RADIO sobre TLS (RADSEC)
Para utilizar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que se conectará. RADIUS sobre TLS está diseñado para proporcionar una comunicación segura de solicitudes RADIUS mediante el protocolo Transport Secure Layer (TLS). RADIUS sobre TLS, también conocido como RADSEC, redirige el tráfico RADIUS regular a servidores RADIUS remotos conectados a través de TLS. RADSec permite que los datos de autenticación, autorización y contabilidad de RADIUS se pasen de forma segura a través de redes que no son de confianza.
RADSEC utiliza TLS en combinación con el Protocolo de control de transmisión (TCP). Este perfil de transporte proporciona una seguridad más sólida que el protocolo de datagramas de usuario (UDP), que se utilizó originalmente para la transmisión RADIUS. RADIUS sobre UDP cifra la contraseña secreta compartida mediante el algoritmo MD5, que es vulnerable a los ataques. RADSEC mitiga el riesgo de ataques a MD5 mediante el intercambio de cargas de paquetes RADIUS a través de un túnel TLS cifrado.
Debido a las limitaciones del protocolo TCP, RADSEC no puede tener más de 255 mensajes RADIUS en vuelo.
Configurar el destino RADSEC
Los servidores RADSEC están representados por objetos de destino RADSEC. Para configurar RADSEC, debe definir el servidor RADSEC como destino y dirigir el tráfico RADIUS a ese destino.
El servidor RADSEC se define como destino mediante la instrucción en el nivel de jerarquía. radsec [edit access] Los destinos de RADSEC se identifican mediante un ID numérico único. Puede configurar varios destinos RADSEC con diferentes parámetros que apuntan al mismo servidor RADSEC.
Para redirigir el tráfico de un servidor RADIUS estándar a un servidor RADSEC, asocie el servidor RADIUS con un destino RADSEC. Por ejemplo, el servidor RADIUS está asociado con el destino RADSEC:10.1.1.110
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
}
También puede asociar el servidor RADIUS con un destino RADSEC dentro de un perfil de acceso. Por ejemplo, el servidor RADIUS en el perfil está asociado con el destino RADSEC:10.2.2.2acc_profile10
access {
profile acc_profile {
secret zzz;
radsec-destination 10;
}
}
Puede redirigir más de un servidor RADIUS al mismo destino RADSEC.
Para configurar RADSEC:
Configurar parámetros de conexión TLS
La conexión TLS proporciona cifrado, autenticación e integridad de datos para el intercambio de mensajes RADIUS. TLS se basa en certificados y pares de intercambio de claves privadas y públicas para proteger la transmisión de datos entre el cliente y el servidor de RADSEC. El destino RADSEC utiliza certificados locales que se adquieren dinámicamente desde la infraestructura PKI de Junos.
Para habilitar RADSEC, debe especificar el nombre del certificado local. Para obtener información sobre cómo configurar el certificado local y la autoridad de certificación (CA), consulte Configuración de certificados digitales.Configuring Digital Certificates
Ejemplo: Configuración simple de RADSEC
El siguiente ejemplo es una configuración RADSEC simple con un servidor RADIUS y un destino RADSEC. El tráfico RADIUS se redirige desde el servidor RADIUS 1 0.1.1.1 al destino RADSEC 10.
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
radsec {
destination 10 {
address 10.10.1.1;
max-tx-buffers 1000;
id-reuse-timeout 30;
port 1777;
source-address 10.1.1.2;
tls-certificate my_cert;
tls-min-version { v1.1 | v1.2 };
tls-peer-name x0.radsec.com
tls-timeout 10;
}
}
}
Certificados de seguimiento
Para ver información sobre el estado y las estadísticas de adquisición de certificados locales: show network-access radsec local-certificate.
Monitoreo de destinos RADSEC
Para ver estadísticas de los destinos de RADSEC: show network-access radsec statistics.
Para ver el estado de los destinos de RADSEC: show network-access radsec state.