المقدمة
يصف هذا وثيقة الإجراء أن يشكل RADIUS مفتاح التفاف في cisco ISE و cisco مفتاح.
المتطلبات الأساسية
- معرفة dot1x
- معرفة بروتوكول RADIUS
- معرفة EAP
المكونات المستخدمة
- ISE 3.2
- Cisco C9300-24U مع برنامج نسخة 17.09.04a
- كمبيوتر Windows 10
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
التفاف المفتاح هو تقنية يتم فيها تشفير قيمة مفتاح واحدة باستخدام مفتاح آخر. ويتم إستخدام نفس الآلية في RADIUS لتشفير المواد الأساسية. عادة ما يتم إنتاج هذه المواد كمنتج ثانوي لمصادقة بروتوكول المصادقة المتوسع (EAP) وإرجاعها في رسالة قبول الوصول بعد مصادقة ناجحة. تكون هذه الميزة إلزامية إذا كان ISE قيد التشغيل في وضع FIPS.
يوفر ذلك طبقة حماية تعمل على عزل المواد الأساسية الفعلية للحماية من الهجمات المحتملة. وتصبح المواد الأساسية أساسا غير متاحة عمليا للجهات الفاعلة التي تشكل تهديدا، حتى في حالات اعتراض البيانات. والهدف الرئيسي من تغليف المفاتيح في نظام RADIUS هو منع تعرض المواد الأساسية التي تؤمن المحتوى الرقمي، ولا سيما في شبكة واسعة النطاق على مستوى المؤسسات.
في ISE، يستخدم مفتاح تشفير المفاتيح لتشفير المواد الأساسية باستخدام تشفير AES ومفتاح رمز مصدق الرسائل المفصول عن المفتاح السري المشترك RADIUS من أجل إنشاء رمز مصدق الرسالة.
التكوين
محرك خدمات كشف الهوية (ISE)
الخطوة 1: انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة. انقر خانة الاختيار لجهاز الشبكة الذي تريد تكوين RADIUS KeyWrap له. انقر على تحرير (إذا كان جهاز الشبكة قد تمت إضافته بالفعل).

الخطوة 2: قم بتوسيع إعدادات مصادقة RADIUS. انقر خانة الاختيار تمكين KeyWrap. أدخل مفتاح التشفير ومفتاح رمز مصدق الرسائل. انقر فوق حفظ.

ملاحظة: يجب أن يكون مفتاح تشفير المفتاح ومفتاح رمز مصدق الرسائل مختلفين.
تبديل
تكوين AAA في المحول لتمكين ميزة التفاف مفتاح RADIUS.
aaa authentication dot1x default group RADGRP
aaa authorization network default group RADGRP
aaa accounting dot1x default start-stop group RADGRP
radius server ISERAD
address ipv4 10.127.197.165 auth-port 1812 acct-port 1813
key-wrap encryption-key 0 22AB0###CA#1b2b1 message-auth-code-key 0 12b1CcB202#2Cb1#bCa# format ascii
key Iselab@123
aaa group server radius RADGRP
server name ISERAD
key-wrap enable
interface GigabitEthernet1/0/22
switchport access vlan 302
switchport mode access
device-tracking attach-policy IPDT
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
end
ملاحظة: يجب أن يكون مفتاح التشفير بطول 16 حرفا ورمز مصادقة الرسائل و 20 حرفا.
كمبيوتر شخصي
تم تكوين ملتمس Windows 10 ل PEAP-MSCHAPv2.

التحقق من الصحة
عند عدم تمكين ميزة RADIUS KeyWrap على المحول:
show radius server-group <اسم مجموعة الخوادم>
يجب أن تظهر مخرجات الأمر لوحة مفاتيح ممكنة: خطأ.
Switch#show radius server-group RADGRP
Server group RADGRP
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server(10.127.197.165:1812,1813,ISERAD) Transactions:
Authen: 239 Author: 211 Acct: 200
Server_auto_test_enabled: FALSE
Keywrap enabled: FALSE
في التقاط الحزمة، أنت يستطيع رأيت أن هناك ما من cisco-AV-pair سمة ل app-key، عشوائي-nonce وفصل رسالة-authenticator-code. وهذا يشير إلى أن RADIUS KeyWrap معطل على المحول.

في ISE prrt-server.log، يمكنك أن ترى أن ISE يقوم فقط بالتحقق من صحة سمة التكامل التي هي مصدق الرسائل.
Radius,2025-03-16 13:41:08,628,DEBUG,0x7f43b6e4b700,cntx=0000071664,sesn=labpan02/530700707/490,CallingStationID=B4-96-91-26-DD-E7,FramedIPAddress=10.127.212.216,RADIUS PACKET:: Code=1(AccessRequest) Identifier=221 Length=289
[1] User-Name - value: [sksarkar]
[4] NAS-IP-Address - value: [10.127.212.64]
[5] NAS-Port - value: [50122]
[6] Service-Type - value: [Framed]
[8] Framed-IP-Address - value: [10.127.212.216]
[12] Framed-MTU - value: [1468]
[30] Called-Station-ID - value: [50-F7-22-B2-D6-16]
[31] Calling-Station-ID - value: [B4-96-91-26-DD-E7]
[61] NAS-Port-Type - value: [Ethernet]
[79] EAP-Message - value: [<02><01><00><0d><01>sksarkar]
[80] Message-Authenticator - value: [<88>/`f|><18><06>(?]
[87] NAS-Port-Id - value: [GigabitEthernet1/0/22]
[102] EAP-Key-Name - value: []
[26] cisco-av-pair - value: [service-type=Framed]
[26] cisco-av-pair - value: [audit-session-id=40D47F0A0000002B9E06997E]
[26] cisco-av-pair - value: [method=dot1x]
[26] cisco-av-pair - value: [client-iif-id=292332370] ,RADIUSHandler.cpp:2455
Radius,2025-03-16 13:41:08,628,DEBUG,0x7f43b6e4b700,cntx=0000071664,sesn=labpan02/530700707/490,CallingStationID=B4-96-91-26-DD-E7,FramedIPAddress=10.127.212.216,Not any of retransmit cases, remove TimeoutCallback from Session,RADIUSHandler.cpp:1258
Radius,2025-03-16 13:41:08,628,DEBUG,0x7f43b6e4b700,cntx=0000071664,sesn=labpan02/530700707/490,CallingStationID=B4-96-91-26-DD-E7,FramedIPAddress=10.127.212.216,Validate integrity related RADIUS attributes,RADIUSHandler.cpp:2060
في حزمة قبول الوصول، يمكنك أن ترى أن MS-MPPE-Send-key و MS-MPPE-Recv-Key يتم إرسالهما من خادم RADIUS إلى المصدق. يحدد MS-MPPE المواد الأساسية التي تم إنشاؤها بواسطة أساليب EAP والتي يمكن إستخدامها لتنفيذ تشفير البيانات بين النظير والمصادقة. وتشتق هذه المفاتيح ذات 32 بايت من سر RADIUS المشترك، ومصدق الطلب، والملح العشوائي.

عند تمكين ميزة RADIUS KeyWrap على المحول و ISE:
show radius server-group <اسم مجموعة الخوادم>
يجب أن تعرض مخرجات الأمر لوحة مفاتيح ممكنة: صحيح.
Switch#show radius server-group RADGRP
Server group RADGRP
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server(10.127.197.165:1812,1813,ISERAD) Transactions:
Authen: 239 Author: 211 Acct: 200
Server_auto_test_enabled: FALSE
Keywrap enabled: TRUE
في التقاط الحزمة، أنت يستطيع رأيت أن هناك cisco-AV-pair سمة ل app-key (مع أي بيانات)، عشوائي-nonce ومنفصل رسالة-authenticator-code حاضر. وهذا يشير إلى خادم RADIUS أن المصدق (المحول) يدعم مفتاح RADIUS ويجب أن يستخدم الخادم نفس الشيء.

في ISE Prrt-server.log، يمكنك أن ترى أن ISE يتحقق من صحة مفتاح التطبيق للسمات، وأن عشوائي-nonce و message-authenticator-code أتوا في حزمة Access-Request.
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,RADIUS PACKET:: Code=1(AccessRequest) Identifier=17 Length=464
[1] User-Name - value: [sksarkar]
[4] NAS-IP-Address - value: [10.127.212.64]
[5] NAS-Port - value: [50122]
[6] Service-Type - value: [Framed]
[12] Framed-MTU - value: [1468]
[30] Called-Station-ID - value: [50-F7-22-B2-D6-16]
[31] Calling-Station-ID - value: [B4-96-91-26-DD-E7]
[61] NAS-Port-Type - value: [Ethernet]
[79] EAP-Message - value: [<02><01><00><0d><01>sksarkar]
[87] NAS-Port-Id - value: [GigabitEthernet1/0/22]
[102] EAP-Key-Name - value: []
[26] cisco-av-pair - value: [service-type=Framed]
[26] cisco-av-pair - value: [audit-session-id=40D47F0A000000319E1CAEFD]
[26] cisco-av-pair - value: [method=dot1x]
[26] cisco-av-pair - value: [client-iif-id=293712201]
[26] cisco-av-pair - value: [****]
[26] cisco-av-pair - value: [****]
[26] cisco-av-pair - value: [****] ,RADIUSHandler.cpp:2455
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,Not any of retransmit cases, remove TimeoutCallback from Session,RADIUSHandler.cpp:1258
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,Validate integrity related RADIUS attributes,RADIUSHandler.cpp:2060
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,RADIUSVSAValidator::validateCiscoAVPairKeyWrapAppKey,RADIUSVSAValidator.cpp:139
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,RADIUSVSAValidator::validateCiscoAVPairKeyWrapAppKey : KeyWrapAppKey is valid.,RADIUSVSAValidator.cpp:184
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,RADIUSVSAValidator::validateCiscoAVPairKeyWrapRandomNonce,RADIUSVSAValidator.cpp:223
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,RADIUSVSAValidator::validateCiscoAVPairKeyWrapMessageAuthenticatorCode,RADIUSVSAValidator.cpp:252
Radius,2025-03-16 14:05:20,882,DEBUG,0x7f43b704c700,cntx=0000072242,sesn=labpan02/530700707/539,CallingStationID=B4-96-91-26-DD-E7,RADIUSVSAValidator::validateCiscoAVPairKeyWrapMessageAuthenticatorCode : MessageAuthenticatorCode is valid.,RADIUSVSAValidator.cpp:324
في حزمة قبول الوصول، يمكنك أن ترى أن المواد الأساسية المشفرة في سمة مفتاح التطبيق مع شفرة عشوائية لمصادقة الرسائل. وصممت هذه السمات لتوفير حماية أقوى ومرونة أكبر من السمات المحددة حاليا لكل من MS-MPPE-Send-Key الخاصة بالمورد وسمات MS-MPPE-Recv-Key.

الأسئلة المتكررة
1) هل يلزم تمكين RADIUS KeyWarp على كل من جهاز الشبكة و ISE حتى يعمل؟
نعم، يلزم تمكين KeyWrap ل RADIUS على كل من جهاز الشبكة و ISE لجعله يعمل. وعلى الرغم من ذلك، إذا قمت بتمكين KeyWrap فقط على ISE ولكن ليس على جهاز الشبكة، فإن المصادقة لا تزال تعمل. ولكن، في حالة تمكينها على جهاز الشبكة وليس في ISE، تفشل المصادقة.
2) هل يزيد تمكين KeyWrap من إستخدام الموارد على ISE وجهاز الشبكة؟
لا، لا توجد زيادة كبيرة في إستخدام الموارد على ISE وجهاز الشبكة بعد تمكين KeyWrap.
3) ما هو مقدار الأمان الإضافي الذي يوفره RADIUS KeyWrap؟
بما أن RADIUS نفسه لا يوفر أي تشفير للحمولة الخاصة به، فإن KeyWrap يوفر أمانا إضافيا من خلال تشفير المواد الأساسية. يعتمد مستوى الأمان على خوارزمية التشفير التي يتم إستخدامها لتشفير المادة الأساسية. في ISE، يتم إستخدام AES لتشفير المادة الأساسية.
المرجع