Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS a través de TLS (RADSEC)

RADIUS a través de TLS está diseñada para proporcionar comunicación segura de las solicitudes de RADIUS utilizando el protocolo capa de seguridad de transporte (TLS). RADIUS a través de TLS, también conocida como RADSEC, redirige el tráfico de RADIUS regular a servidores RADIUS remotos conectados a través de TLS. RADSec permite que los datos de autenticación, autorización y cuentas de RADIUS se pasen de forma segura a través de redes que no son de confianza.

RADSEC utiliza TLS en combinación con el protocolo de control de transmisión (TCP). Este perfil de transporte ofrece una seguridad más segura que el protocolo de datagramas de usuario (UDP) que se utilizó originalmente para RADIUS la transmisión. RADIUS a través de UDP cifra la contraseña secreta compartida utilizando el algoritmo MD5, que es vulnerable a los ataques. RADSEC mitiga el riesgo de ataques en MD5 mediante el intercambio de RADIUS cargas de paquetes a través de un túnel TLS cifrado.

Nota:

Debido a las limitaciones del protocolo TCP, RADSEC no puede tener más de 255 mensajes de RADIUS en vuelo.

Configure el destino RADSEC

Los servidores RADSEC se representan mediante RADSEC objetos de destino. Para configurar RADSEC, debe definir el servidor RADSEC como destino y dirigir RADIUS tráfico hacia ese destino.

El servidor RADSEC se define como un destino utilizando la radsec instrucción en el [edit access] nivel de jerarquía. Los destinos RADSEC se identifican con un ID numérico único. Puede configurar varios destinos de RADSEC con parámetros distintos que apunten al mismo servidor RADSEC.

Para redirigir el tráfico de un servidor RADIUS estándar a un servidor de RADSEC, asocie el servidor RADIUS con un destino RADSEC. Por ejemplo, el servidor 1.1.1.1 RADIUS está asociado con RADSEC destino 10:

También puede asociar el servidor RADIUS con un destino RADSEC dentro de un perfil de acceso. Por ejemplo, RADIUS servidor 2.2.2.2 en el acc_profile perfil está asociado con RADSEC 10destino:

Nota:

Puede redirigir más de un RADIUS servidor al mismo destino RADSEC.

Para configurar RADSEC:

  1. Configure el destino RADSEC con un ID. único y una dirección IP.
  2. Configure el puerto del servidor RADSEC. Si no hay ningún puerto configurado, se utilizará el puerto RADSEC predeterminado 2083.
  3. Redirigir el tráfico desde un servidor RADIUS al destino RADSEC:

Configurar parámetros de conexión TLS

La conexión TLS proporciona cifrado, autenticación e integridad de datos para el intercambio de mensajes de RADIUS. TLS se basa en certificados y pares de intercambio de claves públicas-privadas para proteger la transmisión de datos entre el cliente RADSEC y el servidor. El destino RADSEC utiliza certificados locales que se adquieren dinámicamente de la infraestructura PKI Junos.

Para habilitar RADSEC, debe especificar el nombre del certificado local. Para obtener información acerca de cómo configurar el certificado local y la entidad emisora de certificados (CA), consulte Configuring digitalCertificates.

  1. Especifique el nombre del certificado local que se va a usar para las comunicaciones TLS.
  2. Configure el nombre certificado del servidor RADSEC.
  3. Adicional Configure el tiempo de espera de conexión TLS (el valor predeterminado es 5 segundos).

Ejemplo Configuración RADSEC sencilla

El siguiente ejemplo es una configuración sencilla de RADSEC con un servidor RADIUS y un único destino RADSEC. El tráfico de RADIUS se redirige desde RADIUS el servidor de pág. hasta RADSEC destino 10.

Supervisión de certificados

Para ver información sobre el estado y las estadísticas de la adquisición de certificado local: show network-access radsec local-certificate.

Supervisión de destinos de RADSEC

Para ver estadísticas para los destinos RADSEC: show network-access radsec statistics.

Para ver el estado de los destinos RADSEC: show network-access radsec state.