Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS sur TLS (RADSEC)

RADIUS sur TLS est conçu pour fournir une communication sécurisée des RADIUS requêtes via le protocole TLS (Transport Secure Layer). RADIUS sur TLS, également appelé RADSEC, redirige le trafic régulier des RADIUS vers des serveurs RADIUS distants connectés par TLS. RADSec permet de RADIUS données d’authentification, d’autorisation et de comptabilisation en toute sécurité sur les réseaux non sécurisés.

RADSEC utilise TLS en association avec le protocole de contrôle de transmission (TCP). Ce profil de transport offre une sécurité plus renforcée que l’UDP (User Datagram Protocol), utilisé à l’origine pour RADIUS transmission. RADIUS UDP chiffre le mot de passe secret partagé à l’aide de l’algorithme MD5, vulnérable aux attaques. RADSEC atténue le risque d’attaques sur md5 en s’échangeant RADIUS charges utiles de paquets sur un tunnel TLS chiffré.

Remarque :

En raison des limites du protocole TCP, RADSEC ne peut pas avoir plus de 255 messages d’RADIUS en vol.

Configurer la destination RADSEC

Les serveurs RADSEC sont représentés par des objets de destination RADSEC. Pour configurer RADSEC, vous devez définir le serveur RADSEC comme destination et diriger le trafic RADIUS à cette destination.

Vous définissez le serveur RADSEC comme destination en utilisant radsec l’instruction au niveau de la [edit access] hiérarchie. Les destinations RADSEC sont identifiées par un ID numérique unique. Vous pouvez configurer plusieurs destinations RADSEC avec différents paramètres pointant vers le même serveur RADSEC.

Pour rediriger le trafic d’un RADIUS standard vers un serveur RADSEC, associez le serveur d’RADIUS à une destination RADSEC. Par exemple, le serveur de RADIUS 1.1.1.1 est associé à la destination de RADSEC: 10

Vous pouvez également associer le serveur RADIUS à une destination RADSEC dans un profil d’accès. Par exemple, RADIUS de profil est associé à la destination de 2.2.2.2acc_profile RADSEC: 10

Remarque :

Vous pouvez rediriger plusieurs RADIUS vers la même destination RADSEC.

Pour configurer RADSEC:

  1. Configurez la destination RADSEC avec un ID unique et une adresse IP.
  2. Configurez le port du serveur RADSEC. Si aucun port n’est configuré, le port RADSEC 2083 par défaut est utilisé.
  3. Redirigez le trafic depuis RADIUS vers la destination de RADSEC:

Configurer les paramètres de connexion TLS

La connexion TLS fournit le chiffrement, l’authentification et l’intégrité des données pour l’échange RADIUS messages. TLS s’appuie sur des certificats et des paires d’échange de clés privées et publiques pour sécuriser la transmission de données entre le client et le serveur RADSEC. La destination RADSEC utilise des certificats locaux qui sont acquis de façon dynamique à partir de l’infrastructure PKI Junos.

Pour activer RADSEC, vous devez spécifier le nom du certificat local. Pour plus d’informations sur la configuration des certificats et des autorités de certification locales (AC), consultez configuring Digital Certificates.

  1. Indiquez le nom du certificat local à utiliser pour les communications TLS.
  2. Configurez le nom certifié du serveur RADSEC.
  3. (Facultatif) Configurez l’délai de connexion TLS (par défaut: 5 secondes).

Exemple: Simple RADSEC Configuration

L’exemple suivant est une configuration RADSEC simple avec un serveur RADIUS et une destination RADSEC. RADIUS trafic est redirigé depuis RADIUS 1.1.1.1 vers la destination RADSEC 10.

Certificats de surveillance

Pour consulter les informations sur l’état et les statistiques de l’acquisition de certificats locaux: show network-access radsec local-certificate.

Surveillance des destinations de RADSEC

Pour afficher les statistiques des destinations RADSEC: show network-access radsec statistics.

Pour afficher l’état des destinations RADSEC: show network-access radsec state.