安全：利用RADIUS提高遠程撥號的安全性

申請免費試用、咨詢電話：400-8352-114

隨著企業(yè)信息化辦公外延的迅速擴展，各種各樣的介入服務(wù)也逐漸在企業(yè)中推廣開來。同時，針對接入服務(wù)的攻擊事件也越來越多。針對這種情況，各個廠商都提出了各自的解決方案。這些方案中，RADIUS(遠程地址撥號用戶服務(wù))可以說是一個代表人物。

遠程地址撥號用戶服務(wù)是采用UDP作為傳輸層協(xié)議，是一種無連接的協(xié)議。他是一種客戶端/服務(wù)器端模式的應(yīng)用服務(wù)。客戶端，即用戶終端主機，負責(zé)向“遠程地址撥號服務(wù)器”傳遞用戶信息然后根據(jù)服務(wù)器端返回的相關(guān)信息采取對應(yīng)的操作。而服務(wù)器端負責(zé)接收客戶的連接請求，并且對用戶的身份進行人證，并且，賦予這個帳戶相關(guān)的訪問權(quán)限;同時，會記錄用戶這次會話的相關(guān)信息，如訪問的資源、連接的時間等等。、

具體的來說，遠程地址撥號用戶服務(wù)從如下四個方面保障遠程撥號的安全性。

一、認證

當(dāng)客戶提出遠程撥號的請求時，遠程地址撥號服務(wù)器首先需要對客戶的身份進行認證，判斷其是否為合法用戶。RADIUS遠程地址撥號服務(wù)器，可以支持當(dāng)前的所有認證方式，如常見的PPP、CHAP等認證機制。

遠程撥號服務(wù)認證包括兩個過程。

一是從客戶端到服務(wù)器端的一個查詢。在這個查詢報文中，包含了客戶請求連接時需要用到的帳戶名、口令(可能經(jīng)過一定的加密處理)、客戶端的IP地址(可能需要對IP地址進行身份辨別)以及對應(yīng)的端口等重要信息。

二是服務(wù)器給客戶端返回的信息。當(dāng)遠程波號服務(wù)器收到客戶的連接請求之后，就會在自己的數(shù)據(jù)庫中進行查詢。如果該用戶的帳戶與密碼是合法的，就會對該連接進行授權(quán)。但是，若該帳戶或者口令是非法的，則就會拒絕客戶的連接。在拒絕的同時，一般會給客戶返回拒絕的原因。訪問拒絕報文可以和可選的文本報文一起發(fā)送，來向客戶說明被拒絕的原因，如是口令錯誤還是用戶名錯誤等等。

筆者提醒：

在這個認證的過程中，需要注意一個匿名訪問的問題。有些企業(yè)出于某些特定的需要，可能允許客戶匿名訪問。此時，遠程訪問撥號服務(wù)器就會載入一個默認的Profile。在這個策略文件中，規(guī)定了匿名訪問的相關(guān)訪問權(quán)限。

出于安全的考慮，企業(yè)信息管理人員最好在配置遠程撥號服務(wù)的時候，禁止客戶的匿名訪問?；蛘?，把匿名訪問的權(quán)限控制在最小的范圍之內(nèi)。畢竟，讓一個陌生人在未經(jīng)許可的情況下，闖入你的門戶，是非常危險的。

二、授權(quán)

如果客戶的連接經(jīng)過遠程撥號地址服務(wù)器的認證是合法的話，則服務(wù)器返回一個訪問接受響應(yīng)。在這個響應(yīng)報文中，包含用來描述會話所使用的參數(shù)屬性值對應(yīng)的列表。具體的來說，主要包括如下信息：

一是分配給用戶的IP地址。為了讓客戶能夠訪問網(wǎng)絡(luò)資源，遠程撥號服務(wù)器要給用戶分配一個合法的IP地址。有時候，這個IP地址很重要，直接跟客戶可以訪問的資源相關(guān)。如有些企業(yè)可能部署了虛擬局域網(wǎng)，根據(jù)IP地址來來確定可以訪問的資源。此時，客戶所采用的IP地址就直接跟用戶的權(quán)限有關(guān)了。

二是訪問列表。這是報文中最重要的信息。在這份報表中，包含了客戶所有可以訪問的連接信息。遠程撥號服務(wù)器，就是根據(jù)這份報表來控制客戶的訪問。當(dāng)這個訪問權(quán)限與企業(yè)虛擬網(wǎng)的規(guī)則相互矛盾的時候，以虛擬局域網(wǎng)的規(guī)則為準。

另外，在返回的信息中，還包含了協(xié)議類型、服務(wù)類型、以及路由信息等等。

筆者提醒：

因為對帳戶進行授權(quán)，直接關(guān)系到企業(yè)網(wǎng)絡(luò)資源的安全性，所以在授權(quán)的時候，需要注意以下幾個方面的問題。

一是要根據(jù)最小原則，對于遠程撥號用戶給予最小的權(quán)限。如對于遠程撥號的用戶，只具有文件的查詢權(quán)限，而不能夠?qū)ξ募M行刪除、修改等操作。如此的話，即使被人攻擊了，這些文件也只會泄露，而不會被非法修改與刪除。

二是需要對授權(quán)行為進行追蹤。俗話說，絕對的權(quán)利導(dǎo)致絕對的腐敗。若對授權(quán)行為沒有監(jiān)督，則一些有權(quán)限的用戶，很可能會嘗試著去做一些其沒有權(quán)限的動作。此時，若管理員不早點發(fā)現(xiàn)則很可能會產(chǎn)生比較大的后果。

三是結(jié)合IP地址認證，可以給授權(quán)提供保護的外殼。一方面，遠程撥號服務(wù)器可以根據(jù)來防者IP地址來判斷用戶的合法性;另一方面，通過分配給用戶一個IP地址，從而實現(xiàn)企業(yè)內(nèi)部虛擬局域網(wǎng)的限制。所以，結(jié)合IP地址管理，可以給授權(quán)提供更好的保護，提高授權(quán)的準確性。

三、帳戶管理

遠程撥號服務(wù)器的帳戶管理，主要功能就是記錄客戶在連接的過程中所訪問的資源以及訪問的時間信息。帳戶管理功能允許數(shù)據(jù)在會話的開始和結(jié)束的時候被發(fā)送，表明在會話期間所訪問的文件、訪問的時間等等。他可以被用來滿足一些特定的需要。

如計費的需要。這主要是針對網(wǎng)絡(luò)上的ISP服務(wù)商來說的。他們需要統(tǒng)計客戶連接的時間，并且按照連接的時間來進行費用的結(jié)算。

不過，其最大的作用還是體現(xiàn)在安全方面的監(jiān)督。用戶在什么時候訪問了什么資源，這些信息都會被一一的記錄下來。當(dāng)網(wǎng)絡(luò)資源出現(xiàn)了什么意外情況的話，就可以根據(jù)這份資料來查找問題的原因。

筆者提醒：

帳戶管理功能可以跟遠程撥號的其他功能獨立使用。也就是說，企業(yè)可以根據(jù)自己安全方面的需要，來決定是否需要采用帳戶管理的功能。另外，若企業(yè)真的部署了帳戶管理的功能之后，則最好跟日志服務(wù)器結(jié)合使用。也就是說，讓帳戶管理功能把相關(guān)的日志信息傳送到指定的管理平臺，如郵件等等。如此的話，企業(yè)信息管理人員就不用每次到撥號服務(wù)器上查詢相關(guān)的信息。當(dāng)用戶資源訪問有異常的情況下，就可以及時的了解這方面信息。

另外，遠程撥號服務(wù)協(xié)議其在普通數(shù)據(jù)的傳輸上，是沒有采用加密處理的。而只有在帳戶與口令的傳輸上，才使用加密機制。這也就是說，非法攻擊者，雖然通過網(wǎng)絡(luò)嗅探無法取得網(wǎng)絡(luò)中傳輸?shù)挠脩裘c密碼，但是可以取得網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。這是我們在設(shè)計網(wǎng)絡(luò)安全的時候，需要特別注意的。通常情況下，我們一般會利用IPSec協(xié)議來保護遠程撥號協(xié)議下的數(shù)據(jù)傳輸。不但讓帳戶與密碼安全，而且，也保障了普通數(shù)據(jù)傳輸?shù)陌踩?。?dāng)然是否需要如此的配置，要根據(jù)企業(yè)對安全性的要求不同而進行合理的選擇。

總之，遠程撥號服務(wù)是企業(yè)中應(yīng)用的比較廣泛的一種服務(wù)。其給企業(yè)用戶提供了一種遠程訪問的便利渠道。不過再好的工具，也要靠人管理才能夠發(fā)揮其應(yīng)有的效用。所以，管理員在配置的時候，還是需要從安全性與便利性的角度出發(fā)，對遠程撥號服務(wù)器進行合理的配置。讓其不但可以滿足企業(yè)的使用需要，也可以滿足企業(yè)的安全性考慮。筆者相信，通過這篇文章，大家會對遠程撥號服務(wù)有一個比較全面的認識。（IT專家網(wǎng)）