利用RADIUS提高远程拨号的安全性
[摘要]远程地址拨号用户服务采用UDP作为传输层协议是一种无连接的协议。针对接入服务的攻击事件越来越多的状况远程地址拨号用户服务可从认证、授权、账户管理三个方面提高安全性。
[关键词]RAD IUS 远程拨号 安全性
随着企业信息化办公外延的迅速扩展各种各样的接入服务也逐渐在企业中推广开来。同时针对接入服务的攻击事件也越来越多。针对这种情况各个厂商都提出了各自的解决方案。这些方案中 RADIUS(远程地址拨号用户服务)可以说是一个代表。
它是一种客户端/服务器端模式的应用服务。客户端 即用户终端主机负责向“远程地址拨号服务器”传递用户信息然后根据服务器端返回的相关信息采取对应的操作。而服务器端负责接收客户的连接请求并且对用户的身份进行人证并且赋予这个帐户相关的访问权限同时会记录用户这次会话的相关信息如访问的资源、连接的时间等等。
具体的来说远程地址拨号用户服务从如下四个方面保障远程拨号的安全性。
1 、认证
当客户提出远程拨号的请求时远程地址拨号服务器首先需要对客户的身份进行认证判断其是否为合法用户。RADIUS远程地址拨号服务器可以支持当前的所有认证方式如常见的PPP、 CHAP等认证机制。
远程拨号服务认证包括两个过程
1从客户端到服务器端的一个查询。在这个查询报文中包含了客户请求连接时需要用到的帐户名、口令(可能经过一定的加密处理)、客户端的IP地址(可能需要对IP地址进行身份辨别)以及对应的端口等重要信息。
2服务器给客户端返回的信息。当远程波号服务器收到客户的连接请求之后就会在自己的数据库中进行查询。如果该用户的帐户与密码是合法的就会对该连接进行授权。但是若该帐户或者口令是非法的则就会拒绝客户的连接。在拒绝的同时一般会给客户返回拒绝的原因。访问拒绝报文可以和可选的文本报文一起发送来向客户说明被拒绝的原因如是口令错误还是用户名错误等等。
在这个认证的过程中需要注意匿名访问的问题。有些企业出于某些特定的需要可能允许客户匿名访问。此时远程访问拨号服务器就会载入一个默认的Pro file。在这个策略文件中规定了匿名访问的相关访问权限。
出于安全的考虑企业信息管理人员最好在配置远程拨号服务的时候禁止客户的匿名访问。或者把匿名访问的权限控制在最小的范围之内。毕竟让一个陌生人在未经许可的情况下 闯入你的门户是非常危险的。
2、授权
如果客户的连接经过远程拨号地址服务器的认证是合法的话则服务器返回一个访问接受响应。在这个响应报文中包含用来描述会话所使用的参数属性值对应的列表。具体的来说主要包括如下信息
1分配给用户的IP地址。为了让客户能够访问网络资源远程拨号服务器要给用户分配一个合法的IP地址。有时候这个IP地址很重要直接跟客户
小渣云 做那个你想都不敢想的套餐 你现在也许不知道小渣云 不过未来你将被小渣云的产品所吸引小渣云 专注于一个套餐的商家 把性价比 稳定性 以及价格做到极致的商家,也许你不相信36元在别人家1核1G都买不到的价格在小渣云却可以买到 8核8G 高配云服务器,并且在安全性 稳定性 都是极高的标准。小渣云 目前使用的是美国超级稳定的ceranetworks机房 数据安全上 每5天备份一次数据倒异地 支持一...
目前国内云计算市场竞争异常激烈,尤其是国内的腾讯云、阿里云、景安等商家促销活动一波接一波的进行,对于有需要的用户确实得到不小的实惠。但是这样给予国内的主机商确实是比较大的打击,毕竟这些商家的背景和实例强劲,即便是贴本补贴优惠,也是不怕的。前两年阿里一家各种活动促销,确实在国内市场占据主要的市场地位,腾讯云开始两年没有较大的吸引用户,不过这两年的发展还是比较稳健的。我们很多网友在之前肯定也享受到一些...
ZJI原名维翔主机,是原来Wordpress圈知名主机商家,成立于2011年,2018年9月更名为ZJI,提供香港、日本、美国独立服务器(自营/数据中心直营)租用及VDS、虚拟主机空间、域名注册业务。ZJI今年全新上架了台湾CN2线路服务器,本月针对香港高主频服务器和台湾CN2服务器提供7折优惠码,其他机房及产品提供8折优惠码,优惠后台湾CN2线路E5服务器月付595元起。台湾一型CPU:Inte...