TACACS

TACACS er forkortelsen for Terminal Access Controller Access Control System og refererer til en type datamaskinprotokoll for ekstern autentisering og autorisasjon (derfor ikke AAA ), med relative tjenester, for kontroll av nettverkstilgang via en sentralisert server. Den originale TACACS-protokollen, som dateres tilbake til 1984, ble brukt for kommunikasjon med en autentiseringsserver, vanlig i eldre UNIX -nettverk , designet for ARPANET -nettverket . Flere protokoller er generert fra TACACS:

Historie

TACACS ble opprinnelig utviklet i 1984 av BBN Technologies for styring av MILNET , utpekt for uklassifisert trafikk av det amerikanske forsvarsdepartementet og som senere skulle bli erstattet av NIPRNet . Opprinnelig tenkt som et middel for å automatisere autentisering - slik at en bruker som allerede er registrert på en vert på nettverket kan koble seg til en annen vert på samme nettverk uten behov for re-autentisering - ble det formelt beskrevet av Brian A. Anderson fra BBN, i desember 1984 i IETF RFC 927 . [1] [2] Cisco Systems begynte å støtte TACACS i sine nettverksprodukter på slutten av 1980-tallet, med tillegg av flere protokollutvidelser. I 1990 ble utvidelsene Cisco introduserte til TACACS en ny proprietær protokoll kalt Extended TACACS (XTACACS). Selv om TACACS og XTACACS ikke var utformet som gratis protokoller, publiserte Craig Finseth fra University of Minnesota, også med bistand fra Cisco, en beskrivelse av begge protokollene i 1993 i IETF RFC 1492 kun for informasjonsformål. [1] [3] [4]

Teknisk beskrivelse

TACACS

TACACS er definert i RFC 1492 og utnytter kommunikasjon med UDP- eller TCP -pakker, ved bruk av port 49 som standard . Data utveksles mellom klient og server gjennom TACACS-pakker (som har en lengde mellom 6 og 516 byte), som settes inn i datafeltet til UDP-pakker. Brukernavn og passord sendes uten kryptering og evalueres på en måte som ikke skiller mellom store og små bokstaver . TACACS lar en klient med brukernavn og passord sende en forespørsel til TACACS-autentiseringsserveren, som også kalles TACACS Daemon eller ganske enkelt TACACSD . TACACSD bruker TCP-kommunikasjon og bruker vanligvis port 49. Denne serveren er i de fleste tilfeller et program som kjøres på en bestemt datamaskin, som ved å behandle klientens forespørsel tillater eller nekter tilgang. Den bør avgjøre om den skal godta eller avvise autentiseringsforespørselen og sende et svar. TIP (distribusjonsnoden for å akseptere oppringt linjeforbindelser) vil da tillate tilgang eller ikke, basert på svaret.

TACACS +

TACACS + og RADIUS har erstattet TACACS og XTACACS i nyere eller oppgraderte nettverk. TACACS + er en helt ny protokoll og er ikke kompatibel med sine forgjengere, TACACS og XTACACS. TACACS + bruker TCP (mens RADIUS opererer over UDP). Siden TACACS + bruker en arkitektur med autentisering, autorisasjon og regnskap (AAA), kan disse separate protokollkomponentene administreres separat på forskjellige servere. [5] Siden TCP er en tilkoblingsorientert protokoll, trenger ikke TACACS + implementere overføringskontroll, mens RADIUS må oppdage og korrigere overføringsfeil, som pakketap og timeout, takket være bruken av UDP som ikke har en reell kommunikasjonskanal. RADIUS krypterer bare brukernes passord når den går fra RADIUS-klienten til RADIUS-serveren; all annen informasjon, som brukernavn, autorisasjon og regnskap, overføres i stedet i klartekst. Derfor er den sårbar for ulike typer angrep. TACACS + krypterer dataene som er oppført ovenfor og har derfor ikke sårbarhetene i RADIUS-protokollen. TACACS + er en CISCO-designet TACACS-utvidelse som koder for hele innholdet i hver pakke. Den gir også granulær kontroll (kommandoautorisasjon) og lar deg kontrollere hvilke kommandoer brukere kan utføre på en ruter. TACACS +-protokollen tilbyr støtte for flere protokoller, for eksempel:

TACACS + tjenester

Som nevnt tidligere, bruker TACACS + AAA-sikkerhetstjenester, som kan gi:

  • Autentisering : Gir full påloggings- og passordautentiseringskontroll, samtidighet og svar, meldingsstøtte. Autentiseringsstrukturen gir mulighet for å føre en vilkårlig dialog med brukeren. I tillegg støtter TACACS + autentiseringstjenesten sending av meldinger til brukermonitorer. For eksempel kan en melding varsle brukere om at passord må endres på grunn av selskapets retningslinjer for aldring av passord.
  • Autorisasjon : Gir finmasket kontroll over brukerfunksjonalitet under varigheten av økten, for eksempel tilgangskontroll, øktvarighet eller protokollstøtte. Du kan også bruke begrensninger på hva en bruker kan gjøre med TACACS + autorisasjonsfunksjonen.
  • Regnskap : Samler inn og sender informasjon som brukes til fakturering, revisjon og rapportering til TACACS + daemon. Nettverksadministratorer kan bruke regnskapsfunksjonen til å overvåke brukeraktivitet for en sikkerhetssjekk eller for å gi brukerfaktureringsinformasjon. Ledger-poster inkluderer brukeridentiteter, utførte kommandoer (som PPP), antall pakker og antall byte.
TACACS + operasjoner

Når en bruker forsøker en enkel ASCII-pålogging for å autentisere til en server via TACACS+, tas flere trinn:

  1. Når tilkoblingen er opprettet, vil nettverkstilgangsserveren kontakte TACACS +-demonen for å få en brukernavn-forespørsel, som deretter vises til brukeren selv. Brukeren skriver inn brukernavnet og nettverkstilgangsserveren og samhandler med TACACS +-demonen for å be om passordet. Serveren viser ledeteksten, brukeren skriver inn et passord og passordet sendes deretter til TACACS + daemon.
  2. Påloggingsserveren vil motta ett av følgende svar fra TACACS + daemon: GODKJENNING - Brukeren er autentisert og tjenesten kan begynne. Hvis serveren er konfigurert til å gi autorisasjon, vil den bli sendt; AVVIS - Brukeren klarte ikke å autentisere og kan bli nektet ytterligere tilgang, eller det kan være nødvendig å gjenta påloggingssekvensen avhengig av TACACS +-demonen; FEIL - Det oppstod en feil under autentisering. Dette kan skje i daemonen eller i nettverksforbindelsen mellom demonen og serveren. Hvis et FEIL-svar mottas, prøver serveren å bruke en alternativ metode for autentisering; FORTSETT – En forespørsel om ytterligere autentiseringsinformasjon sendes til brukeren.
  3. En PAP-pålogging ligner på en ASCII-pålogging, bortsett fra at brukernavnet og passordet kommer til påloggingsserveren i en PAP-protokollpakke i stedet for å skrives inn direkte av brukeren.
  4. Hvis TACACS +-autorisasjon er nødvendig, kontaktes TACACS +-demonen igjen og returnerer et godta eller avslå svar. Hvis ACCEPT returneres, vil svaret inneholde data i form av attributter som brukes til å dirigere EXEC- eller NETWORK-sesjonen for den brukeren, og bestemme tjenester som brukeren har tilgang til. Generelt tilgjengelige tjenester er: Telnet , rlogin , Point-to-Point Protocol ( PPP ), Serial Line Internet Protocol ( SLIP ), EXEC-tjenester og tilkoblingsparametere, inkludert verts- eller IP-adressen til klienten, tilgangslisten og tidsavbrudd for brukere .

Merknader

  1. ^ a b Dooley, Kevin og Brown, Ian, Cisco Cookbook , O'Reilly Media, 2003, s. 137, ISBN  978-1-4493-9095-2 .
  2. ^ Anderson, Brian, TACACS User Identification Telnet Option , på tools.ietf.org , Internet Engineering Task Force, desember 1984. Hentet 22. februar 2014 .
  3. ^ Ballad, Bill, Ballad, Tricia og Banks, Erin, Access Control, Authentication, and Public Key Infrastructure , Jones & Bartlett Learning, 2011, s. 278-280, ISBN  978-0-7637-9128-5 .
  4. ^ Finseth, Craig, An Access Control Protocol, Sometimes Called TACACS , på tools.ietf.org , Internet Engineering Task Force, juli 1993. Hentet 22. februar 2014 .
  5. ^ TACACS + og RADIUS-sammenligning Cisco.com , Cisco, 14. januar 2008. Hentet 9. september 2014 .

Relaterte elementer

Eksterne lenker