Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS over TLS (レーダー SEC)

RADIUS over TLS は、トランスポート Secure Layer (TLS) プロトコルを使用した RADIUS 要求の安全な通信を提供するように設計されています。RADIUS over TLS (航空 SEC とも呼ばれる) は、TLS を介して接続されたリモート RADIUS サーバーに対して、通常の RADIUS トラフィックをリダイレクトします。レーダー Sec は、信頼されていないネットワーク全体で、RADIUS 認証、許可、アカウンティングデータを安全に渡せるようにします。

通信制御プロトコル (TCP) と組み合わせて TLS を使用します。このトランスポートプロファイルは、もともと RADIUS 伝送に使用されていたユーザーデータグラムプロトコル (UDP) よりも強力なセキュリティを提供します。RADIUS UDP 経由の共有シークレットパスワードは、攻撃に対して脆弱な MD5 アルゴリズムを使用して暗号化されます。通信 SEC は、暗号化された TLS トンネルを介して RADIUS パケットペイロードを交換することで、MD5 への攻撃のリスクを軽減します。

注:

TCP プロトコルの制約により、レーダー SEC は、飛行中に 255 RADIUS メッセージを超えることはできません。

レーダー SEC の宛先を構成します。

レーダー SEC サーバーは、レーダー SEC の宛先オブジェクトによって表されています。レーダー SEC を構成するには、送信先としての航空 SEC サーバーを定義し、その宛先へのダイレクト RADIUS トラフィックを送信する必要があります。

階層レベルのradsec[edit access]ステートメントを使用して、rad sec サーバーを宛先として定義します。レーダー SEC の宛先は、ユニークな数値 ID によって識別されます。複数のパラメーターを使用して、同じのの通信 SEC サーバーをポイントするよう設定できます。

標準の RADIUS サーバーから、レーダー SEC サーバーへのトラフィックをリダイレクトするには、RADIUS サーバーをレーダー SEC の宛先に関連付けます。たとえば、RADIUS サーバー 1.1.1.1は、レーダー sec の宛先10に関連付けられています。

また、RADIUS サーバーを、アクセスプロファイル内のレーダー SEC 宛先に関連付けることもできます。たとえば、プロファイル2.2.2.2acc_profile内の RADIUS サーバーは、レーダー sec の宛先10に関連付けられています。

注:

2台以上の RADIUS サーバーを同じレーダー SEC 宛先にリダイレクトできます。

レーダー SEC を構成するには

  1. 独自の ID と IP アドレスを使用して、レーダー SEC 宛先を設定します。
  2. レーダー SEC サーバーのポートを構成します。ポートが設定されていない場合は、デフォルトのレーダー SEC ポート2083が使用されます。
  3. RADIUS サーバーからのトラフィックを、レーダー SEC の宛先にリダイレクトします。

TLS 接続パラメーターの設定

TLS 接続は、RADIUS メッセージの交換に対して、暗号化、認証、およびデータの整合性を提供します。TLS は、証明書とプライベート/パブリックキー交換ペアに依存して、通信のクライアントとサーバー間のデータ伝送を保護します。レーダー SEC の宛先は、Junos PKI インフラストラクチャから動的に取得されるローカル証明書を使用しています。

レーダー SEC を有効にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書と認証機関 (CA) の設定の詳細については、デジタル証明書の設定を参照してください。

  1. TLS 通信に使用するローカル証明書の名前を指定します。
  2. の認定資格を持つサーバーの認証された名前を構成します。
  3. ナTLS 接続タイムアウトを設定します (デフォルトは5秒)。

例:シンプルなレーダー SEC の構成

次の例は、1台の RADIUS サーバーと、各レーダー SEC の宛先を使用したシンプルなレーダー SEC 構成を示しています。RADIUS トラフィックは、RADIUS のサーバー1.1.1.1 から、レーダー SEC の宛先10にリダイレクトされます。

証明書の監視

ローカル証明書取得の状態と統計情報を表示するには、次のようにします。show network-access radsec local-certificate

レーダー SEC の宛先の監視

レーダー SEC 宛先の統計情報を表示するには、次のようにします。show network-access radsec statistics

レーダー SEC の宛先の状態を表示するには、以下のようにします。show network-access radsec state