安全：利用RADIUS提高遠(yuǎn)程撥號(hào)的安全性

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

隨著企業(yè)信息化辦公外延的迅速擴(kuò)展，各種各樣的介入服務(wù)也逐漸在企業(yè)中推廣開(kāi)來(lái)。同時(shí)，針對(duì)接入服務(wù)的攻擊事件也越來(lái)越多。針對(duì)這種情況，各個(gè)廠商都提出了各自的解決方案。這些方案中，RADIUS(遠(yuǎn)程地址撥號(hào)用戶服務(wù))可以說(shuō)是一個(gè)代表人物。

遠(yuǎn)程地址撥號(hào)用戶服務(wù)是采用UDP作為傳輸層協(xié)議，是一種無(wú)連接的協(xié)議。他是一種客戶端/服務(wù)器端模式的應(yīng)用服務(wù)?？蛻舳?，即用戶終端主機(jī)，負(fù)責(zé)向“遠(yuǎn)程地址撥號(hào)服務(wù)器”傳遞用戶信息然后根據(jù)服務(wù)器端返回的相關(guān)信息采取對(duì)應(yīng)的操作。而服務(wù)器端負(fù)責(zé)接收客戶的連接請(qǐng)求，并且對(duì)用戶的身份進(jìn)行人證，并且，賦予這個(gè)帳戶相關(guān)的訪問(wèn)權(quán)限;同時(shí)，會(huì)記錄用戶這次會(huì)話的相關(guān)信息，如訪問(wèn)的資源、連接的時(shí)間等等。、

具體的來(lái)說(shuō)，遠(yuǎn)程地址撥號(hào)用戶服務(wù)從如下四個(gè)方面保障遠(yuǎn)程撥號(hào)的安全性。

一、認(rèn)證

當(dāng)客戶提出遠(yuǎn)程撥號(hào)的請(qǐng)求時(shí)，遠(yuǎn)程地址撥號(hào)服務(wù)器首先需要對(duì)客戶的身份進(jìn)行認(rèn)證，判斷其是否為合法用戶。RADIUS遠(yuǎn)程地址撥號(hào)服務(wù)器，可以支持當(dāng)前的所有認(rèn)證方式，如常見(jiàn)的PPP、CHAP等認(rèn)證機(jī)制。

遠(yuǎn)程撥號(hào)服務(wù)認(rèn)證包括兩個(gè)過(guò)程。

一是從客戶端到服務(wù)器端的一個(gè)查詢(xún)。在這個(gè)查詢(xún)報(bào)文中，包含了客戶請(qǐng)求連接時(shí)需要用到的帳戶名、口令(可能經(jīng)過(guò)一定的加密處理)、客戶端的IP地址(可能需要對(duì)IP地址進(jìn)行身份辨別)以及對(duì)應(yīng)的端口等重要信息。

二是服務(wù)器給客戶端返回的信息。當(dāng)遠(yuǎn)程波號(hào)服務(wù)器收到客戶的連接請(qǐng)求之后，就會(huì)在自己的數(shù)據(jù)庫(kù)中進(jìn)行查詢(xún)。如果該用戶的帳戶與密碼是合法的，就會(huì)對(duì)該連接進(jìn)行授權(quán)。但是，若該帳戶或者口令是非法的，則就會(huì)拒絕客戶的連接。在拒絕的同時(shí)，一般會(huì)給客戶返回拒絕的原因。訪問(wèn)拒絕報(bào)文可以和可選的文本報(bào)文一起發(fā)送，來(lái)向客戶說(shuō)明被拒絕的原因，如是口令錯(cuò)誤還是用戶名錯(cuò)誤等等。

筆者提醒：

在這個(gè)認(rèn)證的過(guò)程中，需要注意一個(gè)匿名訪問(wèn)的問(wèn)題。有些企業(yè)出于某些特定的需要，可能允許客戶匿名訪問(wèn)。此時(shí)，遠(yuǎn)程訪問(wèn)撥號(hào)服務(wù)器就會(huì)載入一個(gè)默認(rèn)的Profile。在這個(gè)策略文件中，規(guī)定了匿名訪問(wèn)的相關(guān)訪問(wèn)權(quán)限。

出于安全的考慮，企業(yè)信息管理人員最好在配置遠(yuǎn)程撥號(hào)服務(wù)的時(shí)候，禁止客戶的匿名訪問(wèn)?；蛘?，把匿名訪問(wèn)的權(quán)限控制在最小的范圍之內(nèi)。畢竟，讓一個(gè)陌生人在未經(jīng)許可的情況下，闖入你的門(mén)戶，是非常危險(xiǎn)的。

二、授權(quán)

如果客戶的連接經(jīng)過(guò)遠(yuǎn)程撥號(hào)地址服務(wù)器的認(rèn)證是合法的話，則服務(wù)器返回一個(gè)訪問(wèn)接受響應(yīng)。在這個(gè)響應(yīng)報(bào)文中，包含用來(lái)描述會(huì)話所使用的參數(shù)屬性值對(duì)應(yīng)的列表。具體的來(lái)說(shuō)，主要包括如下信息：

一是分配給用戶的IP地址。為了讓客戶能夠訪問(wèn)網(wǎng)絡(luò)資源，遠(yuǎn)程撥號(hào)服務(wù)器要給用戶分配一個(gè)合法的IP地址。有時(shí)候，這個(gè)IP地址很重要，直接跟客戶可以訪問(wèn)的資源相關(guān)。如有些企業(yè)可能部署了虛擬局域網(wǎng)，根據(jù)IP地址來(lái)來(lái)確定可以訪問(wèn)的資源。此時(shí)，客戶所采用的IP地址就直接跟用戶的權(quán)限有關(guān)了。

二是訪問(wèn)列表。這是報(bào)文中最重要的信息。在這份報(bào)表中，包含了客戶所有可以訪問(wèn)的連接信息。遠(yuǎn)程撥號(hào)服務(wù)器，就是根據(jù)這份報(bào)表來(lái)控制客戶的訪問(wèn)。當(dāng)這個(gè)訪問(wèn)權(quán)限與企業(yè)虛擬網(wǎng)的規(guī)則相互矛盾的時(shí)候，以虛擬局域網(wǎng)的規(guī)則為準(zhǔn)。

另外，在返回的信息中，還包含了協(xié)議類(lèi)型、服務(wù)類(lèi)型、以及路由信息等等。

筆者提醒：

因?yàn)閷?duì)帳戶進(jìn)行授權(quán)，直接關(guān)系到企業(yè)網(wǎng)絡(luò)資源的安全性，所以在授權(quán)的時(shí)候，需要注意以下幾個(gè)方面的問(wèn)題。

一是要根據(jù)最小原則，對(duì)于遠(yuǎn)程撥號(hào)用戶給予最小的權(quán)限。如對(duì)于遠(yuǎn)程撥號(hào)的用戶，只具有文件的查詢(xún)權(quán)限，而不能夠?qū)ξ募M(jìn)行刪除、修改等操作。如此的話，即使被人攻擊了，這些文件也只會(huì)泄露，而不會(huì)被非法修改與刪除。

二是需要對(duì)授權(quán)行為進(jìn)行追蹤。俗話說(shuō)，絕對(duì)的權(quán)利導(dǎo)致絕對(duì)的腐敗。若對(duì)授權(quán)行為沒(méi)有監(jiān)督，則一些有權(quán)限的用戶，很可能會(huì)嘗試著去做一些其沒(méi)有權(quán)限的動(dòng)作。此時(shí)，若管理員不早點(diǎn)發(fā)現(xiàn)則很可能會(huì)產(chǎn)生比較大的后果。

三是結(jié)合IP地址認(rèn)證，可以給授權(quán)提供保護(hù)的外殼。一方面，遠(yuǎn)程撥號(hào)服務(wù)器可以根據(jù)來(lái)防者IP地址來(lái)判斷用戶的合法性;另一方面，通過(guò)分配給用戶一個(gè)IP地址，從而實(shí)現(xiàn)企業(yè)內(nèi)部虛擬局域網(wǎng)的限制。所以，結(jié)合IP地址管理，可以給授權(quán)提供更好的保護(hù)，提高授權(quán)的準(zhǔn)確性。

三、帳戶管理

遠(yuǎn)程撥號(hào)服務(wù)器的帳戶管理，主要功能就是記錄客戶在連接的過(guò)程中所訪問(wèn)的資源以及訪問(wèn)的時(shí)間信息。帳戶管理功能允許數(shù)據(jù)在會(huì)話的開(kāi)始和結(jié)束的時(shí)候被發(fā)送，表明在會(huì)話期間所訪問(wèn)的文件、訪問(wèn)的時(shí)間等等。他可以被用來(lái)滿足一些特定的需要。

如計(jì)費(fèi)的需要。這主要是針對(duì)網(wǎng)絡(luò)上的ISP服務(wù)商來(lái)說(shuō)的。他們需要統(tǒng)計(jì)客戶連接的時(shí)間，并且按照連接的時(shí)間來(lái)進(jìn)行費(fèi)用的結(jié)算。

不過(guò)，其最大的作用還是體現(xiàn)在安全方面的監(jiān)督。用戶在什么時(shí)候訪問(wèn)了什么資源，這些信息都會(huì)被一一的記錄下來(lái)。當(dāng)網(wǎng)絡(luò)資源出現(xiàn)了什么意外情況的話，就可以根據(jù)這份資料來(lái)查找問(wèn)題的原因。

筆者提醒：

帳戶管理功能可以跟遠(yuǎn)程撥號(hào)的其他功能獨(dú)立使用。也就是說(shuō)，企業(yè)可以根據(jù)自己安全方面的需要，來(lái)決定是否需要采用帳戶管理的功能。另外，若企業(yè)真的部署了帳戶管理的功能之后，則最好跟日志服務(wù)器結(jié)合使用。也就是說(shuō)，讓帳戶管理功能把相關(guān)的日志信息傳送到指定的管理平臺(tái)，如郵件等等。如此的話，企業(yè)信息管理人員就不用每次到撥號(hào)服務(wù)器上查詢(xún)相關(guān)的信息。當(dāng)用戶資源訪問(wèn)有異常的情況下，就可以及時(shí)的了解這方面信息。

另外，遠(yuǎn)程撥號(hào)服務(wù)協(xié)議其在普通數(shù)據(jù)的傳輸上，是沒(méi)有采用加密處理的。而只有在帳戶與口令的傳輸上，才使用加密機(jī)制。這也就是說(shuō)，非法攻擊者，雖然通過(guò)網(wǎng)絡(luò)嗅探無(wú)法取得網(wǎng)絡(luò)中傳輸?shù)挠脩裘c密碼，但是可以取得網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。這是我們?cè)谠O(shè)計(jì)網(wǎng)絡(luò)安全的時(shí)候，需要特別注意的。通常情況下，我們一般會(huì)利用IPSec協(xié)議來(lái)保護(hù)遠(yuǎn)程撥號(hào)協(xié)議下的數(shù)據(jù)傳輸。不但讓帳戶與密碼安全，而且，也保障了普通數(shù)據(jù)傳輸?shù)陌踩?。?dāng)然是否需要如此的配置，要根據(jù)企業(yè)對(duì)安全性的要求不同而進(jìn)行合理的選擇。

總之，遠(yuǎn)程撥號(hào)服務(wù)是企業(yè)中應(yīng)用的比較廣泛的一種服務(wù)。其給企業(yè)用戶提供了一種遠(yuǎn)程訪問(wèn)的便利渠道。不過(guò)再好的工具，也要靠人管理才能夠發(fā)揮其應(yīng)有的效用。所以，管理員在配置的時(shí)候，還是需要從安全性與便利性的角度出發(fā)，對(duì)遠(yuǎn)程撥號(hào)服務(wù)器進(jìn)行合理的配置。讓其不但可以滿足企業(yè)的使用需要，也可以滿足企業(yè)的安全性考慮。筆者相信，通過(guò)這篇文章，大家會(huì)對(duì)遠(yuǎn)程撥號(hào)服務(wù)有一個(gè)比較全面的認(rèn)識(shí)。（IT專(zhuān)家網(wǎng)）