Introducción
Este documento describe la configuración y la resolución de problemas de RADIUS sobre el protocolo de seguridad de la capa de transporte del datagrama (DTLS). DTLS proporciona servicios de cifrado para RADIUS, que se transporta a través de un túnel seguro.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco Identity Services Engine (ISE)
- protocolo RADIUS
- IOS de Cisco
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco Identity Services Engine 2.2
- Catalyst 3650 con IOS 16.6.1
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Configurar
Configuraciones
1. Agregue un dispositivo de red en ISE y habilite el protocolo DTLS.
Vaya a Administration > Network Resources > Network Devices. Haga clic en Agregar y proporcione al menos campos obligatorios:
- Nombre: se agrega un nombre descriptivo del dispositivo.
- Dirección IP: dirección IP que utiliza el autenticador para ponerse en contacto con ISE. Es posible configurar un rango de dispositivos. Para ello, especifique una máscara adecuada (menor que 32).
- Perfil de dispositivo: configuración general del dispositivo. Permite especificar qué protocolos se gestionan, los ajustes detallados de cambio de autorización (CoA) y la configuración de atributos de RADIUS. Para obtener más información, vaya a Administration > Network Resources > Network Device Profiles.
- Network Device Group: establezca el tipo de dispositivo, IPSec, las capacidades y la ubicación del dispositivo. Este parámetro no es obligatorio. Si no selecciona valores personalizados, se asume la configuración predeterminada.
Marque la casilla de verificación RADIUS Authentication Settings y, en RADIUS DTLS Settings, seleccione la casilla de verificación DTLS Required. Esto permite la comunicación RADIUS con el autenticador sólo a través del túnel seguro DTLS. Observe que el cuadro de texto Shared Secret está atenuado. Este valor en el caso de RADIUS DTLS es fijo y se configura la misma cadena en el lado del autenticador.
2. Configure el puerto DTLS y el tiempo de espera inactivo.
Puede configurar el puerto que se utiliza para la comunicación DTLS y el tiempo de espera inactivo en Administration > System > Settings > Protocols > RADIUS > RADIUS DTLS.
Observe que el puerto DTLS es diferente de los puertos RADIUS. De forma predeterminada, un RADIUS utiliza los pares 1645, 1646 y 1812, 1813. De forma predeterminada, DTLS para autenticación, autorización, contabilidad y CoA utiliza el puerto 2083. Idle Timeout especifica cuánto tiempo ISE y el autenticador mantienen el túnel sin ninguna comunicación real a través de él. Este tiempo de espera se mide en segundos y varía de 60 a 600 segundos.
3. Exporte el emisor del certificado RADIUS DTLS desde el almacén de confianza de ISE.
Para establecer el túnel entre ISE y el autenticador, ambas entidades deben intercambiar y verificar los certificados. El autenticador debe confiar en el certificado DTLS RADIUS de ISE, lo que significa que su emisor debe estar presente en el almacén de confianza del autenticador. Para exportar el firmante del certificado ISE, navegue hasta Administration > System > Certificates, como se muestra en la imagen:
Localice el certificado con el rol RADIUS DTLS asignado y marque el campo Emitido por para este certificado. Este es el nombre común del certificado que debe exportarse desde el almacén de confianza de ISE. Para hacerlo, navegue hasta Administration > System > CertificatesTrusted Certificates. Active la casilla de verificación junto al certificado correspondiente y haga clic en Exportar.
4. Configure el punto de confianza e importe el certificado al autenticador.
Para configurar el punto de confianza, inicie sesión en el switch y ejecute los comandos:
configure terminal
crypto pki trustpoint isetp
enrollment terminal
revocation-check none
exit
Importe el certificado con el comando crypto pki authenticate isetp. Cuando se le solicite que acepte el certificado, escriba yes (sí).
Switch3650(config)#crypto pki authenticate isetp
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D
Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
5. Certificado de exportación del switch.
Seleccione el punto de confianza y el certificado que se utilizarán para DTLS en el switch y expórtelo:
Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Para enumerar todos los puntos de confianza configurados, ejecute el comando show crypto pki trustpoints. Una vez impreso el certificado en la consola, cópielo en un archivo y guárdelo en el PC.
6. Importe el certificado de switch al almacén de confianza de ISE.
En ISE, vaya a Administration > Certificates > Trusted Certificates y haga clic en Import.
Ahora haga clic en Browse y seleccione el certificado del switch. Proporcione (opcionalmente) un nombre descriptivo y active las casillas de verificación Confianza para la autenticación dentro de ISE y Confianza para la autenticación de clientes y Syslog. A continuación, haga clic en Submit, como se muestra en la imagen:
7. Configure RADIUS en el switch.
Agregue la configuración RADIUS en el switch. Para configurar el switch para comunicarse con ISE sobre DTLS, utilice los comandos:
radius server ISE22
address ipv4 10.48.23.86
key radius/dtls
dtls port 2083
dtls trustpoint client TP-self-signed-721943660
dtls trustpoint server isetp
El resto de la configuración específica de AAA depende de sus requisitos y diseño. Trate esta configuración como un ejemplo:
aaa group server radius ISE
server name ISE22
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
aaa authentication dot1x default group ISE
aaa authorization network default group ISE
8. Configurar políticas en ISE.
Configure las políticas de autenticación y autorización en ISE. Este paso también depende de su diseño y sus requisitos.
Verificación
Para verificar que los usuarios puedan autenticarse, utilice el comando test aaa en el switch:
Switch3650#test aaa group ISE alice Krakow123 new-code
User successfully authenticated
USER ATTRIBUTES
username 0 "alice"
Switch3650#
Debería ver el mensaje Usuario autenticado correctamente. Vaya a ISE Operations > RADIUS > LiveLog y seleccione los detalles para el registro adecuado (haga clic en la lupa):
En el lado derecho del informe, hay una lista de Pasos. Verifique que el primer paso de la lista sea que el paquete RADIUS esté cifrado.
Además, puede iniciar la captura de paquetes en ISE y ejecutar el comando test aaa una vez más. Para iniciar la captura, navegue hasta Operaciones > Solución de problemas > Herramientas de diagnóstico > Herramientas generales > Volcado TCP. Seleccione Nodo de servicio de directivas utilizado para la autenticación y haga clic en Iniciar:
Una vez finalizada la autenticación, haga clic en Detener y Descargar. Al abrir la captura de paquetes, debería poder ver el tráfico cifrado con DTLS:
Los paquetes #813 - #822 son parte del intercambio de señales DTLS. Cuando el protocolo de enlace se negocia correctamente, se transfieren los datos de la aplicación. Tenga en cuenta que el número de paquetes puede variar y depende, por ejemplo, del método de autenticación utilizado (PAP, EAP-PEAP, EAP-TLS, etc.). El contenido de cada paquete está cifrado:
Cuando se transmiten todos los datos, el túnel no se cierra inmediatamente. IdleTimeout configurado en ISE determina cuánto tiempo se puede establecer el túnel sin que la comunicación pase por él. Si vence el temporizador y hay que enviar una nueva solicitud de acceso a ISE, se realiza el intercambio de señales DTLS y se reconstruye el túnel.
Troubleshoot
1. ISE no recibe ninguna solicitud.
Observe que el puerto DTLS predeterminado es 2083. Los puertos RADIUS predeterminados son 1645, 1646 y 1812.1813. Asegúrese de que el firewall no bloquee el tráfico UDP/2083.
2. Falla el intercambio de señales DTLS.
En el informe detallado sobre ISE, es posible que observe un error en el protocolo de enlace DTLS:
Es posible que el switch o ISE no confíe en el certificado enviado durante el intercambio de señales. Verifique la configuración del certificado. Verifique que se haya asignado el certificado adecuado a la función RADIUS DTLS en ISE y a los puntos de confianza en el switch.