我在 Cisco 路由器上设置了 RADIUS 身份验证,并将其指向 Windows NPS。现在我可以使用 AD 帐户通过 ssh 进入路由器了,YAY。
但是现在我已经让它工作了,我正在检查设置以确保一切安全。
在我的路由器上,配置非常简单:
aaa new-model
aaa group server radius WINDOWS_NPS
server-private 123.123.123.123 auth-port 1812 acct-port 1813 key mykey
aaa authentication login default local group WINDOWS_NPS
ip domain-name MyDom
crypto key generate rsa
(under vty and console)# login authentication default
在 Windows NPS 上:
- 我为路由器创建了一个新的 RADIUS 客户端。
- 创建了一个共享机密,并指定 Cisco 作为供应商名称。
- 根据我想要的条件创建了新的网络策略。
- 现在令我担心的是网络策略配置的一部分:
我读到思科只支持未加密的方法,但我认为在这里使用任何不使用证书的身份验证方法都是非常不安全的(甚至 MS-CHAP-v2 也被认为非常不安全)。
那么我的 AD 凭证是否以纯文本形式通过网络发送?
我的另一个问题是,如果黑客获取了我的 RADIUS 共享密钥,他们到底掌握了什么?如果共享密钥被泄露,我必须在所有路由器上生成一个新的密钥吗?
答案1
首先,我知道这已经有点过时了,但我希望能为后人清除记录。
您非常担心是正确的,但是思科和其他供应商似乎都不太愿意解决您发现的问题。使用 RADIUS(或 TACACS+)进行身份验证时,您的密码将使用您配置的共享密钥进行加密。请注意,共享密钥在配置中存储为类型 7,这意味着任何拥有配置的人都可以破解类型 7 并恢复密钥。将密钥插入 wireshark,您的所有密码和双因素 PIN 都会立即被破解。此外,RADIUS 和 TACACS+ 使用的加密基于 MD5 哈希,这被认为非常不安全,因此暴力破解秘密并非不可能。
此时,你能做的最好的事情就是确保你使用的密钥非常强。我建议使用类似https://www.random.org/passwords/并生成至少 12 个字符长的唯一密钥,这样应该可以保证暴力破解密钥变得不可能。
此外,确保只有受信任的个人才拥有配置并能够看到 RADIUS 或 TACACS+ 共享密钥。
第三,今年晚些时候,交换机 IOS 的新版本将支持一项名为“AAA 的安全可逆密码”的功能。目前,ISR 路由器的最新版本代码支持该功能,并且可以安全地加密密钥,从而消除部分漏洞。
最后,大声向思科和其他供应商抱怨这些问题。我推荐的解决方案是普遍支持 MSCHAPv2,它是可破解的(DES 等效),但仍然比明文好得多,并且支持真正的加密,要么在客户端使用现有的 PEAPv1-MSCHAPv2 和 PEAPv1-GTC 算法,要么创建 STACACS+(基于 SSL 的 TACACS),要么实施 DIAMETER。