Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS over TLS (RADSEC)

RADIUS over TLS ist für die sichere Kommunikation von RADIUS-Anfragen mithilfe des Transport Secure Layer (TLS)-Protokolls konzipiert. RADIUS over TLS, auch RADSEC genannt, leitet regulären RADIUS-Datenverkehr an entfernte RADIUS-Server weiter, die über TLS verbunden sind. RADSec ermöglicht die sichere Weitergabe von RADIUS-Authentifizierungs-, Autorisierungs- und Buchhaltungsdaten in nicht vertrauenswürdigen Netzwerken.

RADSEC verwendet TLS in Kombination mit dem Transmission Control Protocol (TCP). Dieses Transportprofil bietet eine höhere Sicherheit als das User Datagram Protocol (UDP), das ursprünglich für die RADIUS-Übertragung verwendet wurde. RADIUS over UDP verschlüsselt das gemeinsam genutzte geheime Kennwort mithilfe des MD5-Algorithmus, der anfällig für Angriffe ist. RADSEC mindert das Risiko von Angriffen auf MD5, indem RADIUS-Paket-Payloads über einen verschlüsselten TLS-Tunnel ausgetauscht werden.

Anmerkung:

Aufgrund der Einschränkungen des TCP-Protokolls kann RADSEC nicht mehr als 255 RADIUS-Nachrichten im Flug haben.

Konfiguration des RADSEC-Ziels

RADSEC-Server werden von RADSEC-Zielobjekten dargestellt. Um RADSEC zu konfigurieren, müssen Sie den RADSEC-Server als Ziel definieren und RADIUS-Datenverkehr zu diesem Ziel leiten.

Sie definieren den RADSEC-Server mithilfe der radsec Anweisung auf [edit access] Hierarchieebene als Ziel. RADSEC-Adressen werden durch eine eindeutige numerische ID identifiziert. Sie können mehrere RADSEC-Adressen mit unterschiedlichen Parametern konfigurieren, die auf denselben RADSEC-Server zeigen.

Um den Datenverkehr von einem Standard-RADIUS-Server zu einem RADSEC-Server umzuleiten, assoziieren Sie den RADIUS-Server mit einem RADSEC-Ziel. Der RADIUS-Server 10.1.1.1 ist beispielsweise mit dem RADSEC-Ziel 10verknüpft:

Sie können den RADIUS-Server auch einem RADSEC-Ziel innerhalb eines Zugriffsprofils zuordnen. Der RADIUS-Server 10.2.2.2 im Profil acc_profile wird beispielsweise dem RADSEC-Ziel 10zugeordnet:

Anmerkung:

Sie können mehr als einen RADIUS-Server an das gleiche RADSEC-Ziel umleiten.

So konfigurieren Sie RADSEC:

  1. Konfigurieren Sie das RADSEC-Ziel mit einer eindeutigen ID und einer IP-Adresse.
  2. Konfigurieren Sie den Port des RADSEC-Servers. Wenn kein Port konfiguriert ist, wird der Standard-RADSEC-Port 2083 verwendet.
  3. Leiten Sie den Datenverkehr von einem RADIUS-Server zum RADSEC-Ziel um:

Konfigurieren der TLS-Verbindungsparameter

Die TLS-Verbindung bietet Verschlüsselung, Authentifizierung und Datenintegrität für den Austausch von RADIUS-Nachrichten. TLS stützt sich auf Zertifikate und Private-Public-Key-Austauschpaare, um die Datenübertragung zwischen DEM RADSEC-Client und -Server zu sichern. Das RADSEC-Ziel verwendet lokale Zertifikate, die dynamisch von der Junos PKI-Infrastruktur erworben werden.

Um RADSEC zu aktivieren, müssen Sie den Namen des lokalen Zertifikats angeben. Informationen zur Konfiguration des lokalen Zertifikats und der Zertifikatsstelle (CA) finden Sie unter Konfigurieren digitaler Zertifikate.

  1. Geben Sie den Namen des lokalen Zertifikats an, das für die TLS-Kommunikation verwendet werden soll.
  2. Konfigurieren Sie den zertifizierten Namen des RADSEC-Servers.
  3. (Optional) Konfigurieren Sie die TLS-Verbindungszeitüberschreitung (Standard 5 Sekunden).

Beispiel: Einfache RADSEC-Konfiguration

Das folgende Beispiel ist eine einfache RADSEC-Konfiguration mit einem RADIUS-Server und einem RADSEC-Ziel. RADIUS-Datenverkehr wird von RADIUS-Server 10.1.1.1 zu RADSEC-Ziel 10 umgeleitet.

Überwachungszertifikate

Informationen zum Status und zur Statistik des Erwerbs lokaler Zertifikate: show network-access radsec local-certificate.

Überwachung von RADSEC-Adressen

So zeigen Sie Statistiken für DIE RADSEC-Ziele an: show network-access radsec statistics.

So zeigen Sie den Status der RADSEC-Ziele an: show network-access radsec state.