Exportar (0) Imprimir
Expandir Tudo
Este tópico ainda não foi avaliado como - Avalie este tópico

Segredos compartilhados

Segredos compartilhados

Um segredo compartilhado é uma seqüência de texto que serve como uma senha entre:

  • Um cliente RADIUS e um servidor RADIUS.
  • Um cliente RADIUS e um proxy RADIUS.
  • Um proxy RADIUS e um servidor RADIUS.

Para uma configuração que usa um cliente RADIUS, um proxy RADIUS e um servidor RADIUS, o segredo compartilhado, usado entre o cliente RADIUS e o proxy RADIUS, pode ser diferente do segredo compartilhado usado entre o proxy RADIUS e o servidor RADIUS.

Os segredos compartilhados são usados para verificar se as mensagens RADIUS, com exceção da mensagem Access-Request, são enviadas por um dispositivo ativado por RADIUS que esteja configurado com o mesmo segredo compartilhado. Os segredos compartilhados também verificam se a mensagem RADIUS não foi modificada em trânsito (integridade da mensagem). O segredo compartilhado também é usado para criptografar alguns atributos RADIUS, como User-Password e Tunnel-Password. Para fornecer verificação para as mensagens Access-Request, você pode ativar o uso do atributo Autenticador de mensagem RADIUS para o cliente RADIUS configurado no servidor IAS e o servidor de acesso. Para obter mais informações, consulte atributo de autenticador de mensagem e Configurar o atributo de autenticador de mensagem e o segredo compartilhado.

Ao criar e usar um segredo compartilhado:

  • Você deve usar o mesmo segredo compartilhado que diferencia maiúsculas de minúsculas em ambos os dispositivos RADIUS.
  • Use um segredo compartilhado diferente para cada par servidor RADIUS-cliente RADIUS.
  • Para garantir um segredo compartilhado aleatório, gere uma seqüência aleatória com, pelo menos, 22 caracteres.
  • Você pode usar quaisquer caracteres especiais e alfanuméricos padrão.
  • Você pode usar um segredo compartilhado com até 128 caracteres de comprimento. Para proteger o servidor IAS e os clientes RADIUS de ataques de força bruta, use segredos compartilhados longos (com mais de 22 caracteres).
  • Faça o segredo compartilhado como uma seqüência de letras, números e pontuação aleatória e altere-o com freqüência para proteger o servidor IAS e os clientes RADIUS de tentativas de violação. Os segredos compartilhados devem conter caracteres de cada um dos três grupos a seguir:

 

Grupo Exemplos

Letras (maiúsculas e minúsculas)

A, B, C e a, b, c

Números

0, 1, 2, 3

Símbolos (todos os caracteres não definidos como letras ou números)

Ponto de exclamação (!), asterisco (*), dois-pontos (:)

Quanto mais forte estiver seu segredo compartilhado, mais seguros estarão os atributos (por exemplo, aqueles usados para chaves de criptografia e senhas) criptografados com ele. Um exemplo de segredo compartilhado de alta segurança é 8d#>9fq4bV)H7%a3-zE13sW.

Observações

  • Quando o protocolo de autenticação de senha (PAP) é usado entre um cliente de acesso e um servidor de acesso (um cliente RADIUS), o servidor de acesso criptografa a senha PAP usando o segredo compartilhado e a envia em um pacote de solicitação de acesso. Se o servidor de acesso enviar a mensagem Access-Request para um proxy RADIUS, o proxy RADIUS deverá primeiro descriptografar a senha PAP com o segredo compartilhado que foi usado entre o proxy RADIUS e o servidor de acesso. Em seguida, ele criptografa a senha PAP com o segredo compartilhado que foi usado entre o proxy RADIUS e o servidor RADIUS antes de encaminhar a mensagem Access-Request. Uma vez que um usuário mal-intencionado ou processo no proxy RADIUS pode gravar nomes de usuários e senhas para conexões PAP depois de eles terem sido descriptografados, mas antes de serem criptografados, o uso do PAP é altamente desaconselhado.
  • Se você especificar clientes RADIUS usando um intervalo de endereço IP, todos os clientes RADIUS em um intervalo de endereço devem usar o mesmo segredo compartilhado.
  • Se estiver usando um método de autenticação com base em senha, é altamente recomendado que você use o MS-CHAP v2, MS-CHAP ou CHAP com senhas fortes para fornecer proteção contra tentativas de violação.
  • Você pode configurar o IAS no Windows Server 2003, Standard Edition, com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resolve vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.