Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

close
keyboard_arrow_left
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

RADIUS over TLS (RADSEC)

date_range 03-Aug-24

Para usar a autenticação 802.1X ou MAC RADIUS, você deve especificar as conexões no switch para cada servidor RADIUS ao qual você se conectará. O RADIUS over TLS foi projetado para fornecer comunicação segura de solicitações RADIUS usando o protocolo de Camada segura de transporte (TLS). O RADIUS over TLS, também conhecido como RADSEC, redireciona o tráfego RADIUS regular para servidores RADIUS remotos conectados no TLS. O RADSec permite que os dados de autenticação, autorização e contabilidade RADIUS sejam transmitidos com segurança por redes não confiáveis.

O RADSEC usa O TLS em combinação com o Protocolo de Controle de Transmissão (TCP). Esse perfil de transporte oferece segurança mais forte do que o Protocolo de Datagram do Usuário (UDP), que foi originalmente usado para transmissão RADIUS. O RADIUS over UDP criptografa a senha secreta compartilhada usando o algoritmo MD5, que é vulnerável a ataques. O RADSEC reduz o risco de ataques ao MD5 trocando cargas de pacotes RADIUS por um túnel TLS criptografado.

Nota:

Devido às limitações do protocolo TCP, o RADSEC não pode ter mais do que 255 mensagens RADIUS em voo.

Configure o destino RADSEC

Os servidores RADSEC são representados por objetos de destino RADSEC. Para configurar o RADSEC, você deve definir o servidor RADSEC como um destino e direcionar o tráfego RADIUS para esse destino.

Você define o servidor RADSEC como um destino usando a radsec declaração no nível de [edit access] hierarquia. Os destinos RADSEC são identificados por uma ID numérica única. Você pode configurar vários destinos RADSEC com diferentes parâmetros apontando para o mesmo servidor RADSEC.

Para redirecionar o tráfego de um servidor RADIUS padrão para um servidor RADSEC, associe o servidor RADIUS a um destino RADSEC. Por exemplo, o servidor 10.1.1.1 RADIUS está associado ao destino 10RADSEC:

content_copy zoom_out_map
access {
    radius-server 10.1.1.1 {
        secret zzz;
        radsec-destination 10;
    }
}

Você também pode associar o servidor RADIUS a um destino RADSEC dentro de um perfil de acesso. Por exemplo, o servidor 10.2.2.2 RADIUS no perfil acc_profile está associado ao destino 10RADSEC:

content_copy zoom_out_map
access {
    profile acc_profile {
        secret zzz;
        radsec-destination 10;
    }
}
Nota:

Você pode redirecionar mais de um servidor RADIUS para o mesmo destino RADSEC.

Para configurar o RADSEC:

  1. Configure o destino RADSEC com um ID exclusivo e um endereço IP.
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number address server-address
    
  2. Configure a porta do servidor RADSEC. Se nenhuma porta estiver configurada, a porta RADSEC padrão 2083 será usada.
    content_copy zoom_out_map
    [edit access radsec destination id-number]
    user@host# port port-number
    
  3. Redirecione o tráfego de um servidor RADIUS para o destino RADSEC:
    content_copy zoom_out_map
    [edit access]
    user@host# radius-server server-address radsec-destination id-number
    

Configure parâmetros de conexão TLS

A conexão TLS oferece criptografia, autenticação e integridade de dados para a troca de mensagens RADIUS. O TLS conta com certificados e pares de troca de chaves públicos privados para proteger a transmissão de dados entre o cliente RADSEC e o servidor. O destino RADSEC usa certificados locais que são adquiridos dinamicamente da infraestrutura PKI do Junos.

Para habilitar o RADSEC, você deve especificar o nome do certificado local. Para obter informações sobre a configuração do certificado local e da autoridade de certificado (CA), consulte Configuração de certificados digitais.

  1. Especifique o nome do certificado local a ser usado para comunicações TLS.
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number tls-certificate certificate-name
    
  2. Configure o nome certificado do servidor RADSEC.
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number tls-peer-name cert-server-name
    
  3. (Opcional) Configure o tempo limite de conexão TLS (padrão é de 5 segundos).
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number tls-timeout seconds
    

Exemplo: Configuração simples do RADSEC

O exemplo a seguir é uma configuração RADSEC simples com um servidor RADIUS e um destino RADSEC. O tráfego RADIUS é redirecionado do servidor RADIUS 10.1.1.1 para o destino RADSEC 10.

content_copy zoom_out_map
access {
    radius-server 10.1.1.1 {
        secret zzz;
        radsec-destination 10;
    }
    radsec {
        destination 10 {
            address 10.10.1.1;
            max-tx-buffers 1000; 
            id-reuse-timeout 30; 
            port 1777;
            source-address 10.1.1.2;
            tls-certificate my_cert;
            tls-min-version { v1.1 | v1.2 };
            tls-peer-name x0.radsec.com
            tls-timeout 10; 
        }
    }
}

Certificados de monitoramento

Para visualizar informações sobre o estado e estatísticas da aquisição de certificados locais: show network-access radsec local-certificate.

Monitoramento dos destinos RADSEC

Para ver estatísticas dos destinos RADSEC: show network-access radsec statistics.

Para ver o estado dos destinos RADSEC: show network-access radsec state.

external-footer-nav