RADIUS sur TLS (RADSEC)
Pour utiliser l’authentification 802.1X ou MAC RADIUS, vous devez spécifier les connexions sur le commutateur pour chaque serveur RADIUS auquel vous allez vous connecter. RADIUS sur TLS est conçu pour fournir une communication sécurisée des requêtes RADIUS à l’aide du protocole TLS (Transport Secure Layer). RADIUS sur TLS, également connu sous le nom de RADSEC, redirige le trafic RADIUS normal vers des serveurs RADIUS distants connectés via TLS. RADSec permet de transmettre en toute sécurité les données d’authentification, d’autorisation et de comptabilité RADIUS sur des réseaux non approuvés.
RADSEC utilise TLS en combinaison avec le protocole TCP (Transmission Control Protocol). Ce profil de transport offre une sécurité plus élevée que le protocole UDP (User Datagram Protocol) qui était utilisé à l’origine pour la transmission RADIUS. RADIUS sur UDP chiffre le mot de passe secret partagé à l’aide de l’algorithme MD5, qui est vulnérable aux attaques. RADSEC atténue le risque d’attaques sur MD5 en échangeant des charges utiles de paquets RADIUS sur un tunnel TLS chiffré.
En raison des limitations du protocole TCP, RADSEC ne peut pas avoir plus de 255 messages RADIUS en transit.
Configurer la destination RADSEC
Les serveurs RADSEC sont représentés par des objets de destination RADSEC. Pour configurer RADSEC, vous devez définir le serveur RADSEC comme destination et diriger le trafic RADIUS vers cette destination.
Vous définissez le serveur RADSEC comme destination à l’aide de l’instruction radsec au niveau de la [edit access] hiérarchie. Les destinations RADSEC sont identifiées par un ID numérique unique. Vous pouvez configurer plusieurs destinations RADSEC avec des paramètres différents pointant vers le même serveur RADSEC.
Pour rediriger le trafic d’un serveur RADIUS standard vers un serveur RADSEC, associez le serveur RADIUS à une destination RADSEC. Par exemple, le serveur 10.1.1.1 RADIUS est associé à la destination 10RADSEC :
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
}
Vous pouvez également associer le serveur RADIUS à une destination RADSEC à l’intérieur d’un profil d’accès. Par exemple, le serveur RADIUS dans le 10.2.2.2 profil acc_profile est associé à la destination 10RADSEC :
access {
profile acc_profile {
secret zzz;
radsec-destination 10;
}
}
Vous pouvez rediriger plusieurs serveurs RADIUS vers la même destination RADSEC.
Pour configurer RADSEC :
Configurer les paramètres de connexion TLS
La connexion TLS assure le chiffrement, l’authentification et l’intégrité des données pour l’échange de messages RADIUS. TLS s’appuie sur des certificats et des paires d’échange de clés privées-publiques pour sécuriser la transmission des données entre le client et le serveur RADSEC. La destination RADSEC utilise des certificats locaux qui sont acquis dynamiquement à partir de l’infrastructure PKI Junos.
Pour activer RADSEC, vous devez spécifier le nom du certificat local. Pour plus d’informations sur la configuration du certificat local et de l’autorité de certification (CA), reportez-vous à la section Configuration des certificats numériques.
Exemple : Simple RADSEC Configuration
L’exemple suivant est une configuration RADSEC simple avec un serveur RADIUS et une destination RADSEC. Le trafic RADIUS est redirigé du serveur RADIUS 1 0.1.1.1 vers la destination RADSEC 10.
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
radsec {
destination 10 {
address 10.10.1.1;
max-tx-buffers 1000;
id-reuse-timeout 30;
port 1777;
source-address 10.1.1.2;
tls-certificate my_cert;
tls-min-version { v1.1 | v1.2 };
tls-peer-name x0.radsec.com
tls-timeout 10;
}
}
}
Surveillance des certificats
Pour afficher des informations sur l’état et les statistiques d’acquisition de certificats locaux : show network-access radsec local-certificate.
Surveillance des destinations RADSEC
Pour afficher les statistiques des destinations RADSEC : show network-access radsec statistics.
Pour afficher l’état des destinations RADSEC : show network-access radsec state.