计算机网络之防火墙技巧.ppt

RADIUS服务器（远程用户拨号认证系统 ） Remote Authentication Dial-In User Service 服务器（RADIUS），以执行对用户的验证（Authentication ）、授权（Authorization ）和记帐（Accounting ）（AAA）功能。 它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。 RADIUS服务器通常是在UNIX、LINUX或Windows 服务器上运行的一个监护程序。 如果NAS收到用户连接请求，它会将它们传递到指定的RADIUS服务器，后者对用户进行验证，并将用户的配置信息返回给NAS。然后，NAS接受或拒绝连接请求。 认证服务 虽然大部分用户还在使用可重用口令技术来保护他们的系统，但随着网络应用的大规模普及，可重用口令技术的缺陷日渐暴露无遗。 在我们能够使用信息系统之前，通常需要经过以下两个步骤：鉴别和授权。鉴别是授权的基础，因为如果不能正确的识别用户的身份，正确的授权就无从谈起。利用口令认证用户是最常用的一种鉴别技术，而口令鉴别技术通常又分为两种：历史悠久的可重用口令鉴别技术和后起之秀一次性口令鉴别技术。 可重用口令 可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：?·网络窃听：有时候口令需要通过网络传输，很多鉴别系统的口令是未经加密的明文，攻击者只要通过窃听网络数据，就很容易获取鉴别所需的用户名和口令。?·重放攻击：有的系统会将鉴别信息进行简单加密后进行传输，这时攻击者虽然无法窃听密码，但他们却可以首先截取加密后的口令然后将其重放，从而利用这种方式进行有效的攻击。?·字典攻击：由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。 可重用口令 可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：·强力攻击：这是一种特殊的字典攻击，它使用字符串的全集作为字典，即穷举所有可能的口令空间。这需要很大的耐心和巨大的工作量以及一点运气。然而，若用户的密码较短，那么它很快就会被穷举出来，因而很多系统都建议用户使用长口令。 ·窥探：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。对于后者，根本不需要特别的技术或设备，只要眼睛不是近视，需要的仅是静悄悄的站在您的身后，就可以轻松实施攻击。?·社交工程：攻击者冒充管理人员发送邮件或打电话给合法用户，比如“我是某某单位的系统管理员，现在需要更新所有用户的密码，请将您原来使用的口令告诉我。”这种情况下，许多经验不足的用户会毫不犹豫地将其口令奉上。? 可重用口令 可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：?·垃圾搜索：攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的攻击对象。有文章报道说，当今的商业间谍流行以清洁工人的身份来搜集情报，一方面清洁工人不太引起人们的注意，同时工作起来特顺手。???? 虽然可以通过强迫用户经常更换密码和增加密码长度来保证安全，但由于人类天性懒惰的缘故，经常更换难以记忆的密码会让他们感觉很不舒服，这时难保他们不会将口令写到小纸条上并置于键盘之下（若系统管理员看到了会气得在地上打滚）。所以说实施某项安全措施时，必须考虑到来自用户的阻力。 可重用口令 一次性口令的工作原理 为了解决固定口令的诸多问题，安全专家提出了一次性口令（OTP：One Time Password）的密码体制，以保护关键的计算资源。 OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如：登录密码=MD5(用户名＋密码 ＋时间），系统接收到登录口令后做一个验算即可验证用户的合法性。 OTP：One Time Password 不确定因子选择与口令生成 口令序列(S/KEY) 口令为一个单向的前后相关的序列，系统只用记录第 N个口令。用户用第N－1个口令登录时，系统用单向算法算出第N个口令与自己保存的第N个口令匹配，以判断用户的合法性。由于N是有限的，用户登录N次后必须重新初始化口令序列。 挑战/回答(CRYPTOCard) 用户要求登录时，系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统，系统用同样的方法做验算即可验证用户身份。 时间同步(SecureID) 以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法。在SecureID 产品中，对时间误差的容忍可达±1