TACACS

TACACS este acronimul pentru Terminal Access Controller Access Control System și se referă la un tip de protocol de computer pentru autentificare și autorizare la distanță (deci nu AAA ), cu servicii conexe, pentru controlul accesului la rețea printr-un server centralizat. Protocolul original TACACS, datând din 1984, a fost utilizat pentru comunicarea cu un server de autentificare, comun în rețelele UNIX mai vechi, proiectat pentru rețeaua ARPANET . Au fost generate mai multe protocoale din TACACS:

Extended TACACS ( XTACACS ) este o extensie proprietară a TACACS introdusă de Cisco Systems în 1990. Ambele TACACS și XTACACS permit unui server de acces la distanță să comunice cu un alt server de autentificare pentru a determina dacă utilizatorul poate avea acces la rețea. XTACACS adaugă funcționalitatea Contabilitate , făcând astfel protocolul de tip AAA . O altă adăugire este capacitatea de a opera cu mai multe servere XTACACS, ceea ce mărește robustețea sistemului, evitând defecțiunile generale ale întregii rețele generate de un singur server care nu funcționează.
Terminal Access Controller Access-Control System Plus ( TACACS + ) este un protocol dezvoltat de Cisco și lansat ca standard gratuit din 1993. Deși derivat din TACACS, TACACS + este un protocol separat care gestionează serviciile de autentificare, autorizare și contabilitate (AAA) . TACACS + și alte protocoale AAA flexibile și-au înlocuit cu mult predecesorii.

Istorie

TACACS a fost dezvoltat inițial în 1984 de BBN Technologies pentru gestionarea MILNET , desemnat pentru trafic neclasificat de către Departamentul Apărării al Statelor Unite și care va fi ulterior înlocuit cu NIPRNet . Conceput inițial ca un mijloc de automatizare a autentificării - permițând unui utilizator deja înregistrat pe o gazdă din rețea să se conecteze la o altă gazdă din aceeași rețea fără a fi nevoie de re-autentificare - a fost descris oficial de Brian A. Anderson, de la BBN, în decembrie 1984 în IETF RFC 927 . ^[1] ^[2] Cisco Systems a început să sprijine TACACS în produsele sale de rețea la sfârșitul anilor 1980, cu adăugarea mai multor extensii de protocol. În 1990, extensiile introduse de Cisco în TACACS au devenit un nou protocol proprietar numit Extended TACACS (XTACACS). Deși TACACS și XTACACS nu au fost concepute ca protocoale gratuite, Craig Finseth de la Universitatea din Minnesota, de asemenea, cu asistența Cisco, a publicat o descriere a ambelor protocoale în 1993 în IETF RFC 1492 numai în scop informativ. ^[1] ^[3] ^[4]

Descriere tehnica

TACACS

TACACS este definit în RFC 1492 și exploatează comunicarea cu pachetele UDP sau TCP , utilizând implicit portul 49. Datele sunt schimbate între client și server prin pachete TACACS (având o lungime cuprinsă între 6 și 516 octeți), care sunt inserate în câmpul de date al Pachete UDP. Numele de utilizator și parola sunt trimise fără criptare și sunt evaluate într-un mod care nu face sensibilitate la majuscule . TACACS permite unui client cu un nume de utilizator și o parolă pentru a trimite o cerere la serverul de autentificare TACACS, care este , de asemenea , numit TACACS Daemonului sau pur și simplu TACACSD. TACACSD utilizează comunicații TCP și, în general, folosește portul 49. Acest server este în majoritatea cazurilor un program executat pe un computer specific, care, prin procesarea cererii clientului, permite sau refuză accesul. Ar trebui să decidă dacă acceptă sau refuză cererea de autentificare și trimite un răspuns. TIP (nodul de distribuție pentru acceptarea conexiunilor de linie dial-up) ar permite apoi accesul sau nu, pe baza răspunsului.

TACACS +

TACACS + și RADIUS au înlocuit TACACS și XTACACS în rețele mai noi sau actualizate. TACACS + este un protocol complet nou și nu este compatibil cu predecesorii săi, TACACS și XTACACS. TACACS + folosește TCP (în timp ce RADIUS funcționează peste UDP). Deoarece TACACS + utilizează o arhitectură cu autentificare, autorizare și contabilitate (AAA), aceste componente de protocol separate pot fi gestionate separat pe diferite servere. ^[5] Deoarece TCP este un protocol orientat spre conexiune, TACACS + nu trebuie să implementeze controlul transmisiei, în timp ce RADIUS trebuie să detecteze și să corecteze erorile de transmisie, cum ar fi pierderea pachetelor și expirarea timpului, datorită utilizării UDP care nu are un real canal de comunicare. RADIUS criptează parolele utilizatorilor doar în timp ce se deplasează de la clientul RADIUS la serverul RADIUS; toate celelalte informații, cum ar fi numele de utilizator, autorizarea și contabilitatea, sunt transmise în schimb cu text clar. Prin urmare, este vulnerabil la diferite tipuri de atacuri. TACACS + criptează datele enumerate mai sus și, prin urmare, nu are vulnerabilitățile prezente în protocolul RADIUS. TACACS + este o extensie TACACS proiectată de CISCO care codifică întregul conținut al fiecărui pachet. De asemenea, oferă control granular (autorizare comandă) și vă permite să controlați ce comenzi pot executa utilizatorii pe un router. Protocolul TACACS + oferă suport pentru mai multe protocoale, cum ar fi:

AppleTalk Remote Access (ARA);
Net BIOS Frame Protocol Control;
Interfață nouă de servicii asincrone (NASI);
X.25 conexiune PAD.

Servicii TACACS +

După cum sa menționat anterior, TACACS + folosește servicii de securitate AAA, care pot oferi:

Autentificare : Oferă autentificare completă și autentificare prin parolă, concurență și răspuns, suport pentru mesagerie. Structura de autentificare prevede posibilitatea de a desfășura un dialog arbitrar cu utilizatorul. În plus, serviciul de autentificare TACACS + acceptă trimiterea de mesaje către monitoarele de utilizator. De exemplu, un mesaj ar putea notifica utilizatorii că parolele trebuie schimbate din cauza politicii de îmbătrânire a parolelor companiei.
Autorizare : Oferă un control fin asupra funcționalității utilizatorului pe durata sesiunii, cum ar fi controlul accesului, durata sesiunii sau suportul protocolului. De asemenea, puteți aplica restricții cu privire la ceea ce poate face un utilizator cu funcția de autorizare TACACS +.
Contabilitate : Colectează și trimite informații utilizate pentru facturare, audit și raportare către demonul TACACS +. Administratorii de rețea pot utiliza funcția de contabilitate pentru a monitoriza activitatea utilizatorului pentru o verificare de securitate sau pentru a furniza informații de facturare utilizatorului. Înregistrările majore includ identități de utilizator, comenzi executate (cum ar fi PPP), numărul de pachete și numărul de octeți.

Operațiuni TACACS +

Când un utilizator încearcă o autentificare ASCII simplă pentru a se autentifica pe un server prin TACACS +, se iau mai mulți pași:

Odată ce conexiunea este stabilită, serverul de acces la rețea va contacta daemonul TACACS + pentru a primi un prompt de nume de utilizator, care este apoi afișat utilizatorului însuși. Utilizatorul introduce numele de utilizator și serverul de acces la rețea și interacționează cu daemonul TACACS + pentru a solicita parola. Serverul afișează solicitarea, utilizatorul introduce o parolă și parola este apoi trimisă la demonul TACACS +.
Serverul de autentificare va primi unul din următoarele răspunsuri de la daemonul TACACS +: ACCEPT - Utilizatorul este autentificat și serviciul poate începe. Dacă serverul este configurat pentru a da autorizație, acesta va fi trimis; REJECT - Utilizatorul nu a reușit să se autentifice și i se poate refuza accesul în continuare, sau este posibil ca secvența de conectare să fie necesară repetarea în funcție de daemonul TACACS +; EROARE - A apărut o eroare în timpul autentificării. Acest lucru se poate întâmpla în daemon sau în conexiunea de rețea dintre daemon și server. Dacă este primit un răspuns EROARE, serverul încearcă să utilizeze o metodă alternativă pentru autentificare; CONTINUAȚI - O cerere de informații suplimentare de autentificare este trimisă utilizatorului.
O autentificare PAP este similară unei autentificări ASCII, cu excepția faptului că numele de utilizator și parola ajung la serverul de autentificare într-un pachet de protocol PAP în loc să fie introduse direct de utilizator.
Dacă este necesară autorizarea TACACS +, daemonul TACACS + este contactat din nou și returnează un răspuns de acceptare sau respingere. Dacă ACCEPT este returnat, răspunsul va conține date sub forma atributelor utilizate pentru a direcționa sesiunea EXEC sau NETWORK pentru acel utilizator, determinând serviciile la care utilizatorul poate accesa. Serviciile în general accesibile sunt: Telnet , rlogin , Protocol Point-to-Point Protocol ( PPP ), Serial Line Internet Protocol ( SLIP ), servicii EXEC și parametrii de conexiune, inclusiv gazda sau adresa IP a clientului, lista de acces și timeout-ul utilizatorului .

Notă

^ ^a ^b Dooley, Kevin și Brown, Ian, Cisco Cookbook , O'Reilly Media, 2003, p. 137, ISBN 978-1-4493-9095-2 .
^ Anderson, Brian, TACACS User Identification Telnet Option , la tools.ietf.org , Internet Engineering Task Force, decembrie 1984. Accesat la 22 februarie 2014 .
^ Ballad, Bill, Ballad, Tricia and Banks, Erin, Access Control, Authentication, and Public Key Infrastructure , Jones & Bartlett Learning, 2011, pp. 278-280, ISBN 978-0-7637-9128-5 .
^ Finseth, Craig, Un protocol de control al accesului, numit uneori TACACS , la tools.ietf.org , Internet Engineering Task Force, iulie 1993. Accesat la 22 februarie 2014 .
^ Comparație TACACS + și RADIUS . Cisco.com , Cisco, 14 ianuarie 2008. Accesat la 9 septembrie 2014 .

Elemente conexe

linkuri externe

Clientul TACACS + și modulul PAM
tacacs + VM , o implementare tac_plus + webadmin de pe o VM
TACACS.net , o implementare gratuită a TACACS + pentru Windows
TACACS + Front End , o implementare gratuită a TACACS + pentru Linux cu un Front End
TACACSGUI , o implementare PHP frontend a tac_plus opensource (OVA)

Portal de securitate IT

Portal telematic

[dooley-1] Dooley, Kevin și Brown, Ian, Cisco Cookbook , O'Reilly Media, 2003, p. 137, ISBN 978-1-4493-9095-2 .

[anderson-2] Anderson, Brian, TACACS User Identification Telnet Option , la tools.ietf.org , Internet Engineering Task Force, decembrie 1984. Accesat la 22 februarie 2014 .

[ballad-3] Ballad, Bill, Ballad, Tricia and Banks, Erin, Access Control, Authentication, and Public Key Infrastructure , Jones & Bartlett Learning, 2011, pp. 278-280, ISBN 978-0-7637-9128-5 .

[finseth-4] Finseth, Craig, Un protocol de control al accesului, numit uneori TACACS , la tools.ietf.org , Internet Engineering Task Force, iulie 1993. Accesat la 22 februarie 2014 .

[tacacs+v.radius-5] Comparație TACACS + și RADIUS . Cisco.com , Cisco, 14 ianuarie 2008. Accesat la 9 septembrie 2014 .

[1]

[2]

[3]

[4]

[5]