ТАКАКС

Протокол компьютерной сети

Terminal Access Controller Access-Control System ( TACACS , / ˈ t æ k æ k s / ) относится к семейству связанных протоколов, обрабатывающих удаленную аутентификацию и сопутствующие услуги для управления сетевым доступом через централизованный сервер. Первоначальный протокол TACACS , который датируется 1984 годом, использовался для связи с сервером аутентификации, распространенным в старых сетях UNIX, включая, но не ограничиваясь ими, ARPANET , MILNET и BBNNET. Он породил связанные протоколы:

Расширенный TACACS ( XTACACS ) — это фирменное расширение TACACS, представленное Cisco Systems в 1990 году без обратной совместимости с исходным протоколом. TACACS и XTACACS позволяют серверу удаленного доступа взаимодействовать с сервером аутентификации для определения того, имеет ли пользователь доступ к сети.
TACACS Plus ( TACACS+ ) — это протокол, разработанный Cisco и выпущенный в качестве открытого стандарта в 1993 году. Хотя TACACS+ является производным от TACACS, он представляет собой отдельный протокол, который обрабатывает службы аутентификации, авторизации и учета (AAA) . TACACS+ в значительной степени заменил своих предшественников.

История

Первоначально TACACS был разработан в 1984 году компанией BBN, позже известной как BBN Technologies , для администрирования ARPANET и MILNET, которые в то время работали с несекретным сетевым трафиком для DARPA и позже превратились в NIPRNet Министерства обороны США . Первоначально разработанный как средство автоматизации аутентификации — позволяя тому, кто уже вошел в один хост в сети, подключаться к другому в той же сети без необходимости повторной аутентификации — он был впервые официально описан в протоколе системы контроля доступа TAC Брайана Андерсона BBN, BBN Tech Memo CC-0045 с незначительным изменением TELNET double login Avoidance в декабре 1984 года в IETF RFC 927. ^[1]^[2]Cisco Systems начала поддерживать TACACS в своих сетевых продуктах в конце 1980-х годов, в конечном итоге добавив несколько расширений к протоколу. В 1990 году расширения Cisco поверх TACACS стали фирменным протоколом под названием Extended TACACS (XTACACS). Хотя TACACS и XTACACS не являются открытыми стандартами, Крейг Финсет из Университета Миннесоты при содействии Cisco опубликовал описание протоколов в 1993 году как IETF RFC 1492 для информационных целей. ^[1]^[3]^[4]

Технические описания

ТАКАКС

TACACS определен в RFC 1492 и по умолчанию использует порт 49 ( TCP или UDP ). TACACS позволяет клиенту принимать имя пользователя и пароль и отправлять запрос на сервер аутентификации TACACS, иногда называемый демоном TACACS. Он определяет, принимать или отклонять запрос аутентификации, и отправляет ответ обратно. TIP (узел маршрутизации, принимающий соединения по коммутируемой линии, в которую пользователь обычно хочет войти) затем разрешает доступ или нет, основываясь на ответе. Таким образом, процесс принятия решения «открывается», а алгоритмы и данные, используемые для принятия решения, находятся под полным контролем того, кто запускает демон TACACS.

XTACACS

Расширенный TACACS (XTACACS) расширяет протокол TACACS дополнительными функциями. Он также разделяет функции аутентификации, авторизации и учета (AAA) на отдельные процессы, позволяя обрабатывать их отдельными серверами и технологиями. ^[5]

ТАКАКС+

TACACS+ — это разработанное Cisco расширение TACACS, описанное в RFC 8907. TACACS+ включает механизм, который может использоваться для запутывания тела каждого пакета, оставляя заголовок открытым текстом. Более того, он обеспечивает детальный контроль в форме авторизации по командам. ^[6]

TACACS+ в целом заменил TACACS и XTACACS в недавно построенных или обновленных сетях. TACACS+ — это совершенно новый протокол, который несовместим со своими предшественниками, TACACS и XTACACS.

Сравнение с РАДИУСОМ

Между этими двумя протоколами имеется ряд различий, которые существенно различают их при обычном использовании.

TACACS+ может использовать только TCP, в то время как RADIUS обычно работает через UDP, ^[7] но также может использовать TCP (RFC6613), а для дополнительной безопасности — TLS (RFC 6614) и DTLS (RFC7360).

TACACS+ может работать в двух режимах. В одном режиме весь трафик, включая пароли, отправляется в открытом виде, и единственной защитой является фильтрация IP-адресов. В другом режиме — обфускация данных (RFC 8907, раздел 4.5), где заголовок пакета — открытый текст, но тело, включая пароли, обфусцировано методом на основе MD5. Метод обфускации на основе MD5 аналогичен методу, используемому для атрибута RADIUS User-Password (RFC 2865, раздел 5.2), и поэтому имеет схожие свойства безопасности.

Другое отличие заключается в том, что TACACS+ используется только для административного доступа к сетевому оборудованию, тогда как RADIUS чаще всего используется для аутентификации конечного пользователя. TACACS+ поддерживает «авторизацию команд», когда администратор может войти в часть сетевого оборудования и попытаться выполнить команды. Оборудование будет использовать TACACS+ для отправки каждой команды на сервер TACACS+, который может разрешить или отклонить команду.

Подобная функциональность существует в RADIUS в RFC 5607, но поддержка этого стандарта, по-видимому, слабая или отсутствует.

TACACS+ предлагает надежную функциональность для аутентификации администратора и авторизации команд, но по сути никогда не используется для аутентификации доступа конечного пользователя к сетям. Напротив, RADIUS предлагает минимальную функциональность для аутентификации администратора и авторизации команд, предлагая при этом сильную поддержку (и широко используется) для аутентификации конечного пользователя, авторизации и учета.

Таким образом, эти два протокола имеют мало общего в функциональности и использовании.

Реализации

Реализации клиентов

Arista EOS , фирменная реализация
Cisco IOS , фирменная реализация
Extreme Networks , собственная реализация
Fortinet FortiOS , фирменная реализация
Juniper Junos OS , фирменная реализация
Palo Alto Networks PAN-OS , собственная реализация
Pam_tacplus, клиентская библиотека протокола TACACS+ и модуль PAM
Augur Systems TACACS+, бесплатная библиотека Java с открытым исходным кодом

Реализации сервера

Модуль FreeRADIUS TACACS+, реализация с открытым исходным кодом, доступная с версии 4.0
Tac_plus от Shrubbery, реализация с открытым исходным кодом для Linux
Tac_plus-ng от Pro-Bono-Publico, реализация с открытым исходным кодом для Linux
Tac_plus VM, tac_plus с добавленным веб-администратором в VM (больше не обновляется)
Aruba ClearPass Policy Manager, собственная реализация
Cisco Identity Services Engine, собственная реализация
Portnox TACACS+-as-a-Service, собственная реализация в виде облачного сервиса
Pulse Secure Pulse Policy Secure, собственная реализация
TACACS.net, фирменная реализация TACACS+ для Windows
Augur Systems TACACS+, бесплатная библиотека Java с открытым исходным кодом (полный клиент, с фреймворком для сервера)

Стандартные документы

RFC 927 – Идентификация пользователя TACACS с помощью Telnet
RFC 1492 – Протокол контроля доступа, иногда называемый TACACS
RFC 8907 – Протокол системы контроля доступа к контроллеру терминала (TACACS+)
RFC 9105 – Модель данных YANG для системы контроля доступа к терминалу (TACACS+)

Смотрите также

Ссылки

^ ab Дули, Кевин; Браун, Ян (2003). Cisco Cookbook. O'Reilly Media. стр. 137. ISBN 9781449390952. Архивировано из оригинала 2016-06-24.
^ Брайан А. Андерсон (декабрь 1984 г.). TACACS User Identification Telnet Option. Сетевая рабочая группа. doi : 10.17487/RFC0927 . RFC 927. Предлагаемый стандарт.
^ Баллад, Билл; Баллад, Триша; Бэнкс, Эрин (2011). Контроль доступа, аутентификация и инфраструктура открытых ключей . Jones & Bartlett Learning. стр. 278–280. ISBN 9780763791285.
^ C. Finseth (июль 1993 г.). Протокол контроля доступа, иногда называемый TACACS. Сетевая рабочая группа. doi : 10.17487/RFC1492 . RFC 1492. Информационный.
^ "Паспорт сертификации CompTIA Security+ Майка Мейерса, второе издание - бесплатная загрузка PDF". epdf.pub . Получено 03.08.2019 .
^ T. Dahm; A. Ota; DC Medway Gash; D. Carrel; L. Grant (сентябрь 2020 г.). Протокол системы управления доступом к контроллеру доступа терминала (TACACS+). Internet Engineering Task Force . doi : 10.17487/RFC8907 . ISSN 2070-1721. RFC 8907. Информационный.
^ "Сравнение TACACS+ и RADIUS". Cisco. 14 января 2008 г. Архивировано из оригинала 7 сентября 2014 г. Получено 9 сентября 2014 г.

Внешние ссылки

Анализ протокола TACACS+ и его реализаций с точки зрения безопасности, Openwall
Преимущества и передовой опыт TACACS+

[dooley-1] Дули, Кевин; Браун, Ян (2003). Cisco Cookbook. O'Reilly Media. стр. 137. ISBN 9781449390952. Архивировано из оригинала 2016-06-24.

[rfc927-2] Брайан А. Андерсон (декабрь 1984 г.). TACACS User Identification Telnet Option. Сетевая рабочая группа. doi : 10.17487/RFC0927 . RFC 927. Предлагаемый стандарт.

[ballad-3] Баллад, Билл; Баллад, Триша; Бэнкс, Эрин (2011). Контроль доступа, аутентификация и инфраструктура открытых ключей . Jones & Bartlett Learning. стр. 278–280. ISBN 9780763791285.

[rfc1492-4] C. Finseth (июль 1993 г.). Протокол контроля доступа, иногда называемый TACACS. Сетевая рабочая группа. doi : 10.17487/RFC1492 . RFC 1492. Информационный.

[5] "Паспорт сертификации CompTIA Security+ Майка Мейерса, второе издание - бесплатная загрузка PDF". epdf.pub . Получено 03.08.2019 .

[rfc8907-6] T. Dahm; A. Ota; DC Medway Gash; D. Carrel; L. Grant (сентябрь 2020 г.). Протокол системы управления доступом к контроллеру доступа терминала (TACACS+). Internet Engineering Task Force . doi : 10.17487/RFC8907 . ISSN 2070-1721. RFC 8907. Информационный.

[tacacs+v.radius-7] "Сравнение TACACS+ и RADIUS". Cisco. 14 января 2008 г. Архивировано из оригинала 7 сентября 2014 г. Получено 9 сентября 2014 г.