RADIUS over TLS (レーダー SEC)
RADIUS over TLS は、トランスポート Secure Layer (TLS) プロトコルを使用した RADIUS 要求の安全な通信を提供するように設計されています。RADIUS over TLS (航空 SEC とも呼ばれる) は、TLS を介して接続されたリモート RADIUS サーバーに対して、通常の RADIUS トラフィックをリダイレクトします。レーダー Sec は、信頼されていないネットワーク全体で、RADIUS 認証、許可、アカウンティングデータを安全に渡せるようにします。
通信制御プロトコル (TCP) と組み合わせて TLS を使用します。このトランスポートプロファイルは、もともと RADIUS 伝送に使用されていたユーザーデータグラムプロトコル (UDP) よりも強力なセキュリティを提供します。RADIUS UDP 経由の共有シークレットパスワードは、攻撃に対して脆弱な MD5 アルゴリズムを使用して暗号化されます。通信 SEC は、暗号化された TLS トンネルを介して RADIUS パケットペイロードを交換することで、MD5 への攻撃のリスクを軽減します。
TCP プロトコルの制約により、レーダー SEC は、飛行中に 255 RADIUS メッセージを超えることはできません。
レーダー SEC の宛先を構成します。
レーダー SEC サーバーは、レーダー SEC の宛先オブジェクトによって表されています。レーダー SEC を構成するには、送信先としての航空 SEC サーバーを定義し、その宛先へのダイレクト RADIUS トラフィックを送信する必要があります。
階層レベルのradsec[edit access]ステートメントを使用して、rad sec サーバーを宛先として定義します。レーダー SEC の宛先は、ユニークな数値 ID によって識別されます。複数のパラメーターを使用して、同じのの通信 SEC サーバーをポイントするよう設定できます。
標準の RADIUS サーバーから、レーダー SEC サーバーへのトラフィックをリダイレクトするには、RADIUS サーバーをレーダー SEC の宛先に関連付けます。たとえば、RADIUS サーバー 1.1.1.1は、レーダー sec の宛先10に関連付けられています。
access {
radius-server 1.1.1.1 {
secret zzz;
radsec-destination 10;
}
}
また、RADIUS サーバーを、アクセスプロファイル内のレーダー SEC 宛先に関連付けることもできます。たとえば、プロファイル2.2.2.2acc_profile内の RADIUS サーバーは、レーダー sec の宛先10に関連付けられています。
access {
profile acc_profile {
secret zzz;
radsec-destination 10;
}
}
2台以上の RADIUS サーバーを同じレーダー SEC 宛先にリダイレクトできます。
レーダー SEC を構成するには
TLS 接続パラメーターの設定
TLS 接続は、RADIUS メッセージの交換に対して、暗号化、認証、およびデータの整合性を提供します。TLS は、証明書とプライベート/パブリックキー交換ペアに依存して、通信のクライアントとサーバー間のデータ伝送を保護します。レーダー SEC の宛先は、Junos PKI インフラストラクチャから動的に取得されるローカル証明書を使用しています。
レーダー SEC を有効にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書と認証機関 (CA) の設定の詳細については、デジタル証明書の設定を参照してください。
例:シンプルなレーダー SEC の構成
次の例は、1台の RADIUS サーバーと、各レーダー SEC の宛先を使用したシンプルなレーダー SEC 構成を示しています。RADIUS トラフィックは、RADIUS のサーバー1.1.1.1 から、レーダー SEC の宛先10にリダイレクトされます。
access {
radius-server 1.1.1.1 {
secret zzz;
radsec-destination 10;
}
radsec {
destination 10 {
address 10.1.1.1;
max-tx-buffers 1000;
id-reuse-timeout 30;
port 1777;
source-address 1.1.1.2;
tls-certificate my_cert;
tls-force-ciphers { medium | low };
tls-min-version { v1.1 | v1.2 };
tls-peer-name x0.radsec.com
tls-timeout 10;
}
}
}
証明書の監視
ローカル証明書取得の状態と統計情報を表示するには、次のようにします。show network-access radsec local-certificate。
レーダー SEC の宛先の監視
レーダー SEC 宛先の統計情報を表示するには、次のようにします。show network-access radsec statistics。
レーダー SEC の宛先の状態を表示するには、以下のようにします。show network-access radsec state。