| |
中小企业用ISDN的五个难题
|
责任编辑:chenyong |
| [04-3-31 10:16]
| 作者:李汉强
| 网络的管理
实施和管理远程访问的安全是企业型网络管理员最为重要的、需要考虑的事项,在公司下属各个分公司办公室之间,每新增加一个连接就产生一个新的安全风险问题。虽然公司已制定了在公司范围内统一的安全策略处理LAN之间通讯有关的问题。但作为远程办公室LAN的一种新型可靠的检验管理程序、保护性和专有信息也应运而生。因为ISDN的长途通讯费比长途语音电话要高得多,所以ISDN授权专人使用的限制就显得十分重要。远程LAN登录的安全管理主要包括两个方面:访问控制未注册用户不能登录入网和确认证实用户或远程LAN与其实际登录名称相一致。在远程访问服务器的环境中,可以获得许多不同的安全级,其范围从小型网络普通的口令直至保护企业网络中专用信息的安全协议。其实,我们知道所有远程访问服务器都使用PPP(point-to-point protocol)点对点协议,因为它具有PAP口令鉴别协议形式支持的基本口令和CHAP握手鉴别协议形式支持的加密口令(如图1)。
图1 客户端通过加密口令方式访问远程服务器
但是对LAN探测信息包解密工具相当不“敏感”,这类协议为多方供应商网络的第三方路由器之间提供了一个安全协议的基本级别,这一安全级别适宜于优先考虑简易性、成本和效果的小型办公室网络所用,事实上“PPP”和“Microsoft Windows NT”和“NetWare”的“Novell Directory Service”这类实用服务器信息包的直接口令鉴别已经完全能够满足许多应用程序的要求。
中央节点访问服务器通常建立于“PPP”的基线访问控制安全之上,典型的就是再增加一个称为“拨回安全的鉴别保护级”,也就是访问服务器要求访问的设备回拨,从而确保用户是从指定的位置拨入,但是小型远程访问服务器采用“拨入安全”这类功能需要有效的配置,包括指定MAC地址表的建立。在具有数千个终端的企业型网络中,这类访问安全的工作量是极其庞大的。一个授权的解决方案就是建立指定设备名称的一览表,并将它分布于网络上所有的访问服务器里。当某一个设备遭窃和存储消除时,它还有指定的MAC地址,但是如果该设备不具有恰当的设备名称,而要想访问该网络,访问就会变成无效。远程访问服务器的另一授权选项是保存一份指定的呼叫者的清单,并用呼叫者线路的ID来检验发自指定号码的这一呼叫。各种各样的第三方安全服务器与远程访问服务器协调一致并支持这些功能,提供了鉴别和访问控制的服务。远程访问设备的供应商对于测试其产品与中央网络安全服务器之间的接口是义不容辞的责任。企业型网络管理人员应该坚持LAN管理员要实施远程访问服务器至少支持其中一些主要的第三方安全数据包。
|
