Долой построчный ввод
Безопасный RADIUS

Как обеспечивается безопасный доступ по модемному соединению


Возможность предоставления удаленным пользователям или бизнес-партнерам доступа к корпоративной информации трудно переоценить, но при этом неизменно встает вопрос, как уберечься от непрошенных вторжений в сеть. Фирмам нужно защищать свои внутренние сети, Web-узлы и постоянно растущий отряд мобильных сотрудников, но многие из них не могут выложить 20 тыс. дол. или даже больше на специальный брандмауэр. Поэтому они часто идут другим путем - обращаются к поставщикам, предоставляющим дополнительные защитные средства для маршрутизаторов (удаленного доступа или граничных).

Недорогие граничные системы, дополненные усовершенствованными методами защиты, способны создать эффективную оборонительную стену вокруг корпоративной сети, при этом предоставляя доступ к ее ресурсам всем авторизованным пользователям. Широкие возможности фильтрации позволяют сетевым администраторам определять и ограничивать тип и направление трафика, проходящего по сети. Многие маршрутизаторы предоставляют возможность отфильтровывать пакеты по таким критериям, как тип протокола и, в рамках конкретного протокола, адрес источника и назначения. Эти маршрутизаторы обеспечивают механизм контроля за типом сетевого трафика в пределах предприятия и за услугами, предоставляемыми пользователю или рабочей группе. При угрозе нарушения системы безопасности им может быть отказано в обслуживании или доступе.

Фильтрация протоколов (сетевых служб) может оказаться достаточно сложной задачей, особенно для удаленных офисов, в которых нет штатных сетевых администраторов. В связи с этим поставщики продуктов сетевой защиты начинают предлагать программное обеспечение конфигурации на базе графического пользовательского интерфейса (GUI) и инструментальные наборы для создания фильтров, которые могут настраиваться на нужды пользователей с помощью нескольких простых операций.

Долой построчный ввод

Исторически так сложилось, что для решения задачи определения (фильтрации) типов трафика, создающих потенциально высокую опасность для системы, сетевому администратору приходится строка за строкой вводить опасные адреса источников и назначения, каждый номер порта протокола, а также перечень возможных действий. Этот процесс может отнять много времени и порядком потрепать нервы, поскольку один неправильный шаг в процессе конфигурации брандмауэра способен открыть путь взломщику. Кроме того, увеличение числа удаленных узлов и новых услуг обычно приводят к противоречию с первоначальной конфигурацией брандмауэра.

Брандмауэры следующего поколения призваны решить эти проблемы. Вместо ввода сложных схем фильтрации по принципу "правило за правилом и строка за строкой", администраторы смогут задавать соответствующие установки с помощью мыши и графического интерфейса. Программное обеспечение проверки конфигурации и другие сетевые интрументы способны предупреждать о потенциально опасных установках, отсутствующей или небезопасной сетевой службе.

Популярными средствами защиты становятся сетевые инструменты диагностики и управления, которые выявляют и исследуют подозрительные операции и не позволяют злоумышленникам нанести какой-либо вред. Брандмауэры следующего поколения, которые включают в себя динамическую или статическую операционную среду, будут первыми системами, интегрирующими эти новые средства и извлекающими выгоду из их использования.

Другие меры безопасности, такие как аутентификация и усовершенствованное обеспечение секретности, увеличивают степень безопасности, достигаемой с помощью защитных маршрутизаторов. Например, аутентификация позволяет сетевому администратору предоставлять пользователю доступ только к тем приложениям, которые нужны ему для работы или на использование которых он имеет право. Этот способ защиты особенно полезен при предоставлении командировочным и мобильным сотрудникам доступа к корпоративным ресурсам.

Безопасный RADIUS

Одна из наиболее популярных служб аутентификации в общедоступных сетях - Remote Authentication Dial-in User Sevice (RADIUS). Эта базирующаяся на отраслевых стандартах служба, в первую очередь, предоставляет возможности централизованной проверки удаленных пользователей, применяющих модемы, и управления их доступом в корпоративную сеть. Она упрощает администрирование пользовательской идентификационной информации, паролей, счетов и других характеристик пользователя, относящихся к сфере обеспечения безопасности, при размещении их на централизованно управляемом сервере аутентификации (см. рисунок).

В системе, защищенной с помощью RADIUS, маршрутизатор работает как фильтр, который исследует входящие пакеты и пропускает на сервер аутентификации только те из них, которые отвечают установленным требованиям. RADIUS-серевер инициирует серию проверок пользователя, затребовавшего соединение с сетью.

Во время диалога между удаленным пользователем и RADIUS-сервером происходит обмен серией пакетов обеспечения безопасности; пропускаются только те пакеты, которые содержат информацию о зашифрованных паролях, идентификационных номерах и правах привилегированного доступа к конкретным приложениям. Кроме того, RADIUS-сервер может передавать маршрутизатору информацию о продолжительности сеанса связи, выделении полосы пропускания, доступе к приложениям и указания о порядке выполнения этих требований для удаленного пользователя. Используя данные возможности, можно задавать наборы пользовательских профилей и фильтров доступа для отдельных пользователей, рабочих групп, подразделений, филиалов и других объектов.

В связи с тем что трафик удаленных пользователей продолжает наводнять Internet, а предприятия начинают эксплуатировать общедоступные сети для расширения своих корпоративных сетей, растет понимание оправданности использования средств защиты. Объединение в одной системе удаленного доступа фильтрующего маршрутизатора и служб аутентификации обеспечивает мобильность пользователя при одновременной поддержке профилей доступа, паролей и привилегий приложений.


Роберт Кох (Robert Koch) является директором по маркетингу продуктов компании Proteon (Вестбороу, шт. Массачусетс), которая занимается продажей маршрутизаторов удаленного доступа.

Как обеспечивается безопасный доступ по модемному соединению

Граничные маршрутизаторы, которые поддерживают стандарт RADIUS для безопасного удаленного доступа, обязывают пользователей аутентифицировать себя, прежде чем предоставить им доступ к корпоративным сетевым ресурсам.

1. Удаленный пользователь открывает сеанс по протоколу telnet с маршрутизатором удаленного доступа и вводит свое регистрационное имя.

2. Маршрутизатор соединяется в защищенном режиме с сервером аутентикации RADIUS, на котором хранится счет пользователя.

3. Сервер в соответствии с профилем данного пользователя генерирует контрольный запрос, например восьмизначный секретный код, который маршрутизатор отправляет пользователю.

4. Пользователь вводит код контрольного запроса в карточку наподобие кредитной, та генерирует соответствующий ответ.

5. Маршрутизатор передает ответ RADIUS-серверу и ждет его решения. Если аутентификация прошла успешно, маршрутизатор создает профиль фильтра, который определяет полномочия пользователя в ходе данного сеанса связи.

7. Удаленный пользователь, оснащенный ПК-блокнотом и идентификационной картой

8. Маршрутизатор удаленного доступа

9. Корпоративная ЛС

10. Защищенный канал связи

11. RADIUS-сервер