拨号利用RADIUS 提高远程拨号的安全性

利用RADIUS提高远程拨号的安全性

[摘要]远程地址拨号用户服务采用UDP作为传输层协议是一种无连接的协议。针对接入服务的攻击事件越来越多的状况远程地址拨号用户服务可从认证、授权、账户管理三个方面提高安全性。

[关键词]RAD IUS 远程拨号 安全性

随着企业信息化办公外延的迅速扩展各种各样的接入服务也逐渐在企业中推广开来。同时针对接入服务的攻击事件也越来越多。针对这种情况各个厂商都提出了各自的解决方案。这些方案中 RADIUS(远程地址拨号用户服务)可以说是一个代表。

它是一种客户端/服务器端模式的应用服务。客户端 即用户终端主机负责向“远程地址拨号服务器”传递用户信息然后根据服务器端返回的相关信息采取对应的操作。而服务器端负责接收客户的连接请求并且对用户的身份进行人证并且赋予这个帐户相关的访问权限同时会记录用户这次会话的相关信息如访问的资源、连接的时间等等。

具体的来说远程地址拨号用户服务从如下四个方面保障远程拨号的安全性。

1 、认证

当客户提出远程拨号的请求时远程地址拨号服务器首先需要对客户的身份进行认证判断其是否为合法用户。RADIUS远程地址拨号服务器可以支持当前的所有认证方式如常见的PPP、 CHAP等认证机制。

远程拨号服务认证包括两个过程

1从客户端到服务器端的一个查询。在这个查询报文中包含了客户请求连接时需要用到的帐户名、口令(可能经过一定的加密处理)、客户端的IP地址(可能需要对IP地址进行身份辨别)以及对应的端口等重要信息。

2服务器给客户端返回的信息。当远程波号服务器收到客户的连接请求之后就会在自己的数据库中进行查询。如果该用户的帐户与密码是合法的就会对该连接进行授权。但是若该帐户或者口令是非法的则就会拒绝客户的连接。在拒绝的同时一般会给客户返回拒绝的原因。访问拒绝报文可以和可选的文本报文一起发送来向客户说明被拒绝的原因如是口令错误还是用户名错误等等。

在这个认证的过程中需要注意匿名访问的问题。有些企业出于某些特定的需要可能允许客户匿名访问。此时远程访问拨号服务器就会载入一个默认的Pro file。在这个策略文件中规定了匿名访问的相关访问权限。

出于安全的考虑企业信息管理人员最好在配置远程拨号服务的时候禁止客户的匿名访问。或者把匿名访问的权限控制在最小的范围之内。毕竟让一个陌生人在未经许可的情况下 闯入你的门户是非常危险的。

2、授权

如果客户的连接经过远程拨号地址服务器的认证是合法的话则服务器返回一个访问接受响应。在这个响应报文中包含用来描述会话所使用的参数属性值对应的列表。具体的来说主要包括如下信息

1分配给用户的IP地址。为了让客户能够访问网络资源远程拨号服务器要给用户分配一个合法的IP地址。有时候这个IP地址很重要直接跟客户