Назад | Перейти на главную страницу

Использование Windows NPS для аутентификации маршрутизатора Cisco aaa - это безопасно?

Я настроил аутентификацию RADIUS на маршрутизаторе Cisco и указал на NPS Windows. Теперь я могу подключиться к маршрутизатору по ssh с учетной записью AD YAY.

Но теперь, когда у меня все заработало, я просматриваю настройки, чтобы убедиться, что все в безопасности.

На моем роутере конфигурация довольно проста:

aaa new-model
aaa group server radius WINDOWS_NPS
server-private 123.123.123.123 auth-port 1812 acct-port 1813 key mykey
aaa authentication login default local group WINDOWS_NPS

ip domain-name MyDom
crypto key generate rsa

(under vty and console)# login authentication default

В Windows NPS:

Я читал, что Cisco поддерживает только незашифрованный метод, но я подумал, что использование здесь любого метода аутентификации, который НЕ использует сертификаты, невероятно небезопасно (даже MS-CHAP-v2 считается сверх небезопасным).

Итак, мои учетные данные AD пересылаются по сети в виде обычного текста?

Другой вопрос: если хакер получит мой общий секрет RADIUS, что у него на самом деле? Если общий секрет будет скомпрометирован, должен ли я создать новый на всех моих маршрутизаторах?

Во-первых, я знаю, что это старовато, но хочу очистить рекорд для потомков.

Вы правы, что ОЧЕНЬ обеспокоены, однако ни Cisco, ни другие продавцы не заинтересованы в устранении выявленных вами проблем. При использовании RADIUS (или TACACS +) для аутентификации ваш пароль шифруется с использованием настроенного вами общего ключа. Обратите внимание, что общий ключ хранится в конфигурации как тип 7, что означает, что любой, у кого есть конфигурация, может взломать тип 7 ​​и восстановить ключ. Подключите ключ к wirehark, и все ваши пароли и двухфакторные PINS будут мгновенно взломаны. Кроме того, шифрование, используемое RADIUS и TACACS +, основано на хэшах MD5, которые считаются очень небезопасными, поэтому не может быть и речи о грубом форсировании секрета.

На этом этапе лучшее, что вы можете сделать, - это убедиться, что используемые вами ключи очень надежны. Я бы рекомендовал использовать что-то вроде https://www.random.org/passwords/ и генерировать уникальные ключи длиной не менее 12 символов, что ДОЛЖНО сделать невозможным перебор ключей.

Кроме того, убедитесь, что только доверенные лица имеют конфигурацию и могут видеть общий секрет RADIUS или TACACS +.

В-третьих, следите за появлением в конце этого года новых версий iOS, поддерживающих функцию под названием «Безопасные обратимые пароли для AAA». В настоящее время это поддерживается в очень позднем коде для маршрутизаторов ISR и надежно шифрует ключ, устраняя некоторые из этих уязвимостей.

Наконец, ГРОМКО пожаловаться Cisco и другим поставщикам на эти проблемы. Мои рекомендуемые решения - это универсальная поддержка MSCHAPv2, которая является взламываемой (эквивалент DES), но все же намного лучше, чем чистый текст и поддержка РЕАЛЬНОГО шифрования, либо с использованием существующих алгоритмов PEAPv1-MSCHAPv2 и PEAPv1-GTC на стороне клиента, создание STACACS + ( TACACS через SSL) или реализация DIAMETER.