RADIUS über TLS (RADSEC)
Um die 802.1X- oder MAC RADIUS-Authentifizierung zu verwenden, müssen Sie die Verbindungen auf dem Switch für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten. RADIUS over TLS wurde entwickelt, um eine sichere Kommunikation von RADIUS-Anforderungen mithilfe des TLS-Protokolls (Transport Secure Layer) zu ermöglichen. RADIUS over TLS, auch bekannt als RADSEC, leitet regulären RADIUS-Datenverkehr an Remote-RADIUS-Server um, die über TLS verbunden sind. Mit RADSec können RADIUS-Authentifizierungs-, Autorisierungs- und Abrechnungsdaten sicher über nicht vertrauenswürdige Netzwerke übertragen werden.
RADSEC verwendet TLS in Kombination mit dem Transmission Control Protocol (TCP). Dieses Transportprofil bietet eine höhere Sicherheit als das User Datagram Protocol (UDP), das ursprünglich für die RADIUS-Übertragung verwendet wurde. RADIUS über UDP verschlüsselt das gemeinsam genutzte geheime Kennwort mithilfe des MD5-Algorithmus, der anfällig für Angriffe ist. RADSEC verringert das Risiko von Angriffen auf MD5 durch den Austausch von RADIUS-Paketnutzlasten über einen verschlüsselten TLS-Tunnel.
Aufgrund von Einschränkungen des TCP-Protokolls kann RADSEC nicht mehr als 255 RADIUS-Nachrichten im Fluss haben.
Konfigurieren des RADSEC-Ziels
RADSEC-Server werden durch RADSEC-Zielobjekte dargestellt. Um RADSEC zu konfigurieren, müssen Sie den RADSEC-Server als Ziel definieren und den RADIUS-Datenverkehr an dieses Ziel leiten.
Sie definieren den RADSEC-Server als Ziel mit der Anweisung auf Hierarchieebene . radsec
[edit access]
RADSEC-Ziele werden durch eine eindeutige numerische ID identifiziert. Sie können mehrere RADSEC-Ziele mit unterschiedlichen Parametern konfigurieren, die auf denselben RADSEC-Server verweisen.
Um Datenverkehr von einem standardmäßigen RADIUS-Server zu einem RADSEC-Server umzuleiten, ordnen Sie den RADIUS-Server einem RADSEC-Ziel zu. Beispielsweise ist der RADIUS-Server dem RADSEC-Ziel zugeordnet:10.1.1.1
10
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } }
Sie können den RADIUS-Server auch einem RADSEC-Ziel innerhalb eines Zugriffsprofils zuordnen. Beispiel: Der RADIUS-Server im Profil ist dem RADSEC-Ziel zugeordnet:10.2.2.2
acc_profile
10
access { profile acc_profile { secret zzz; radsec-destination 10; } }
Sie können mehr als einen RADIUS-Server an dasselbe RADSEC-Ziel umleiten.
So konfigurieren Sie RADSEC:
Konfigurieren von TLS-Verbindungsparametern
Die TLS-Verbindung bietet Verschlüsselung, Authentifizierung und Datenintegrität für den Austausch von RADIUS-Nachrichten. TLS stützt sich auf Zertifikate und Private-Public-Key-Austauschpaare, um die Datenübertragung zwischen dem RADSEC-Client und -Server zu sichern. Das RADSEC-Ziel verwendet lokale Zertifikate, die dynamisch von der Junos PKI-Infrastruktur abgerufen werden.
Um RADSEC zu aktivieren, müssen Sie den Namen des lokalen Zertifikats angeben. Informationen zum Konfigurieren des lokalen Zertifikats und der Zertifizierungsstelle (Certificate Authority, CA) finden Sie unter Konfigurieren digitaler Zertifikate.Configuring Digital Certificates
Beispiel: Einfache RADSEC-Konfiguration
Das folgende Beispiel ist eine einfache RADSEC-Konfiguration mit einem RADIUS-Server und einem RADSEC-Ziel. RADIUS-Datenverkehr wird von RADIUS-Server 1 0.1.1.1 an RADSEC-Ziel 10 umgeleitet.
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } radsec { destination 10 { address 10.10.1.1; max-tx-buffers 1000; id-reuse-timeout 30; port 1777; source-address 10.1.1.2; tls-certificate my_cert; tls-min-version { v1.1 | v1.2 }; tls-peer-name x0.radsec.com tls-timeout 10; } } }
Überwachen von Zertifikaten
So zeigen Sie Informationen über den Status und Statistiken des lokalen Zertifikaterwerbs an: show network-access radsec local-certificate.
Überwachung von RADSEC-Zielen
So zeigen Sie Statistiken für die RADSEC-Ziele an: show network-access radsec statistics.
So zeigen Sie den Status der RADSEC-Ziele an: show network-access radsec state.