利用RADIUS 提高远程拨号的安全性

2012-08-30 16:54:00 科学时代·下半月 2012年6期

张亮

[摘 要] 远程地址拨号用户服务采用UDP作为传输层协议,是一种无连接的协议。针对接入服务的攻击事件越来越多的状况,远程地址拨号用户服务可从认证、授权、账户管理三个方面提高安全性。

[关键词] RADIUS远程拨号安全性

随着企业信息化办公外延的迅速扩展,各种各样的接入服务也逐渐在企业中推广开来。同时,针对接入服务的攻击事件也越来越多。针对这种情况,各个厂商都提出了各自的解决方案。这些方案中,RADIUS(远程地址拨号用户服务)可以说是一个代表。

它是一种客户端/服务器端模式的应用服务。客户端,即用户终端主机,负责向“远程地址拨号服务器”传递用户信息然后根据服务器端返回的相关信息采取对应的操作。而服务器端负责接收客户的连接请求,并且对用户的身份进行人证,并且赋予这个帐户相关的访问权限;同时,会记录用户这次会话的相关信息,如访问的资源、连接的时间等等。

具体的来说,远程地址拨号用户服务从如下四个方面保障远程拨号的安全性。

1 、认证

当客户提出远程拨号的请求时,远程地址拨号服务器首先需要对客户的身份进行认证,判断其是否为合法用户。RADIUS远程地址拨号服务器,可以支持当前的所有认证方式,如常见的PPP、CHAP等认证机制。

远程拨号服务认证包括两个过程:

(1)从客户端到服务器端的一个查询。在这个查询报文中,包含了客户请求连接时需要用到的帐户名、口令(可能经过一定的加密处理)、客户端的IP地址(可能需要对IP地址进行身份辨别)以及对应的端口等重要信息。

(2)服务器给客户端返回的信息。当远程波号服务器收到客户的连接请求之后,就会在自己的数据库中进行查询。如果该用户的帐户与密码是合法的,就会对该连接进行授权。但是,若该帐户或者口令是非法的,则就会拒绝客户的连接。在拒绝的同时,一般会给客户返回拒绝的原因。访问拒绝报文可以和可选的文本报文一起发送,来向客户说明被拒绝的原因,如是口令错误还是用户名错误等等。

在这个认证的过程中,需要注意匿名访问的问题。有些企业出于某些特定的需要,可能允许客户匿名访问。此时,远程访问拨号服务器就会载入一个默认的Profile。在这个策略文件中,规定了匿名访问的相关访问权限。

出于安全的考虑,企业信息管理人员最好在配置远程拨号服务的时候,禁止客户的匿名访问。或者,把匿名访问的权限控制在最小的范圍之内。毕竟,让一个陌生人在未经许可的情况下,闯入你的门户,是非常危险的。

2、授权

如果客户的连接经过远程拨号地址服务器的认证是合法的话,则服务器返回一个访问接受响应。在这个响应报文中,包含用来描述会话所使用的参数属性值对应的列表。具体的来说,主要包括如下信息:

(1)分配给用户的IP地址。为了让客户能够访问网络资源,远程拨号服务器要给用户分配一个合法的IP地址。有时候,这个IP地址很重要,直接跟客户可以访问的资源相关。如有些企业可能部署了虚拟局域网,根据IP地址来来确定可以访问的资源。此时,客户所采用的IP地址就直接跟用户的权限有关了。

(2)访问列表。这是报文中最重要的信息。在这份报表中,包含了客户所有可以访问的连接信息。远程拨号服务器,就是根据这份报表来控制客户的访问。当这个访问权限与企业虚拟网的规则相互矛盾的时候,以虚拟局域网的规则为准。

另外,在返回的信息中,还包含了协议类型、服务类型、以及路由信息等等。

因为对帐户进行授权,直接关系到企业网络资源的安全性,所以在授权的时候,需要注意以下几个方面的问题。

(1)根据最小原则,对于远程拨号用户给予最小的权限。如对于远程拨号的用户,只具有文件的查询权限,而不能够对文件进行删除、修改等操作。如此的话,即使被人攻击了,这些文件也只会泄露,而不会被非法修改与删除。

(2)对授权行为进行追踪。俗话说,绝对的权利导致绝对的腐败。若对授权行为没有监督,则一些有权限的用户,很可能会尝试着去做一些其没有权限的动作。此时,若管理员不早点发现则很可能会产生比较大的后果。

(3)结合IP地址认证,可以给授权提供保护的外壳。一方面,远程拨号服务器可以根据来防者IP地址来判断用户的合法性;另一方面,通过分配给用户一个IP地址,从而实现企业内部虚拟局域网的限制。所以,结合IP地址管理,可以给授权提供更好的保护,提高授权的准确性。

3、帐户管理

远程拨号服务器的帐户管理,主要功能就是记录客户在连接的过程中所访问的资源以及访问的时间信息。帐户管理功能允许数据在会话的开始和结束的时候被发送,表明在会话期间所访问的文件、访问的时间等等。它可以被用来满足一些特定的需要。如计费的需要。这主要是针对网络上的ISP服务商来说的。他们需要统计客户连接的时间,并且按照连接的时间来进行费用的结算。不过,其最大的作用还是体现在安全方面的监督。用户在什么时候访问了什么资源,这些信息都会被一一的记录下来。当网络资源出现了什么意外情况的话,就可以根据这份资料来查找问题的原因。

帐户管理功能可以跟远程拨号的其他功能独立使用。也就是说,企业可以根据自己安全方面的需要,来决定是否需要采用帐户管理的功能。另外,若企业真的部署了帐户管理的功能之后,则最好跟日志服务器结合使用。也就是说,让帐户管理功能把相关的日志信息传送到指定的管理平台,如邮件等等。如此的话,企业信息管理人员就不用每次到拨号服务器上查询相关的信息。当用户资源访问有异常的情况下,就可以及时的了解这方面信息。

另外,远程拨号服务协议其在普通数据的传输上,是没有采用加密处理的。而只有在帐户与口令的传输上,才使用加密机制。这也就是说,非法攻击者,虽然通过网络嗅探无法取得网络中传输的用户名与密码,但是可以取得网络中传输的数据。这是我们在设计网络安全的时候,需要特别注意的。通常情况下,我们一般会利用IPSec协议来保护远程拨号协议下的数据传输。不但让帐户与密码安全,而且,也保障了普通数据传输的安全性。当然是否需要如此的配置,要根据企业对安全性的要求不同而进行合理的选择。

总之,远程拨号服务是企业中应用的比较广泛的一种服务。其给企业用户提供了一种远程访问的便利渠道。不过再好的工具,也要靠人管理才能够发挥其应有的效用。所以,管理员在配置的时候,还是需要从安全性与便利性的角度出发,对远程拨号服务器进行合理的配置,让其不但可以满足企业的使用需要,也可以满足企业的安全性考虑。