利用RADIUS 提高遠程撥號的安全性

張亮

[摘 要] 遠程地址撥號用戶服務采用UDP作為傳輸層協議，是一種無連接的協議。針對接入服務的攻擊事件越來越多的狀況，遠程地址撥號用戶服務可從認證、授權、賬戶管理三個方面提高安全性。

[關鍵詞] RADIUS遠程撥號安全性

隨著企業信息化辦公外延的迅速擴展，各種各樣的接入服務也逐漸在企業中推廣開來。同時，針對接入服務的攻擊事件也越來越多。針對這種情況，各個廠商都提出了各自的解決方案。這些方案中，RADIUS(遠程地址撥號用戶服務)可以說是一個代表。

它是一種客戶端/服務器端模式的應用服務。客戶端，即用戶終端主機，負責向“遠程地址撥號服務器”傳遞用戶信息然后根據服務器端返回的相關信息采取對應的操作。而服務器端負責接收客戶的連接請求，并且對用戶的身份進行人證，并且賦予這個帳戶相關的訪問權限；同時，會記錄用戶這次會話的相關信息，如訪問的資源、連接的時間等等。

具體的來說，遠程地址撥號用戶服務從如下四個方面保障遠程撥號的安全性。

1 、認證

當客戶提出遠程撥號的請求時，遠程地址撥號服務器首先需要對客戶的身份進行認證，判斷其是否為合法用戶。RADIUS遠程地址撥號服務器，可以支持當前的所有認證方式，如常見的PPP、CHAP等認證機制。

遠程撥號服務認證包括兩個過程：

（1）從客戶端到服務器端的一個查詢。在這個查詢報文中，包含了客戶請求連接時需要用到的帳戶名、口令(可能經過一定的加密處理)、客戶端的IP地址(可能需要對IP地址進行身份辨別)以及對應的端口等重要信息。

（2）服務器給客戶端返回的信息。當遠程波號服務器收到客戶的連接請求之后，就會在自己的數據庫中進行查詢。如果該用戶的帳戶與密碼是合法的，就會對該連接進行授權。但是，若該帳戶或者口令是非法的，則就會拒絕客戶的連接。在拒絕的同時，一般會給客戶返回拒絕的原因。訪問拒絕報文可以和可選的文本報文一起發送，來向客戶說明被拒絕的原因，如是口令錯誤還是用戶名錯誤等等。

在這個認證的過程中，需要注意匿名訪問的問題。有些企業出于某些特定的需要，可能允許客戶匿名訪問。此時，遠程訪問撥號服務器就會載入一個默認的Profile。在這個策略文件中，規定了匿名訪問的相關訪問權限。

出于安全的考慮，企業信息管理人員最好在配置遠程撥號服務的時候，禁止客戶的匿名訪問。或者，把匿名訪問的權限控制在最小的范圍之內。畢竟，讓一個陌生人在未經許可的情況下，闖入你的門戶，是非常危險的。

2、授權

如果客戶的連接經過遠程撥號地址服務器的認證是合法的話，則服務器返回一個訪問接受響應。在這個響應報文中，包含用來描述會話所使用的參數屬性值對應的列表。具體的來說，主要包括如下信息：

（1）分配給用戶的IP地址。為了讓客戶能夠訪問網絡資源，遠程撥號服務器要給用戶分配一個合法的IP地址。有時候，這個IP地址很重要，直接跟客戶可以訪問的資源相關。如有些企業可能部署了虛擬局域網，根據IP地址來來確定可以訪問的資源。此時，客戶所采用的IP地址就直接跟用戶的權限有關了。

（2）訪問列表。這是報文中最重要的信息。在這份報表中，包含了客戶所有可以訪問的連接信息。遠程撥號服務器，就是根據這份報表來控制客戶的訪問。當這個訪問權限與企業虛擬網的規則相互矛盾的時候，以虛擬局域網的規則為準。

另外，在返回的信息中，還包含了協議類型、服務類型、以及路由信息等等。

因為對帳戶進行授權，直接關系到企業網絡資源的安全性，所以在授權的時候，需要注意以下幾個方面的問題。

（1）根據最小原則，對于遠程撥號用戶給予最小的權限。如對于遠程撥號的用戶，只具有文件的查詢權限，而不能夠對文件進行刪除、修改等操作。如此的話，即使被人攻擊了，這些文件也只會泄露，而不會被非法修改與刪除。

（2）對授權行為進行追蹤。俗話說，絕對的權利導致絕對的腐敗。若對授權行為沒有監督，則一些有權限的用戶，很可能會嘗試著去做一些其沒有權限的動作。此時，若管理員不早點發現則很可能會產生比較大的后果。

（3）結合IP地址認證，可以給授權提供保護的外殼。一方面，遠程撥號服務器可以根據來防者IP地址來判斷用戶的合法性；另一方面，通過分配給用戶一個IP地址，從而實現企業內部虛擬局域網的限制。所以，結合IP地址管理，可以給授權提供更好的保護，提高授權的準確性。

3、帳戶管理

遠程撥號服務器的帳戶管理，主要功能就是記錄客戶在連接的過程中所訪問的資源以及訪問的時間信息。帳戶管理功能允許數據在會話的開始和結束的時候被發送，表明在會話期間所訪問的文件、訪問的時間等等。它可以被用來滿足一些特定的需要。如計費的需要。這主要是針對網絡上的ISP服務商來說的。他們需要統計客戶連接的時間，并且按照連接的時間來進行費用的結算。不過，其最大的作用還是體現在安全方面的監督。用戶在什么時候訪問了什么資源，這些信息都會被一一的記錄下來。當網絡資源出現了什么意外情況的話，就可以根據這份資料來查找問題的原因。

帳戶管理功能可以跟遠程撥號的其他功能獨立使用。也就是說，企業可以根據自己安全方面的需要，來決定是否需要采用帳戶管理的功能。另外，若企業真的部署了帳戶管理的功能之后，則最好跟日志服務器結合使用。也就是說，讓帳戶管理功能把相關的日志信息傳送到指定的管理平臺，如郵件等等。如此的話，企業信息管理人員就不用每次到撥號服務器上查詢相關的信息。當用戶資源訪問有異常的情況下，就可以及時的了解這方面信息。

另外，遠程撥號服務協議其在普通數據的傳輸上，是沒有采用加密處理的。而只有在帳戶與口令的傳輸上，才使用加密機制。這也就是說，非法攻擊者，雖然通過網絡嗅探無法取得網絡中傳輸的用戶名與密碼，但是可以取得網絡中傳輸的數據。這是我們在設計網絡安全的時候，需要特別注意的。通常情況下，我們一般會利用IPSec協議來保護遠程撥號協議下的數據傳輸。不但讓帳戶與密碼安全，而且，也保障了普通數據傳輸的安全性。當然是否需要如此的配置，要根據企業對安全性的要求不同而進行合理的選擇。

總之，遠程撥號服務是企業中應用的比較廣泛的一種服務。其給企業用戶提供了一種遠程訪問的便利渠道。不過再好的工具，也要靠人管理才能夠發揮其應有的效用。所以，管理員在配置的時候，還是需要從安全性與便利性的角度出發，對遠程撥號服務器進行合理的配置，讓其不但可以滿足企業的使用需要，也可以滿足企業的安全性考慮。