RADIUS over TLS(RADSEC)
802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。RADIUS over TLS は、トランスポート セキュア レイヤー(TLS)プロトコルを使用して、RADIUS 要求のセキュアな通信を提供するように設計されています。RADIUS over TLS は RADSEC とも呼ばれ、通常の RADIUS トラフィックを TLS 経由で接続されたリモート RADIUS サーバーにリダイレクトします。RADSec を使用すると、RADIUS 認証、認証、およびアカウンティング データを、信頼できないネットワーク間で安全に渡すことができます。
RADSEC は、伝送制御プロトコル (TCP) と組み合わせて TLS を使用します。このトランスポートプロファイルは、もともとRADIUS伝送に使用されていたユーザーデータグラムプロトコル(UDP)よりも強力なセキュリティを提供します。RADIUS over UDP は、攻撃に対して脆弱な MD5 アルゴリズムを使用して共有秘密パスワードを暗号化します。RADSEC は、暗号化された TLS トンネル上で RADIUS パケット ペイロードを交換することで、MD5 への攻撃のリスクを軽減します。
TCP プロトコルの制限により、RADSEC は転送中の RADIUS メッセージを 255 個までに制限できます。
RADSEC 宛先の設定
RADSEC サーバーは、RADSEC 宛先オブジェクトによって表されます。RADSEC を設定するには、RADSEC サーバーを宛先として定義し、RADIUS トラフィックをその宛先に転送する必要があります。
RADSEC サーバーを宛先として定義するには、 階層レベルの ステートメントを使用します。 radsec [edit access] RADSEC 宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバを指す異なるパラメータで、複数の RADSEC 宛先を設定できます。
標準のRADIUSサーバーからRADSECサーバーにトラフィックをリダイレクトするには、RADIUSサーバーをRADSEC宛先に関連付けます。たとえば、RADIUS サーバ は RADSEC 宛先 に関連付けられています。10.1.1.110
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
}
また、RADIUS サーバーをアクセス プロファイル内の RADSEC 宛先に関連付けることもできます。たとえば、プロファイル内のRADIUSサーバーはRADSEC宛先に関連付けられています。10.2.2.2acc_profile10
access {
profile acc_profile {
secret zzz;
radsec-destination 10;
}
}
複数のRADIUSサーバーを同じRADSEC宛先にリダイレクトできます。
RADSECを設定するには、次の手順に従います。
TLS 接続パラメータの設定
TLS接続は、RADIUSメッセージの交換のための暗号化、認証、およびデータ整合性を提供します。TLS は、証明書と秘密キーと公開キーの交換ペアに依存して、RADSEC クライアントとサーバー間のデータ転送をセキュリティで保護します。RADSEC デスティネーションは、Junos PKI インフラストラクチャーから動的に取得されたローカル証明書を使用します。
RADSEC を使用可能にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書および認証局(CA)の設定については、 デジタル証明書の設定を参照してください。Configuring Digital Certificates
例:シンプルな RADSEC 構成
次の例は、1 つの RADIUS サーバーと 1 つの RADSEC 宛先を持つ単純な RADSEC 設定です。RADIUS トラフィックは、RADIUS サーバー 1 0.1.1.1 から RADSEC 宛先 10 にリダイレクトされます。
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
radsec {
destination 10 {
address 10.10.1.1;
max-tx-buffers 1000;
id-reuse-timeout 30;
port 1777;
source-address 10.1.1.2;
tls-certificate my_cert;
tls-min-version { v1.1 | v1.2 };
tls-peer-name x0.radsec.com
tls-timeout 10;
}
}
}
監視証明書
ローカル証明書取得の状態と統計に関する情報を表示するには:show network-access radsec local-certificate.
RADSEC 宛先の監視
RADSEC 宛先の統計情報を表示するには、次の手順を実行します。show network-access radsec statistics.
RADSEC 宛先の状態を表示するには、次の手順を実行します。show network-access radsec state.