使用Windows NPS进行Cisco路由器aaaauthentication – 这是否安全？

我在Cisco路由器上设置了RADIUS身份validation，并将其指向Windows NPS。 现在我可以用AD帐号YAY进入路由器。

但是现在我已经开始工作了，我正在检查设置以确保一切安全。

在我的路由器上，configuration非常简单：

aaa new-model aaa group server radius WINDOWS_NPS server-private 123.123.123.123 auth-port 1812 acct-port 1813 key mykey aaa authentication login default local group WINDOWS_NPS ip domain-name MyDom crypto key generate rsa (under vty and console)# login authentication default 

在Windows NPS上：

• FreeRadius无法获得新的openssl版本
• Server 2008 VPN身份validation，无需Active Directory
• 在ASA上configurationVPN以通过NPSlogin帐户
• Windows 7无线networking证书信任锚点
• 针对不同的二级域的PEAPvalidation？

• 我为路由器创build了一个新的RADIUS客户端。
• 创build了一个共享密钥，并将Cisco指定为供应商名称。
• 用我所需的条件创build了一个新的networking策略。
• 现在networking策略configuration的一部分让我很担心：

我读到Cisco只支持未encryption的方法，但我认为使用任何不使用证书的身份validation方法是非常不安全的（即使MS-CHAP-v2被认为是超级不安全的）。

那么我的AD证书是通过纯文本的电线发送的？

我的另一个问题是，如果一个黑客得到我的RADIUS共享的秘密他们真的有什么？ 如果共享密钥受到威胁，我必须在所有路由器上生成一个新密码？