RADIUS over TLS (RADSEC)
Para usar a autenticação 802.1X ou MAC RADIUS, você deve especificar as conexões no switch para cada servidor RADIUS ao qual você se conectará. O RADIUS over TLS foi projetado para fornecer comunicação segura de solicitações RADIUS usando o protocolo de Camada segura de transporte (TLS). O RADIUS over TLS, também conhecido como RADSEC, redireciona o tráfego RADIUS regular para servidores RADIUS remotos conectados no TLS. O RADSec permite que os dados de autenticação, autorização e contabilidade RADIUS sejam transmitidos com segurança por redes não confiáveis.
O RADSEC usa O TLS em combinação com o Protocolo de Controle de Transmissão (TCP). Esse perfil de transporte oferece segurança mais forte do que o Protocolo de Datagram do Usuário (UDP), que foi originalmente usado para transmissão RADIUS. O RADIUS over UDP criptografa a senha secreta compartilhada usando o algoritmo MD5, que é vulnerável a ataques. O RADSEC reduz o risco de ataques ao MD5 trocando cargas de pacotes RADIUS por um túnel TLS criptografado.
Devido às limitações do protocolo TCP, o RADSEC não pode ter mais do que 255 mensagens RADIUS em voo.
Configure o destino RADSEC
Os servidores RADSEC são representados por objetos de destino RADSEC. Para configurar o RADSEC, você deve definir o servidor RADSEC como um destino e direcionar o tráfego RADIUS para esse destino.
Você define o servidor RADSEC como um destino usando a radsec
declaração no nível de [edit access]
hierarquia. Os destinos RADSEC são identificados por uma ID numérica única. Você pode configurar vários destinos RADSEC com diferentes parâmetros apontando para o mesmo servidor RADSEC.
Para redirecionar o tráfego de um servidor RADIUS padrão para um servidor RADSEC, associe o servidor RADIUS a um destino RADSEC. Por exemplo, o servidor 10.1.1.1
RADIUS está associado ao destino 10
RADSEC:
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } }
Você também pode associar o servidor RADIUS a um destino RADSEC dentro de um perfil de acesso. Por exemplo, o servidor 10.2.2.2
RADIUS no perfil acc_profile
está associado ao destino 10
RADSEC:
access { profile acc_profile { secret zzz; radsec-destination 10; } }
Você pode redirecionar mais de um servidor RADIUS para o mesmo destino RADSEC.
Para configurar o RADSEC:
Configure parâmetros de conexão TLS
A conexão TLS oferece criptografia, autenticação e integridade de dados para a troca de mensagens RADIUS. O TLS conta com certificados e pares de troca de chaves públicos privados para proteger a transmissão de dados entre o cliente RADSEC e o servidor. O destino RADSEC usa certificados locais que são adquiridos dinamicamente da infraestrutura PKI do Junos.
Para habilitar o RADSEC, você deve especificar o nome do certificado local. Para obter informações sobre a configuração do certificado local e da autoridade de certificado (CA), consulte Configuração de certificados digitais.
Exemplo: Configuração simples do RADSEC
O exemplo a seguir é uma configuração RADSEC simples com um servidor RADIUS e um destino RADSEC. O tráfego RADIUS é redirecionado do servidor RADIUS 10.1.1.1 para o destino RADSEC 10.
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } radsec { destination 10 { address 10.10.1.1; max-tx-buffers 1000; id-reuse-timeout 30; port 1777; source-address 10.1.1.2; tls-certificate my_cert; tls-min-version { v1.1 | v1.2 }; tls-peer-name x0.radsec.com tls-timeout 10; } } }
Certificados de monitoramento
Para visualizar informações sobre o estado e estatísticas da aquisição de certificados locais: show network-access radsec local-certificate.
Monitoramento dos destinos RADSEC
Para ver estatísticas dos destinos RADSEC: show network-access radsec statistics.
Para ver o estado dos destinos RADSEC: show network-access radsec state.