Authentication Servers
Firewall and proxy servers can perform some kinds of user authentication functions. It can also consider the use of a central database, known as "authentication server" to centrally store all the necessary information for authenticating and authorising users such as user passwords and access privileges. In addition, these authentication servers can support stronger authentication schemes such as the use of tokens and smart cards, which may not be able to be supported by proxies.
For example, Remote Authentication Dial-In User Service (RADIUS) and Terminal Access Controller Access Control System Plus (TACACS+) are common schemes used for remote authentication.
ファイアウォールおよびプロキシサーバーは数種類のユーザー認証機能を実行することができる。ユーザーパスワードやアクセス特権など、ユーザーの認証および認可に必要なすべての情報を一元的に保存しておく「認証サーバー」として知られる中央データベースとみなすことも可能である。また、これら認証サーバーはトークンやスマートカードの使用など、プロキシサーバーではサポートできないより強力な認証方式をサポートすることができる。
たとえば、ダイヤルインユーザーサービス遠隔認証(RADIUS)および端末アクセス管理者アクセス制御システム増補版(TACACS+)は、遠隔認証に利用される一般的な方式である。
ファイヤーウォールとプロキシサーバーはある種のユーザー認証機能を実行することができる。またユーザーのパスワードやアクセス権といった認証や権限付与のための必要な情報を集中的に保存するデータベースと考えることもできる。それに加え、これらの認証サーバーはトークンやスマートカードなどを使用すれば、プロキシではサポートできないであろう認証スキームを強力にサポートすることができる。
例えば、Remote Authentication Dial-In User Service (RADIUS)とTerminal Access Controller Access Control System Plus (TACACS+)は遠隔認証に使われる一般的なスキームである。
![[削除済みユーザ]](https://secure.gravatar.com/avatar/695023b4efd563721d13716b1457bc73.png?d=identicon&mode=crop&r=PG&s=48)
Referring to Figure 2, an authentication server can be used to authenticate remote dial-in users before they are granted access rights to the network.
• The information stored in the authentication database should be encrypted and be well protected from unauthorised access or modification.
• A single dedicated machine, which is securely protected, should be used.
• The server should be properly configured to log administrative transactions, usage accounting information and authentication transactions such as failed login attempts.
• If more than one authentication servers are used for resilience, make sure that the information stored in the authentication databases is propagated to all other replicas.
• 認証データベースに保管される情報は、暗号化され、未許可のアクセスや修正から十分保護されければなりません。
• 確実に保護されている単独の専用の機械が、使われなければなりません。
• サーバーは、管理業務、使用会計情報、ならびにログイン未遂のような認証業務をログできるよう、適正に構成されていなければなりません。
• 複数の認証サーバーが復元力として使われる場合は、認証データベースに保管される情報が、他の全てのレプリカに広がっていることを認かめてください。
・認証データベースに保存された情報は暗号化され、権限のないアクセスや変更からは十分に保護されるべきである。
・しっかりと保護された1台の専用マシンを使うべきである。
・サーバーは、管理上のトランザクション、会計情報の利用やログイン試行の失敗といった認証トランザクションなどが記録されるよう、適切に設定されるべきである。
・復旧のため複数の認証サーバーが使われる場合、認証データベースに保存された情報が、他の全てのサーバーに複製されていることを確認する必要がある。
• System log files should be reviewed periodically to detect any unauthorised account creation or privilege modification.
FIREWALLS
A firewall can be considered as a security measure for protecting an organisation's resources against intruders. It is an important component of a security infrastructure. It should be reminded that the design and setup of a firewall requires thorough understanding about the firewall features, functions, capabilities and limitations as well as the threats and vulnerabilities associated with the Internet.
ファイアウォール
ファイアウォールは、組織の資源を侵入者から保護するセキュリティ手段と考えることができます。それは、セキュリティ・インフラの重要な構成要素です。ファイアウォールのデザインと設定には、インターネットと関連したファイアウォール機能、効用、能力および限界、そしてまた脅威と脆弱さについての完全な理解を必要とすることを再認識しなければなりません。
ファイヤーウォール
ファイヤーウォールは組織のリソースを侵入者から守るための安全保障の手段と考えられており、安全インフラの重要な構成要素のひとつである。ファイヤーウォールの設計と設定には、ファイヤーウォールの特徴、機能、能力、限界およびインターネット関連の脅威と脆弱性に対する完全な理解が必要ということを忘れてはならない。
Great!