二:ipchains基本語法
2. FreeS/WAN 以往需要電腦網路連接各地分公司的企業網路,必需申裝專線,藉由點對點的專線串接
屬於自己的私有網路( Private Data Network)。專線建置私有網路擁有較佳的效能及完整的控制權。然而現在有公眾網路建置成本低、收費低廉、服務項目多、備援性佳,在降低成本提昇
競爭力的前提下,虛擬私有網路(Virtual Private Network, VPN)[7]應運而生。 虛擬私有網路(VPN)最簡單的定義就是”在 Internet公眾網路上建立屬於自己的私人網
路”。虛擬,是指不再擁有實體之長途數據線路,而是使用 Internet公眾網路的長途數據線路。企業可以在 internet上為自己量身訂做一個最符合自己需求、自己可以控制的私人網路。
圖三:VPN的 Security Tunnel 虛擬私有網路(VPN)主要採用四項技術:穿隧技術(Tunneling)、加解密技術(Encryption &
Decryption)、密鑰管理技術(Key management)、身份認證技術(Authentication)。IETF從 1995年起,陸續公佈許多相關之技術標準。這些標準統稱為 IPSec (IP Security,RFC1825~1829,RFC1851,RFC2085,RFC2104)。如圖三,要前往指定目地的 packet會被 tunneling,也就先加密,再包在第二層 IP封包中,送到遠端的 VPN Gatweay。收到 tunneled packet後依事前的
internet
Taipei Kaochung
Security Tunnel
ip1 Payload ip1 Payload
ip1 Payloadip2
- 5 -
協定將封包解密,再給真正的收件人所以 Client的使用者是沒有感覺的。我們在 Server之間建立 Security Tunnel,packet在通過 Security Tunnel時都已經加密,所以 Internet上其他的人是無法看到 packet的內容。
圖四:FreeS/WAN建立 Tunnel時的基本設定 FreeS/WAN是目前口碑最好的 VPN軟體,支援 IPSsec,可以設定多個 tunnel,對不同的
destination的 packet做不同的加密工作。FreeS/WAN的設定檔為/etc/ipsec.conf,自己這一端叫 left,而目的端(遠端)稱為 right,如圖四。建立 tunnel須指定自己的 IP Address和 Subnet,指定遠端的 IP Address和 Subnet,而對方也要以相對的方式把 tunnel指向自己,兩邊 VPN Server的參數要配合才能正常通訊。FreeS/WAN的操作與安裝請參考 Linux FreeS/WAN Configuration網頁[7]。
3. Squid
代理伺服器(Proxy Server)是提供代理 Internet連線服務的伺服器,類似一大型的 HTML文件快取中心,使用者可將他們的瀏覽器之 HTTP Proxy設定指向一 Proxy伺服器如圖五,之後,這些使用者的所有 HTTP文件即會透過該 Proxy伺服器取得,而非用戶的瀏覽器親自向Internet中伺服器下載。
圖五:Transparent Proxy的運作架構
In te rn et
T ran sp aren t p ro x y
internet
left right
leftsubnet rightsubnet
type=tunnelleft=10.11.11.1leftsubnet=10.11.11.0/24leftnexthop=33.44.55.66(*)right=10.22.22.1rightsubnet=10.22.22.0/24leftnexthop=66.77.88.99(*)
type=tunnelleft=10.11.11.1leftsubnet=10.11.11.0/24leftnexthop=33.44.55.66(*)right=10.22.22.1rightsubnet=10.22.22.0/24leftnexthop=66.77.88.99(*)
- 6 -
傳統的 Proxy Server屬於被動式的網路設備,MIS人員需個別的強制設定每位使用者透過它對外連線。這不但造成MIS人員網路管理層面的問題,也造成頻寬、金錢、時間及人力的浪費。通透性代理伺服器(Transparent Proxy)能自動處理每一筆要上網的資料,不需要在每一位使用者的瀏覽器中設定代理伺服器,代理伺服亦可支援 Internet上所有服務,增加網路控管的安全性及便利性。我們可以設定 Transparent Proxy中的當 ACL(Access Control List)來管理 Intranet內人員對外的連線,達到安伓控管的目的。
Squid是目前使用最普遍的 Proxy Server,支援 ICP(Internet Control Protocol)和 Transparent
Proxy,許多學校的 proxy就是使用 Squid,主要原因是設定簡單具彈性,統計功能強大。籍由設定檔/usr/local/squid/etc/squid.conf來控制 Squid proxy的運作。Squid也提供 ACL的功能,依照 HTTP request的 Source IP和 Destination URL來決定是否可以存取網路。操作與安裝請參考 Squid User Guide[8]。
Ⅳ. 實驗方法
本實驗練習安裝與建置一個符合實務須求的 Security Gateway。本實驗操作環境須要在可以直接連接(一般校園網路環境)Internet的實驗室中進行,利用 ipchains、FreeS/WAN、Squid三項之前介紹的 freeware來建置一個 Security Gateway,我們將實際設定每一個細節並測試安全防護的功能是否成功。
為了模擬各種狀況的網路環境,我們將實驗分為三個階段。第一個階段模擬 LAN連結
Internet的環境。安裝一台 Server和一台Client模擬企業內部 Intranet,企業內部網路經Gateway Server連結 Internet,設定 Security Gateway的限制條件,控制內往外的通訊。
第二階段練習阻止來自 Internet的騷擾與攻擊。我們再架設一台機器扮演 Internet上的駭
客,主動對區域網路(LAN)連線。Security Gateway必須阻止外對內不合法對內通訊,是依然不影響企業提供給 Internet的 Service。
第三階段是最複雜的階段,利用 VPN進行資料加密傳輸,主要工作是使用 VPN建立
Security Tunnel保障資料在 Internet上傳輸時的安全性,不會受到監聽或修改。一共須要四台機器,模擬兩個 LAN。兩台 VPN Server間的參數相互配合是實驗的操作重點。
- 7 -
Ⅴ. 實驗步驟
在開始實驗前,提醒您,我們假設使用者熟悉基本的 Linux操作,具基礎網路知識及系統安裝經驗,會建構簡單的區域網路(LAN)系統,並已經大致瀏覽 ipchains、FreeS/WAN、Squid的相關文件。
圖六:第一階段 LAN to Internet 第一階段實驗,如圖六,設定 Security Gateway,控制內往外的通訊。我們首先架設一台
Linux Server(Linux_1)做為 Gateway和一台Windows98做為 client,再安裝 Squid和 ipchains在 Linux Server上。在 Security Gateway的設定三項存取限制:限制員工偷看色情網站、限制某一部門對外連線、禁止下載*.avi的檔案。設定完成後,用 Client的機器實際操作一次,確認限定條件是否生效。
圖七:第二階段 Internet to LAN to 接下來,第二階段兩個工作是阻止 (hacker)對企業內部網路進行攻擊、管制非預期的通
訊產生。如圖七,我們新架設Win98_2,扮演 Internet上的駭客,主動對區域網路(LAN)發出連線。在 Linux_1上,利用 ipchains的 Packet Filter功能過濾來自Win98_2的 packet,並阻止外來的封包 ping內部機器,以免區域網路架構暴光,增加危險性。但是依然不影響企業提供給 Internet的 Service。
InternetWin98_1 Linux_1 Internet
serverLab router
LAN
140.113.88.79192.168.1.10192.168.2.10
Win98_1 Linux_1
LAN
140.113.88.79192.168.1.10192.168.2.10 Win98_2
Internet
140.113.10.10
- 8 -
圖八:第三階段 Security Transport
第三階段須要四台 PC,如圖八,分別模擬 Internet上兩個遠端的 LAN。我們要在 Linux_1及 Linux_2上安裝 FreeS/WAN,並設定 Tunnel的參數,完成 LAN to LAN的安全傳輸,然後修改 Linux_2上 FreeS/WAN的參數,建立 LAN to Host的安全傳輸。
以下,我們逐步介紹三階段實驗的操作步驟。
1. Phase One 1. 取一台 PC、一張 adaptor,安裝Windows 98系統,取名為Win98_1。安裝 browser
(IE/Netscape皆可)。設定Win98_1的 IP address:192.168.2.10。 2. 取一台 PC、二張 adaptor,安裝 Ret Hat Linux 6.2。取名為 Linux_1。Linux_1安裝過程的
utility選擇畫面中,選取 Firewall選項。Linux_1的 adaptor IP設定如下: eth0: 140.113.88.79 eth1: 192.168.1.10
3. 將 Linux_1的 eth0連上 Internet。將 eth1和Win98_1串接。啟動 Linux_1的 routed功能,設定 routing table。設定 Linux_1的 IP Masquerade功能啟動 NAT,讓Win98和 Internet正常連線。參考”實驗十 用 Linux建立 Intranet”。
4. 進入 Linux_1的/etc/rc.d/目錄下,建立文字檔 rc.firewall 5. 在文字檔/etc/rc.d/rc.locol中加入一行指令 /etc/rc.d/rc.firewall,改變 rc.firewall存取權,改為可執行。輸入指令 chmod 731 rc.firewall。
6. 編輯 rc.firewall,設定 firewall限制條件。編輯後執行 rc.firewall就會生效。 /sbin/ipchains -A output -d 206.251.29.10 -i eth0 -j DENY /sbin/ipchains -A output -s 206.251.29.10 -i eth0 -j DENY /sbin/ipchains -A input -s 192.168.50.0/24 -i eth1 -j DENY
7. 執行/sbin/ipchains –L,檢查設定內容是否正確,並將執行結果記錄於實驗紀錄 1。 8. 用Win98_1執行下列工作,並將結果記錄於實驗紀錄 2。
ping 206.251.29.10 ping www.sex.com
InternetWin98_1 Linux_1
LAN
140.113.88.79192.168.1.10192.168.2.10
LAN
Win98_2Linux_2
192.168.3.10140.113.10.10 192.168.4.10
- 9 -
ping www.nthu.edu.tw 改變Win98_1的 IP為 192.178.50.10,ping www.nthu.edu.tw
9. 安裝 Squid,將 squid-2.4.DEVEL2-src.tar.gz放在/root下。執行下面指令 # tar -zxvf squid-2.4.DEVEL2-src.tar.gz # cd squid-2.4.DEVEL2 # make install
安裝成功後,你可以找到下面這個檔/usr/local/squid/etc/squid.conf。這就是 Squid的configure file,我們將在 squid.conf設定 URL Blocking的條件。
10. 編輯 squid.conf,設定 URL Blocking限制條件。 acl Badsite url_regex dstdomain www.sex.com acl AVFile urlpath_regex /*.avi http_access deny Badsite http_access deny AVFile http_access allow all
11. 用Win98_1執行下列工作,並將結果記錄於實驗紀錄 3。 瀏覽 www.sex.com 瀏覽 http://www.nba.com/theater/milk/index.html並下載網頁中的 AVI檔案
2. Phase Two 1. 取一台 PC,一張 adaptor,安裝Windows 98,取名為Win98_2。設定Win98_1的 IP
address:140.113.10.10。模擬 Internet中的 hacker。 2. 將 Linux_1的 eth0和Win98_2串接對外串接,用 route指令設定 Linux_1的 routing table使Win98_1和Win98_2可以完全通訊。
3. 編輯 rc.firewall,設定 firewall限制條件。編輯後執行 rc.firewall就會立即生效。 /sbin/ipchains -A input -p ICMP --icmp-type ping -i eth0 -j REJECT /sbin/ipchains -A input -p TCP --dport 21 -i eth0 -j DENY /sbin/ipchains -A output -p TCP --dport 23 -i eth0 -j DENY /sbin/ipchains -A input -p TCP --dport 1025:65535 -i eth0 -j REJECT
4. 執行/sbin/ipchains –L,檢查設定內容是否正確,並將執行結果記錄於實驗紀錄 4。 5. 用Win98_2執行下列工作,並將結果記錄於實驗紀錄 5。
ping 192.168.2.10 ping 192.168.1.10 ping 140.113.88.79 ftp 140.113.88.79
6. 用Win98_1執行下列工作,並將結果記錄於實驗紀錄 6。 ping 140.113.10.10 ping 192.168.1.10 ping 140.113.88.79
- 10 -
telnet 140.113.10.10 3. Phase Three 1. 取一台 PC、二張 adaptor,安裝 Ret Hat Linux 6.2。取名為 Linux_2。Linux_2的 adaptor IP
設定如下: eth0: 140.113.10.10 eth1: 192.168.3.10
2. 將 Linux_1的 eth0和 Linux_2的 eth0串接。將 Linux_2的 eth1和Win98_2串接。修改Win98_2網路卡 IP address為 192.168.4.10
3. 用 route指令設定 Linux_1和 Linux_2的 routing table,設定 IP Masquerade,使Win98_1和Win98_2可以完全通訊。並使用 ping程式測試,確定通訊成功。
4. 在 Linux_1中安裝 FreeS/WAN,並 make kernel。將 freeswan-1.5-tar.gz放在/usr/src下。執行下面指令。圖九是FreeS/WAN的功能選擇畫面。使用者各別狀況不同請參考FreeS/WAN網頁。
# tar -zxvf freeswan-1.5-tar.gz # cd freeswan-1.5 # make xgo # make kinstall # reboot
圖九:FreeS/WAM安裝畫面
5. 在 Linux_2中安裝 FreeS/WAN,並 make kernel。將 freeswan-1.5-tar.gz放在/usr/src下。執行下面指令。
# tar -zxvf freeswan-1.5-tar.gz # cd freeswan-1.5 # make xgo # make kinstall # reboot
6. 系統重新開機後,就完成 FreeS/WAN安裝程序,你會找到兩個檔案/etc/ipsec.conf和
- 11 -
/etc/ipsec.secret。請編輯 Linux_1中/etc/ipsec.conf檔案,建立 Security Tunnel。 (在此僅條列必要之參數設定)
config setup interfaces="ipsec0=eth0" klipsdebug=none plutodebug=none conn Test type=tunnel left=140.113.88.80 leftsubnet=140.113.88.0/24 leftnexthop= right=140.113.10.10 rightsubnet=140.113.10.0/24 rightnexthop= spibase=0x200 esp=3des-md5-96 keylife=8h keyingtries=0
7. 編輯完後,將 Linux_1中的/etc/ipsec.conf檔案 copy至 Linux_2的/etc/ipsec.conf中,使兩份檔案內容一樣。
8. 用Win98_1執行下列工作,並將結果記錄於實驗紀錄 7 ping 192.168.3.10 ping 192.168.4.10 從Win98_1用 FTP傳檔案給Win98_2,檢查檔案內容是否一致
Ⅵ. 實驗紀錄
實驗記錄實驗記錄實驗記錄實驗記錄 1111
執行的指令執行的指令執行的指令執行的指令 執行的結果執行的結果執行的結果執行的結果
- 12 -
實驗記錄實驗記錄實驗記錄實驗記錄 2222
工作工作工作工作 成功與否成功與否成功與否成功與否 回應訊息回應訊息回應訊息回應訊息 受限於那一條設定受限於那一條設定受限於那一條設定受限於那一條設定
ping 206.251.29.10
ping www.sex.com
ping www.nthu.edu.tw
改變Win98_1的 IP為192.178.50.10,ping www.nthu.edu.tw
實驗記錄實驗記錄實驗記錄實驗記錄 3333
工作工作工作工作 成功與否成功與否成功與否成功與否 回應訊息回應訊息回應訊息回應訊息 受限於那一條設定受限於那一條設定受限於那一條設定受限於那一條設定
瀏覽 www.sex.com
瀏覽 www.nba.com/ theater/milk/index.html
下載網頁中的AVI檔案
實驗記錄實驗記錄實驗記錄實驗記錄 4444
執行的指令執行的指令執行的指令執行的指令 執行的結果執行的結果執行的結果執行的結果
實驗記錄實驗記錄實驗記錄實驗記錄 5555
工作工作工作工作 成功與否成功與否成功與否成功與否 回應訊息回應訊息回應訊息回應訊息 受限於那一條設定受限於那一條設定受限於那一條設定受限於那一條設定
ping 192.168.2.10
ping 192.168.1.10
ping 140.113.88.79
ftp 140.113.88.79
實驗記錄實驗記錄實驗記錄實驗記錄 6666
工作工作工作工作 成功與否成功與否成功與否成功與否 回應訊息回應訊息回應訊息回應訊息 受限於那一條設定受限於那一條設定受限於那一條設定受限於那一條設定
ping 140.113.10.10
ping 192.168.1.10
ping 140.113.88.79
telnet 140.113.10.10
- 13 -
實驗記錄實驗記錄實驗記錄實驗記錄 7777
工作工作工作工作 成功與否成功與否成功與否成功與否 回應訊息回應訊息回應訊息回應訊息 受限於那一條設定受限於那一條設定受限於那一條設定受限於那一條設定
ping 192.168.3.10
ping 192.168.4.10
從Win98_1用 FTP傳檔案給Win98_2,檢查檔案內容是否一致
Ⅶ. 問題與討論
1. 在實驗第一階段中,將 ipchains的條件中的 DENY全部改為 REJECT,則實驗紀錄 2之執行結果為何?就使用者而言有何不同。 答:
2. 如果利用 ipchains將來自 subnet 140.113.0.0|16之封包擋掉,但允許來自 140.113.23.12之封包進入,請問如何填入 ipchains之規則(rule)? 答:
3. 使用 transport proxy和不使用 transport proxy在本實驗中會產生什麼影響,實驗紀錄 3之執行結果有何不同?若不使用 transport proxy也希望產生相同的效果,須要做那些設定。
答:
4. 如果有一個企業,因為對外連線頻寛有限,而不允許員工上班時間用 FTP傳檔案,禁止封包之流通,請問是否可以使用 ipchains達到這個限制?如果可以,應如何設定。
答:
5. 當 FreeS/WAN只有一邊(left)有設 Tunnel而另外一邊(right)完全沒有設定時,資料能不能傳送?傳送過程有沒有加密?為什麼?請分別依 left to right和 right to left回答。
答:
6. 請自行發掘問題,並自行找到解答。 答:
- 14 -
Ⅷ. 參考文獻
[1] Red Hat, “http://www.redhat.com/” [2] Linux IPCHAINS-HOWTO,
“http://www.redhat.com/mirrors/LDP/HOWTO/IPCHAINS-HOWTO.html ” [3] Linux FreeS/WAN, “http://www.xs4all.nl/~freeswan/ ” [4] Squid Web Proxy Cache, “http://www.squid-cache.org/ ” [5] Chapman & Zwicky, “Building Internet Firewall”, O’Reilly, Aug 1998. [6] IP Firewalling Chains,
“http://www.redhat.com/mirrors/LDP/HOWTO/IPCHAINS-HOWTO-4.html” [7] Linux FreeS/WAN Configuration,
“http://www.freeswan.org/freeswan_trees/freeswan-1.2/doc/configuration.html” [8] Squid User Guide, “http://squid-docs.sourceforge.net/latest/html/book1.htm”