Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS sobre TLS (RADSEC)

RADIUS sobre TLS foi projetado para fornecer comunicação segura de RADIUS solicitações usando o protocolo Transport Secure Layer (TLS). RADIUS sobre TLS, também conhecido como RADSEC, redireciona o tráfego RADIUS regular para servidores RADIUS remotos conectados por TLS. O RADSec permite que RADIUS autenticação, autorização e dados de contabilidade sejam passados com segurança em redes não falsas.

O RADSEC usa TLS em combinação com o Protocolo de Controle de Transmissão (TCP). Esse perfil de transporte fornece mais segurança do que o UDP (User Datagram Protocol), originalmente usado para RADIUS transmissão. RADIUS sobre UDP criptografa a senha secreta compartilhada usando o algoritmo MD5, que é vulnerável a ataques. O RADSEC atenua o risco de ataques no MD5 trocando cargas RADIUS pacotes por um túnel TLS criptografado.

Nota:

Devido às limitações do protocolo TCP, o RADSEC não pode ter mais do que 255 mensagens RADIUS durante o vôo.

Configurar o destino RADSEC

Os servidores RADSEC são representados por objetos de destino RADSEC. Para configurar o RADSEC, você deve definir o servidor RADSEC como um destino e direcionar RADIUS tráfego até esse destino.

Você define o servidor RADSEC como um destino usando a radsec instrução no [edit access] nível da hierarquia. Os destinos DORSEC são identificados por uma ID numérica única. Você pode configurar vários destinos RADSEC com diferentes parâmetros indicando o mesmo servidor RADSEC.

Para redirecionar o tráfego de um servidor RADIUS padrão para um servidor RADSEC, associe o RADIUS com um destino RADSEC. Por exemplo, o servidor RADIUS 1.1.1.1 está associado ao destino RADSEC: 10

Você também pode associar o servidor RADIUS com um destino RADSEC dentro de um perfil de acesso. Por exemplo, RADIUS servidor 2.2.2.2 de perfil está associado ao destino acc_profile10 RADSEC:

Nota:

Você pode redirecionar mais de um RADIUS para o mesmo destino RADSEC.

Para configurar o RADSEC:

  1. Configure o destino RADSEC com uma ID exclusiva e um endereço IP.
  2. Configure a porta do servidor RADSEC. Se nenhuma porta estiver configurada, a porta RADSEC padrão 2083 é usada.
  3. Redirecione o tráfego de um RADIUS para o destino RADSEC:

Configurar parâmetros de conexão TLS

A conexão TLS fornece criptografia, autenticação e integridade de dados para a troca de RADIUS mensagens. O TLS confia em certificados e pares de chaves públicas privadas para proteger a transmissão de dados entre o cliente e o servidor RADSEC. O destino RADSEC usa certificados locais que são adquiridos dinamicamente da infraestrutura Junos PKI.

Para habilitar o RADSEC, você deve especificar o nome do certificado local. Para obter informações sobre a configuração da autoridade local de certificado e certificado (CA), consulte Configurar certificados digitais.

  1. Especifique o nome do certificado local a ser usado para comunicações TLS.
  2. Configure o nome certificado do servidor RADSEC.
  3. (Opcional) Configure o tempo de tempo de conexão TLS (o padrão é de 5 segundos).

Exemplo: Configuração SIMPLES DE RADSEC

O exemplo a seguir é uma configuração SIMPLES DE RADSEC com um RADIUS servidor e um destino RADSEC. RADIUS tráfego é redirecionado do RADIUS servidor 1.1.1.1 para o destino RADSEC 10.

Certificados de monitoramento

Para ver informações sobre o estado e as estatísticas de aquisição de certificados locais: show network-access radsec local-certificate.

Monitoramento de destinos RADSEC

Para exibir estatísticas dos destinos DO RADSEC: show network-access radsec statistics.

Para ver o estado dos destinos RADSEC: show network-access radsec state.