远程接入安全

远程接入

远程访问使身处远方的客户端能够建立与某个网络的通信会话。客户端可以采用这样的形式建立通信会话：

•     使用调制解调器直接拨号登录远程访问服务器

•     在互联网上通过VPN连接至某个网络

•     通过瘦客户端（thin-client）与某个终端服务器系统相连接

远程访问安全

当远程访问功能在任何环境下进行部署时，安全必须考虑和实施，并对私有网络进行保护，防备远程并发访问。

• 远程访问用户在被授予访问之前应严格认证。

• 只有那些为了完成他们的任务而需要远程接入的用户才被允许建立远程连接

• 所有远程通信应进行保护以防止截取和窃听。通常这需要一个加密解决方案，为认证流量以及所有的数据传输提供有力保护。

计划远程访问安全

• 远程连接技术：每一种远程连接都存在自己特有的安全问题。

• 传输保护：加密协议，加密连接系统、加密的网络服务或应用程序存在多种形式。

• 身份验证保护：须确保所有登录凭证都是安全的。使用某种身份认证协议

• 远程用户支持：通过某种途径以提供最有效的技术支持

• 为了只允许获得授权的用户进行远程访问，可以使用回叫和呼叫者ID（回叫机制）

拨号协议

在建立远程连接时，必须使用某些协议来管理连接的实际创建方式，拨号协议的两个最主要的例子—-PPP和SLIP，不仅为真正的拨号连接，也为一些VPN连接提供连接的管理。

• 点对点协议（PPP）是一种全双工协议，用于在各种非LAN连接上传输TCPP数据包，这些连接包括调制解调器、ISDN、VPN和帧中继等。PPP得到了广泛支持，并且是拨号互联网连接的传输协议选项。

• 网络串行线路协议（SLIP）是一种较旧的技术，用于支持异步串行连接（例如，串行线缆或调制解调器拨号）上的TCP/IP通信。SLP已很少使用，不过仍然得到很多系统的支持。SLP只能够支持IP协议，需要静态的iP地址，不提供差错检测或纠正功能，并且不支持压缩。

集中化的远程身份验证服务

这些机制为远程客户端进行局域网或当地客户端操作提供了一个隔离的认证和授权过程。隔离对于安全是很重要的，因为如果RADIUS 或 TACACS+服务器受到损害，那么只有远程连接受到影响，而网络的其他部分不受影响。

远程认证拨号用户服务

• （RADIUS）：使用UDP、缺乏完整、保护用户标识是明文传输，密码是加密的。

• 终端访问控制器访问控制系统TACACS+：使用TCP确保收到用户凭证，整个传输都是加密的。

本文始发于微信公众号（网络安全等保测评）：远程接入安全