web-dev-qa-db-ja.com

CiscoルーターのAAA認証にWindowsNPSを使用する-これは安全ですか?

CiscoルーターでRADIUS認証を設定し、Windows NPSをポイントしました。これで、ADアカウントYAYを使用してルーターにSSH接続できます。

しかし、動作するようになったので、すべてが安全であることを確認するために設定を確認します。

私のルーターでは、設定は非常に簡単です。

aaa new-model
aaa group server radius WINDOWS_NPS
server-private 123.123.123.123 auth-port 1812 acct-port 1813 key mykey
aaa authentication login default local group WINDOWS_NPS

ip domain-name MyDom
crypto key generate rsa

(under vty and console)# login authentication default

Windows NPSの場合:

  • ルーター用に新しいRADIUSクライアントを作成しました。
  • 共有シークレットを作成し、ベンダー名としてCiscoを指定しました。
  • 希望する条件で新しいネットワークポリシーを作成しました。
  • そして今、私を心配しているネットワークポリシー設定の一部:

enter image description here

Ciscoは暗号化されていない方法のみをサポートしていると読みましたが、ここで証明書を使用しない認証方法を使用することは非常に安全ではないと思いました(MS-CHAP-v2でさえ非常に安全でないと言われています)。

それで、私のAD資格情報はプレーンテキストでネットワーク経由で送信されていますか?

私の他の質問は、ハッカーが私のRADIUS共有秘密を取得した場合、実際には何を持っているのですか?共有秘密が危険にさらされた場合、すべてのルーターで新しい秘密を生成する必要がありますか?

2
red888

まず、これは古いものだと知っていますが、後世のために記録をクリアしたいと思います。

あなたは非常に心配する権利がありますが、シスコも他のベンダーもあなたが特定した問題の修正に興味を持っているようには見えません。認証にRADIUS(またはTACACS +))を使用する場合、パスワードは構成した共有キーを使用して暗号化されます。共有キーは構成にタイプ7として保存されるため、構成を持っている人は誰でもタイプ7を解読し、キーを回復します。キーをwiresharkに接続すると、すべてのパスワードと2要素PINSが即座に壊れます。さらに、RADIUSおよびTACACS +で使用される暗号化はMD5ハッシュに基づいていますこれらは非常に安全でないと考えられているため、野蛮な秘密の強制は問題外ではありません。

この時点でできる最善のことは、使用するキーが非常に強力であることを確認することです。 https://www.random.org/passwords/ のようなものを使用し、少なくとも12文字の長さの一意のキーを生成することをお勧めします。これにより、ブルートフォースキーが不可能になるはずです。

また、信頼できる個人のみが設定を持ち、RADIUSまたはTACACS +共有シークレットを表示できることを確認してください。

第三に、スイッチの新しいバージョンを監視しますIOS「AAAのセキュアリバーシブルパスワード」と呼ばれる機能をサポートします。これは現在、ISRルーターの非常に遅いコードでサポートされており、キーを安全に暗号化します。 、その脆弱性の一部を排除します。

最後に、これらの問題についてシスコや他のベンダーに大声で文句を言ってください。私が推奨するソリューションは、MSCHAPv2のユニバーサルサポートです。これはISブレーク可能(DESと同等)ですが、既存のPEAPv1-MSCHAPv2およびPEAPv1-GTCアルゴリズムを使用することにより、クリアテキストよりもはるかに優れており、REAL暗号化をサポートします。クライアント側では、STACACS +(TACACS over SSL)の作成またはDIAMETERの実装。

1
Nathan Spitzer