База знаний FAM/MFA+ : 7.6. Настройка разделяемых секретов RADIUS

Общие сведения

Разделяемый секрет RADIUS - это ключ, используемый для аутентификации и шифрования между RADIUS-сервером и RADIUS-клиентом .

Пароль хранится в виде хэш-значения в таблицах RADIUS Proxy и RADIUS-сервера. Когда клиент отправляет запрос на аутентификацию, он включает общий секрет в запрос в зашифрованном виде, используя алгоритм хэширования, который был предварительно согласован между клиентом и сервером. Сервер использует тот же алгоритм для расшифровки и проверки общего секрета. Если секреты совпадают, сервер авторизует клиента. Если они не совпадают, сервер отклоняет запрос. Таблицы хранения общего секрета используются для безопасного хранения паролей и обеспечения аутентификации клиентов в протоколе RADIUS.

Целью использования разделяемого секрета является обеспечение безопасности и защиты локальной сети от несанкционированного доступа.

Настройка разделяемого секрета RADIUS

Настройки разделяемого секрета производятся в административной консоли системы Avanpost FAM для приложений типа RADIUS ( Рисунок ).


Рисунок – Обозначение RADIUS-приложения в списке приложений

  1. Для определения общего секрета между клиентом и сервером по протоколу RADIUS с помощью IP-адреса запроса в настройках нужного RADIUS-приложения установить флажок "IP адрес как идентификатор" [1].
  2. Установить адрес сервера сетевого доступа (NAS IP), если он не определен [2].
  3. Перейти в раздел "Разделяемые секреты RADIUS" [3], создать н овый разделяемый секрет клиента RADIUS и выполнить настройки ( Рисунок ) в соответствии с Таблицей .

Рисунок – Окно настройки RADIUS-приложения


Рисунок – Окно настройки разделяемого секрета RADIUS


Таблица – Описание настроек атрибутов разделяемого секрета RADIUS

Атрибут

Настройка
Имя клиента Ввести имя клиента.
Диапазон адресов

Определить диапазон IP-адресов по типу:

10.10.17.108/32,

где 10.10.17.108 – адрес NAS, а /32 – маска подсети, используемая для определения границ диапазона IP-адресов.

Смена общего секрета Задать секретный ключ (см. Общие требования к разделяемому секрету )


Общие требования к разделяемому секрету:

  • Длина: Рекомендуется использовать длинный секретный ключ, состоящий как минимум из 22 символов.

    Максимальное количество символов в распределяемом секрете RADIUS зависит от конкретной реализации RADIUS-сервера и клиентских устройств.

  • Сложность: Рекомендуется использовать сочетание букв верхнего и нижнего регистров, цифр и специальных символов.
  • Надежность: Секретный ключ должен быть известен только тем устройствам, которые используют его для аутентификации. Разделяемый секрет должен периодически обновляться для предотвращения возможных утечек.