Exporteren (0) Afdrukken
Alles uitvouwen

Gedeelde geheimen

Gedeelde geheimen

Een gedeeld geheim is een tekenreeks die dient als wachtwoord bij verkeer tussen:

  • Een RADIUS-client en -server
  • Een RADIUS-client en -proxy
  • Een RADIUS-proxy en -server

In een configuratie met een RADIUS-client, een RADIUS-proxy en een RADIUS-server, kunnen de RADIUS-client en de -proxy een ander geheim delen dan de RADIUS-proxy en de -server.

Gedeelde geheimen worden gebruikt om te controleren of RADIUS-berichten, met uitzondering van Access-Request-berichten, afkomstig zijn van RADIUS-apparaten die zijn geconfigureerd met hetzelfde gedeelde geheim. Aan de hand van het gedeelde geheim wordt ook gecontroleerd of het RADIUS-bericht tijdens het transport niet is gewijzigd (berichtintegriteit). Het gedeelde geheim wordt verder gebruikt voor de codering van bepaalde RADIUS-kenmerken, zoals User-Password en Tunnel-Password. Voor de verificatie van Access-Request-berichten kunt u het RADIUS-kenmerk Message Authenticator inschakelen voor zowel de RADIUS-client die op de IAS-server is geconfigureerd als voor de toegangsserver. Zie Message Authenticator (kenmerk) en Het kenmerk Message Authenticator en het gedeelde geheim configureren voor meer informatie.

Houd bij het maken en gebruiken van een gedeeld geheim rekening met het volgende:

  • Gebruik dezelfde hoofdletters en kleine letters op beide RADIUS-apparaten.
  • Gebruik een ander gedeeld geheim voor elk paar RADIUS-server/RADIUS-client.
  • Genereer een willekeurige reeks van ten minste 22 tekens om u ervan te verzekeren dat het gedeelde geheim niet makkelijk kan worden achterhaald.
  • U kunt alle standaard alfanumerieke en speciale tekens gebruiken.
  • Een gedeeld geheim mag maximaal 128 tekens bevatten. Om de IAS-server en RADIUS-clients tegen felle aanvallen te beschermen, is het raadzaam om lange gedeelde geheimen te gebruiken (meer dan 22 tekens).
  • Gebruik een willekeurige tekenreeks van letters, cijfers en leestekens, en wijzig het gedeelde geheim vaak om de IAS-server en RADIUS-clients te beschermen tegen woordenboekaanvallen. Gedeelde geheimen moeten tekens uit elk van de volgende drie groepen bevatten:

 

Groep voorbeelden

Letters (hoofdletters en kleine letters)

A, B, C en a, b, c

Cijfers

0, 1, 2, 3

Symbolen (alle tekens die niet zijn gedefinieerd als letters of cijfers)

Uitroepteken (!), asterisk (*), dubbele punt (:)

Hoe sterker het gedeelde geheim, des te meer beveiligd zijn de kenmerken (bijvoorbeeld voor wachtwoorden en coderingssleutels) die ermee worden gecodeerd. Een voorbeeld van een sterk gedeeld geheim is 8d#>9fq4bV)H7%a3-zE13sW.

Opmerkingen

  • Wanneer PAP (Password Authentication Protocol) wordt gebruikt voor het verkeer tussen een toegangsclient en een toegangsserver (RADIUS-client), codeert de toegangsserver het PAP-wachtwoord met behulp van het gedeelde geheim en wordt het vervolgens verzonden in een Access-Request-pakket. Als de toegangsserver het Access-Request-bericht naar een RADIUS-proxy stuurt, moet de RADIUS-proxy het PAP-wachtwoord eerst decoderen met het gedeelde geheim van de RADIUS-proxy en de toegangsserver. Vervolgens codeert de RADIUS-proxy het PAP-wachtwoord met het gedeelde geheim van de RADIUS-proxy en de RADIUS-server voordat het Access-Request-bericht wordt verzonden. Aangezien een kwaadwillend persoon of proces vanaf een RADIUS-proxy gebruikersnamen en wachtwoorden voor PAP-verbindingen kan registreren nadat deze zijn gedecodeerd maar voordat ze zijn gecodeerd, wordt het gebruik van PAP sterk afgeraden.
  • Als u RADIUS-clients configureert aan de hand van een IP-adresbereik, moeten alle RADIUS-clients in dat bereik hetzelfde geheim delen.
  • Bij een verificatiemethode die op wachtwoorden is gebaseerd, wordt het krachtig aanbevolen om MS-CHAP v2, MS-CHAP of CHAP met sterke wachtwoorden te gebruiken om de wachtwoorden te beveiligen tegen woordenboekaanvallen.
  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft