Protokol připojení

Protokolem připojení je myšlen protokol pro spojení RADIUSu instituce s národním RADIUSem.

RADIUS

RADIUS k přenosu paketů používá UDP protokol, kde šifruje pouze atributy User-Password a Message-Authenticator, přičemž zbylé atributy nechává čitelné. Proto je třeba celý provoz zabezpečit ještě pomocí RadSec, nebo IPsec.

RadSec

Používáte-li Linux, BSD doporučujeme použít RadSec protokol, který je součástí Radiatoru i FreeRADIUSu v3. Pokud chcete použít implementaci RADIUSu, který nepodporuje RadSec protokol, tak lze použít radsecproxy, která bude vaši komunikaci RADIUSu zabezpečovat pomocí RadSec protokolu.

Spojení s národními RADIUSy

Pro správné nastavení komunikace pomocí protokolu RadSec je nutné minimálně následující spojení:

  • IdP+SP: Váš RADIUS musí mít navázané spojení směrem ze všech tří národních RADIUSů a z vašeho RADIUSu musí být navázáno minimálně jedno spojení.
  • SP: Váš RADIUS musí mít navázané alespoň jedno spojení směrem k národnímu RADIUSu. (ale nakonfigurované na všechny národní RADIUSy)
  • IdP: Váš RADIUS musí mít navázané spojení směrem ze všech tří národních RADIUSů.

IPsec

Pokud budete provozovat RADIUS server na operačním systému Microsoft Windows Server, je nutné komunikaci za účelem ochrany uživatelských údajů chránit pomocí IPsec. K dispozici je detailní návod pro MS Windows Server 2019 (odpovídá i verzím 2012 a 2016).

Připojení pomocí IPsec je možné i pro ty instituce, které provozují RADIUS server na jiném operačním systému. Pro konfiguraci IPsec mohou využít například strongSwan - návrh konfigurace. V tomto scénáři ale doporučujeme použití RadSec, který je podstatně snazší na implementaci.

Spojení s národními RADIUSy

Pro správné nastavení komunikace pomocí protokolu IPsec je nutné mít navázané spojení se všemi národními RADIUSy.

Nastavení FW

  • povolit UDP/500
  • povolit protokol ESP (pro RADIUS server na veřejné adrese) nebo UDP/4500 (pro RADIUS server za NATem)
  • povolit ICMP echo request

Parametry IPsec

IPsec je používán v transportním režimu za použití ESP, nebo UDP/4500 v případě použití NAT-T, AH se nepoužívá.

  • Fáze 1
    • Šifrovací algoritmus: AES256
    • Hash algoritmus: SHA256
    • Diffie-Hellman group: 20 (ecp384)
    • Doba platnosti: 24 hodin
  • Fáze 2
    • Šifrovací algoritmus: AES256
    • Autentikační algoritmus: SHA256
    • Doba platnosti: 4 hodiny

Od obou dob platnosti náš strongSwan odečte náhodně maximálně 10% hodnoty a po této době vynutí patřičné kroky.

Certifikáty

Pro komunikaci národního RADIUSu s RADIUSem instituce je zapotřebí certifikát od uznávané CA (certifikační autority).

RADIUS organizace může používat certifikát od certifikačních autorit uvedených v návodu.