RADIUS over TLS(RADSEC)
802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。RADIUS over TLS は、トランスポート セキュア レイヤー(TLS)プロトコルを使用して、RADIUS 要求のセキュアな通信を提供するように設計されています。RADIUS over TLS は RADSEC とも呼ばれ、通常の RADIUS トラフィックを TLS 経由で接続されたリモート RADIUS サーバーにリダイレクトします。RADSec を使用すると、RADIUS 認証、認証、およびアカウンティング データを、信頼できないネットワーク間で安全に渡すことができます。
RADSEC は、伝送制御プロトコル (TCP) と組み合わせて TLS を使用します。このトランスポートプロファイルは、もともとRADIUS伝送に使用されていたユーザーデータグラムプロトコル(UDP)よりも強力なセキュリティを提供します。RADIUS over UDP は、攻撃に対して脆弱な MD5 アルゴリズムを使用して共有秘密パスワードを暗号化します。RADSEC は、暗号化された TLS トンネル上で RADIUS パケット ペイロードを交換することで、MD5 への攻撃のリスクを軽減します。
TCP プロトコルの制限により、RADSEC は転送中の RADIUS メッセージを 255 個までに制限できます。
RADSEC 宛先の設定
RADSEC サーバーは、RADSEC 宛先オブジェクトによって表されます。RADSEC を設定するには、RADSEC サーバーを宛先として定義し、RADIUS トラフィックをその宛先に転送する必要があります。
RADSEC サーバーを宛先として定義するには、[edit access]階層レベルで radsec ステートメントを使用します。RADSEC 宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバを指す異なるパラメータで、複数の RADSEC 宛先を設定できます。
標準のRADIUSサーバーからRADSECサーバーにトラフィックをリダイレクトするには、RADIUSサーバーをRADSEC宛先に関連付けます。たとえば、RADIUS サーバー 10.1.1.1 は、RADSEC 宛先 10に関連付けられています。
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
}
また、RADIUS サーバーをアクセス プロファイル内の RADSEC 宛先に関連付けることもできます。たとえば、プロファイル acc_profileの RADIUS サーバー 10.2.2.2は、RADSEC 宛先10に関連付けられます。
access {
profile acc_profile {
secret zzz;
radsec-destination 10;
}
}
複数のRADIUSサーバーを同じRADSEC宛先にリダイレクトできます。
RADSECを設定するには、次の手順に従います。
TLS 接続パラメータの設定
TLS接続は、RADIUSメッセージの交換のための暗号化、認証、およびデータ整合性を提供します。TLS は、証明書と秘密キーと公開キーの交換ペアに依存して、RADSEC クライアントとサーバー間のデータ転送をセキュリティで保護します。RADSEC デスティネーションは、Junos PKI インフラストラクチャーから動的に取得されたローカル証明書を使用します。
RADSEC を使用可能にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書および認証局(CA)の設定については、 デジタル証明書の設定を参照してください。
例:シンプルな RADSEC 構成
次の例は、1 つの RADIUS サーバーと 1 つの RADSEC 宛先を持つ単純な RADSEC 設定です。RADIUSトラフィックは、RADIUSサーバー10.1.1.1からRADSEC宛先10にリダイレクトされます。
access {
radius-server 10.1.1.1 {
secret zzz;
radsec-destination 10;
}
radsec {
destination 10 {
address 10.10.1.1;
max-tx-buffers 1000;
id-reuse-timeout 30;
port 1777;
source-address 10.1.1.2;
tls-certificate my_cert;
tls-min-version { v1.1 | v1.2 };
tls-peer-name x0.radsec.com
tls-timeout 10;
}
}
}
監視証明書
ローカル証明書取得の状態と統計に関する情報を表示するには:show network-access radsec local-certificate.
RADSEC 宛先の監視
RADSEC 宛先の統計情報を表示するには、次の手順を実行します。show network-access radsec statistics.
RADSEC 宛先の状態を表示するには、次の手順を実行します。show network-access radsec state.