利用RADIUS提高远程拨号的安全性
[摘要]远程地址拨号用户服务采用UDP作为传输层协议是一种无连接的协议。针对接入服务的攻击事件越来越多的状况远程地址拨号用户服务可从认证、授权、账户管理三个方面提高安全性。
[关键词]RAD IUS 远程拨号 安全性
随着企业信息化办公外延的迅速扩展各种各样的接入服务也逐渐在企业中推广开来。同时针对接入服务的攻击事件也越来越多。针对这种情况各个厂商都提出了各自的解决方案。这些方案中 RADIUS(远程地址拨号用户服务)可以说是一个代表。
它是一种客户端/服务器端模式的应用服务。客户端 即用户终端主机负责向“远程地址拨号服务器”传递用户信息然后根据服务器端返回的相关信息采取对应的操作。而服务器端负责接收客户的连接请求并且对用户的身份进行人证并且赋予这个帐户相关的访问权限同时会记录用户这次会话的相关信息如访问的资源、连接的时间等等。
具体的来说远程地址拨号用户服务从如下四个方面保障远程拨号的安全性。
1 、认证
当客户提出远程拨号的请求时远程地址拨号服务器首先需要对客户的身份进行认证判断其是否为合法用户。RADIUS远程地址拨号服务器可以支持当前的所有认证方式如常见的PPP、 CHAP等认证机制。
远程拨号服务认证包括两个过程
1从客户端到服务器端的一个查询。在这个查询报文中包含了客户请求连接时需要用到的帐户名、口令(可能经过一定的加密处理)、客户端的IP地址(可能需要对IP地址进行身份辨别)以及对应的端口等重要信息。
2服务器给客户端返回的信息。当远程波号服务器收到客户的连接请求之后就会在自己的数据库中进行查询。如果该用户的帐户与密码是合法的就会对该连接进行授权。但是若该帐户或者口令是非法的则就会拒绝客户的连接。在拒绝的同时一般会给客户返回拒绝的原因。访问拒绝报文可以和可选的文本报文一起发送来向客户说明被拒绝的原因如是口令错误还是用户名错误等等。
在这个认证的过程中需要注意匿名访问的问题。有些企业出于某些特定的需要可能允许客户匿名访问。此时远程访问拨号服务器就会载入一个默认的Pro file。在这个策略文件中规定了匿名访问的相关访问权限。
出于安全的考虑企业信息管理人员最好在配置远程拨号服务的时候禁止客户的匿名访问。或者把匿名访问的权限控制在最小的范围之内。毕竟让一个陌生人在未经许可的情况下 闯入你的门户是非常危险的。
2、授权
如果客户的连接经过远程拨号地址服务器的认证是合法的话则服务器返回一个访问接受响应。在这个响应报文中包含用来描述会话所使用的参数属性值对应的列表。具体的来说主要包括如下信息
1分配给用户的IP地址。为了让客户能够访问网络资源远程拨号服务器要给用户分配一个合法的IP地址。有时候这个IP地址很重要直接跟客户
pigyun怎么样?PIGYun成立于2019年,2021是PIGYun为用户提供稳定服务的第三年,期待我们携手共进、互利共赢。PIGYun为您提供:香港CN2线路、韩国CN2线路、美西CUVIP-9929线路优质IaaS服务。月付另有通用循环优惠码:PIGYun,获取8折循环优惠(永久有效)。目前,PIGYun提供的香港cn2云服务器仅29元/月起;韩国cn2云服务器仅22元/月起;美国CUVI...
老薛主机怎么样?老薛主机这个商家有存在有一些年头。如果没有记错的话,早年老薛主机是做虚拟主机业务的,还算不错在异常激烈的市场中生存到现在,应该算是在众多商家中早期积累到一定的用户群的,主打小众个人网站业务所以能持续到现在。这不,站长看到商家有在进行夏季促销,比如我们很多网友可能有需要的香港vps主机季度及以上可以半价优惠,如果有在选择不同主机商的香港机房的可以看看老薛主机商家的香港vps。点击进入...
御云怎么样?炎炎暑期即将来临,御云(royalyun)香港、美国服务器开启大特惠模式。御云是新成立的云服务提供商,主要提供香港、美国的云服务器,不久将开启虚拟主机业务。我们的香港和美国主机采用CN2 GIA线路。目前,香港cn2 gia vps仅7.9元每月起,美国vps仅8.9/月,续费同价,可叠加优惠,香港云服务器国内延迟一般在50ms左右,是搭建网站的最佳选择,但是请不要用于违法用途。点击进...