RADIUS über TLS (RADSEC)
Um die 802.1X- oder MAC RADIUS-Authentifizierung zu verwenden, müssen Sie die Verbindungen auf dem Switch für jeden RADIUS-Server angeben, mit dem sie eine Verbindung herstellen möchten. RADIUS über TLS wurde entwickelt, um eine sichere Kommunikation von RADIUS-Anforderungen mithilfe des TLS-Protokolls (Transport Secure Layer) zu ermöglichen. RADIUS über TLS, auch bekannt als RADSEC, leitet regelmäßigen RADIUS-Datenverkehr an entfernte RADIUS-Server um, die über TLS verbunden sind. RADSec ermöglicht die sichere Weitergabe von RADIUS-Authentifizierungs-, Autorisierungs- und Buchhaltungsdaten über nicht vertrauenswürdige Netzwerke.
RADSEC verwendet TLS in Kombination mit dem Transmission Control Protocol (TCP). Dieses Transportprofil bietet stärkere Sicherheit als das User Datagram Protocol (UDP), das ursprünglich für die RADIUS-Übertragung verwendet wurde. RADIUS über UDP verschlüsselt das gemeinsam genutzte geheime Kennwort mit dem MD5-Algorithmus, der anfällig für Angriffe ist. RADSEC verringert das Risiko von Angriffen auf MD5, indem RADIUS-Paket-Payloads über einen verschlüsselten TLS-Tunnel ausgetauscht werden.
Aufgrund der Einschränkungen des TCP-Protokolls kann RADSEC nicht mehr als 255 RADIUS-Meldungen im Flug haben.
Konfigurieren des RADSEC-Ziels
RADSEC-Server werden durch RADSEC-Zielobjekte dargestellt. Um RADSEC zu konfigurieren, müssen Sie den RADSEC-Server als Ziel definieren und RADIUS-Datenverkehr an dieses Ziel leiten.
Mithilfe der Anweisung auf Hierarchieebene definieren Sie den radsec [edit access] RADSEC-Server als Ziel. RADSEC-Ziele werden durch eine eindeutige numerische ID identifiziert. Sie können mehrere RADSEC-Ziele mit verschiedenen Parametern konfigurieren, die auf denselben RADSEC-Server verweisen.
Um Datenverkehr von einem Standard-RADIUS-Server zu einem RADSEC-Server umzuleiten, weisen Sie den RADIUS-Server einem RADSEC-Ziel zu. Der RADIUS-Server 10.1.1.1 ist beispielsweise dem RADSEC-Ziel 10zugeordnet:
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
}
Sie können den RADIUS-Server auch einem RADSEC-Ziel innerhalb eines Zugriffsprofils zuordnen. Beispielsweise ist der RADIUS-Server 10.2.2.2 im Profil acc_profile dem RADSEC-Ziel 10zugeordnet:
access {
profile acc_profile {
secret zzz;
radsec-destination 10;
}
}
Sie können mehr als einen RADIUS-Server an dasselbe RADSEC-Ziel umleiten.
So konfigurieren Sie RADSEC:
Konfigurieren von TLS-Verbindungsparametern
Die TLS-Verbindung bietet Verschlüsselung, Authentifizierung und Datenintegrität für den Austausch von RADIUS-Nachrichten. TLS stützt sich auf Zertifikate und privat-öffentliche Schlüsselaustauschpaare, um die Datenübertragung zwischen RADSEC-Client und Server zu sichern. Das RADSEC-Ziel verwendet lokale Zertifikate, die dynamisch aus der Junos PKI-Infrastruktur erworben werden.
Um RADSEC zu aktivieren, müssen Sie den Namen des lokalen Zertifikats angeben. Informationen zur Konfiguration des lokalen Zertifikats und der Zertifizierungsstelle (CA) finden Sie unter Konfigurieren digitaler Zertifikate.
Beispiel: Einfache RADSEC-Konfiguration
Das folgende Beispiel ist eine einfache RADSEC-Konfiguration mit einem RADIUS-Server und einem RADSEC-Ziel. RADIUS-Datenverkehr wird von RADIUS-Server 10.1.1.1 zum RADSEC-Ziel 10 umgeleitet.
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
radsec {
destination 10 {
address 10.10.1.1;
max-tx-buffers 1000;
id-reuse-timeout 30;
port 1777;
source-address 10.1.1.2;
tls-certificate my_cert;
tls-min-version { v1.1 | v1.2 };
tls-peer-name x0.radsec.com
tls-timeout 10;
}
}
}
Überwachung von Zertifikaten
So zeigen Sie Informationen zum Status und statistiken zum Erwerb lokaler Zertifikate an: show network-access radsec local-certificate.
Überwachung von RADSEC-Destinationen
So zeigen Sie Statistiken für RADSEC-Ziele an: show network-access radsec statistics.
So zeigen Sie den Status der RADSEC-Ziele an: show network-access radsec state.