Используя Windows NPS для маршрутизатора Cisco aaa аутентификация - действительно ли это безопасно?
Я устанавливаю аутентификацию RADIUS на маршрутизаторе Cisco и указал на него на Windows NPS. Теперь я могу ssh в маршрутизатор мой с AD учетной записью YAY.
Но теперь, когда я получил его работа, я пробегаюсь через настройки, чтобы удостовериться, что все безопасно.
На моем маршрутизаторе конфигурация довольно проста:
aaa new-model
aaa group server radius WINDOWS_NPS
server-private 123.123.123.123 auth-port 1812 acct-port 1813 key mykey
aaa authentication login default local group WINDOWS_NPS
ip domain-name MyDom
crypto key generate rsa
(under vty and console)# login authentication default
В Windows NPS:
- Я создал новый клиент RADIUS для маршрутизатора.
- Созданный общая секретная и указанная Cisco как Имя Поставщика.
- Созданный новая Сетевая политика с моими желаемыми условиями.
- И теперь часть Сетевой конфигурации политики, которая волнует меня:
Я читал, та Cisco только поддерживает незашифрованный метод, но я думал, что использование любого аутентифицирует метод здесь, который НЕ использует сертификаты, невероятно небезопасно (даже MS-CHAP-v2, как говорят, супер небезопасен).
Таким образом, мои AD учетные данные отправляют по проводу в простом тексте?
Мой другой вопрос состоит в том, что, если хакер добирается, мой RADIUS совместно использовал секрет, что они действительно имеют? Если общий секрет поставлен под угрозу, я должен генерировать новый на всех моих маршрутизаторах?
Во-первых, я знаю, что это старовато, но хочу очистить запись для потомков.
Вы правы, что ОЧЕНЬ обеспокоены, однако ни Cisco, ни какой-либо другой поставщик, похоже, не заинтересованы в устранении выявленных вами проблем. При использовании RADIUS (или TACACS +) для аутентификации ваш пароль шифруется с использованием настроенного вами общего ключа. Обратите внимание, что общий ключ хранится как тип 7 в конфигурации, что означает, что любой, у кого есть конфигурация, может взломать тип 7 и восстановить ключ. Подключите ключ к wirehark, и все ваши пароли и двухфакторные PINS будут мгновенно взломаны. Более того, шифрование, используемое RADIUS и TACACS +, основано на хэшах MD5, которые считаются очень небезопасными, поэтому не может быть и речи о грубом форсировании секрета.
На этом этапе лучшее, что вы можете сделать, это убедиться, что используемые вами ключи являются очень сильный. Я бы порекомендовал использовать что-то вроде https://www.random.org/passwords/ и сгенерировать уникальные ключи длиной не менее 12 символов, что ДОЛЖНО сделать невозможным перебор ключей.
Кроме того, убедитесь, что только доверенные лица имеют конфигурацию и могут видеть общий секрет RADIUS или TACACS +.
В-третьих, следите за появлением новых версий коммутатора IOS в конце этого года для поддержки функции под названием «Безопасные обратимые пароли для AAA». В настоящее время это поддерживается в очень позднем коде для маршрутизаторов ISR и надежно шифрует ключ, устраняя некоторые из этих уязвимостей.
Наконец, ГРОМКО жалуйтесь Cisco и другим поставщикам на эти проблемы. МОИ рекомендуемые решения - это универсальная поддержка MSCHAPv2, который является взламываемым (эквивалент DES), но все же намного лучше, чем чистый текст и поддержка РЕАЛЬНОГО шифрования, либо с использованием существующих алгоритмов PEAPv1-MSCHAPv2 и PEAPv1-GTC на стороне клиента, создание STACACS + ( TACACS через SSL) или реализация DIAMETER.