RADIUS sobre TLS (RADSEC)
Para usar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que se conecte. RADIUS sobre TLS está diseñado para proporcionar una comunicación segura de solicitudes RADIUS mediante el protocolo de capa segura de transporte (TLS). RADIUS sobre TLS, también conocido como RADSEC, redirige el tráfico radius regular a servidores RADIUS remotos conectados a través de TLS. RADSec permite que los datos de autenticación, autorización y contabilidad RADIUS se pasen de manera segura a través de redes que no son de confianza.
RADSEC usa TLS en combinación con el Protocolo de control de transmisión (TCP). Este perfil de transporte ofrece una seguridad más fuerte que el Protocolo de datagramas de usuario (UDP) que se utilizó originalmente para la transmisión RADIUS. RADIUS sobre UDP cifra la contraseña secreta compartida mediante el algoritmo MD5, que es vulnerable a los ataques. RADSEC mitiga el riesgo de ataques a MD5 mediante el intercambio de cargas de paquetes RADIUS a través de un túnel TLS cifrado.
Debido a las limitaciones del protocolo TCP, RADSEC no puede tener más de 255 mensajes RADIUS en vuelo.
Configurar el destino RADSEC
Los servidores RADSEC están representados por objetos de destino RADSEC. Para configurar RADSEC, debe definir el servidor RADSEC como destino y dirigir el tráfico RADIUS a ese destino.
El servidor RADSEC se define como un destino mediante la radsec
instrucción en el [edit access]
nivel jerárquico. Los destinos RADSEC se identifican mediante un ID numérico único. Puede configurar varios destinos RADSEC con diferentes parámetros que apuntan al mismo servidor RADSEC.
Para redirigir el tráfico de un servidor RADIUS estándar a un servidor RADSEC, asocie el servidor RADIUS con un destino RADSEC. Por ejemplo, el servidor 10.1.1.1
RADIUS está asociado con el destino 10
RADSEC:
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } }
También puede asociar el servidor RADIUS con un destino RADSEC dentro de un perfil de acceso. Por ejemplo, el servidor 10.2.2.2
RADIUS en el perfil acc_profile
está asociado con el destino 10
RADSEC:
access { profile acc_profile { secret zzz; radsec-destination 10; } }
Puede redirigir más de un servidor RADIUS al mismo destino RADSEC.
Para configurar RADSEC:
Configurar parámetros de conexión TLS
La conexión TLS proporciona cifrado, autenticación e integridad de datos para el intercambio de mensajes RADIUS. TLS se basa en certificados y pares de intercambio de claves públicas y privadas para proteger la transmisión de datos entre el cliente y el servidor RADSEC. El destino RADSEC usa certificados locales que se adquieren dinámicamente de la infraestructura PKI de Junos.
Para habilitar RADSEC, debe especificar el nombre del certificado local. Para obtener más información sobre cómo configurar el certificado local y la entidad de certificación (CA), consulte Configuración de certificados digitales.
Ejemplo: Configuración radSEC simple
El siguiente ejemplo es una configuración RADSEC simple con un servidor RADIUS y un destino RADSEC. El tráfico RADIUS se redirige del servidor RADIUS 10.1.1.1 al destino RADSEC 10.
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } radsec { destination 10 { address 10.10.1.1; max-tx-buffers 1000; id-reuse-timeout 30; port 1777; source-address 10.1.1.2; tls-certificate my_cert; tls-min-version { v1.1 | v1.2 }; tls-peer-name x0.radsec.com tls-timeout 10; } } }
Certificados de supervisión
Para ver información sobre el estado y las estadísticas de la adquisición local de certificados: show network-access radsec local-certificate.
Monitoreo de destinos de RADSEC
Para ver las estadísticas de los destinos radsec: show network-access radsec statistics.
Para ver el estado de los destinos RADSEC: show network-access radsec state.