ТАКАКС

Система контроля доступа контроллера терминального доступа ( TACACS , / ˈ t æ k æ k s / ) относится к семейству связанных протоколов, обрабатывающих удаленную аутентификацию и соответствующие услуги для управления доступом к сети через централизованный сервер. Исходный протокол TACACS , появившийся в 1984 году, использовался для связи с сервером аутентификации, распространенным в старых сетях UNIX , включая, помимо прочего, ARPANET , MILNET и BBNNET. Это породило связанные протоколы:

Расширенный TACACS ( XTACACS ) — это собственное расширение TACACS, представленное Cisco Systems в 1990 году, без обратной совместимости с исходным протоколом. TACACS и XTACACS позволяют серверу удаленного доступа взаимодействовать с сервером аутентификации, чтобы определить, имеет ли пользователь доступ к сети.
TACACS Plus ( TACACS+ ) — это протокол, разработанный Cisco и выпущенный как открытый стандарт с 1993 года. Хотя TACACS+ является производным от TACACS, он представляет собой отдельный протокол, который обрабатывает аутентификации, авторизации и учета (AAA) службы . TACACS+ во многом заменил своих предшественников.

История [ править ]

TACACS был первоначально разработан в 1984 году компанией BBN, позже известной как BBN Technologies , для администрирования ARPANET и MILNET, которые в то время управляли несекретным сетевым трафиком для DARPA и позже превратились в обороны США Министерства NIPRNet . Первоначально разработанный как средство автоматизации аутентификации, позволяющий тому, кто уже вошел в систему на одном хосте в сети, подключиться к другому в той же сети без необходимости повторной аутентификации, он был впервые формально описан Брайаном Андерсоном из BBN в протоколах системы контроля доступа TAC. , Техническая заметка BBN CC-0045 с незначительными изменениями, касающимися предотвращения двойного входа в систему TELNET, в декабре 1984 года в IETF RFC 927. ^[1]^[2] Cisco Systems начала поддерживать TACACS в своих сетевых продуктах в конце 1980-х годов, в конечном итоге добавив к протоколу несколько расширений. В 1990 году расширения Cisco поверх TACACS превратились в собственный протокол под названием Extended TACACS (XTACACS). Хотя TACACS и XTACACS не являются открытыми стандартами, Крейг Финсет из Университета Миннесоты при содействии Cisco опубликовал в 1993 году описание этих протоколов под названием IETF RFC 1492 в информационных целях. ^[1]^[3]^[4]

Технические описания [ править ]

ТАКАКС [ править ]

TACACS определен в RFC 8907 (более старый RFC 1492) и использует ( TCP или UDP по умолчанию ) порт 49. TACACS позволяет клиенту принять имя пользователя и пароль и отправить запрос на сервер аутентификации TACACS, иногда называемый демоном TACACS. Он определяет, принять или отклонить запрос аутентификации, и отправляет ответ обратно. TIP (узел маршрутизации, принимающий соединения по коммутируемой линии, в которую обычно хочет войти пользователь) затем разрешит доступ или нет, в зависимости от ответа. Таким образом, процесс принятия решения становится «открытым», а алгоритмы и данные, используемые для принятия решения, находятся под полным контролем того, кто запускает демон TACACS.

XTACACS [ править ]

Расширенный TACACS (XTACACS) расширяет протокол TACACS дополнительными функциями. Он также разделяет функции аутентификации, авторизации и учета (AAA) на отдельные процессы, позволяя обрабатывать их отдельными серверами и технологиями. ^[5]

TACACS+ [ править ]

TACACS+ — это разработанное Cisco расширение TACACS, которое скрывает тело каждого пакета, оставляя заголовок открытым. Более того, он обеспечивает детальный контроль в форме покомандной авторизации.

TACACS+ обычно заменяет TACACS и XTACACS в недавно построенных или обновленных сетях. TACACS+ — это совершенно новый протокол, несовместимый со своими предшественниками TACACS и XTACACS.

Сравнение с RADIUS [ править ]

Между этими двумя протоколами существует ряд различий, которые существенно различают их при обычном использовании.

TACACS+ может использовать только TCP, тогда как RADIUS обычно работает через UDP. ^[6] но также можно использовать TCP (RFC6613), а для дополнительной безопасности — TLS (RFC 6614) и DTLS (RFC7360).

TACACS+ может работать в двух режимах. В одном режиме весь трафик, включая пароли, передается в виде открытого текста, а единственной защитой является фильтрация IP-адресов. Другой режим — это обфускация данных (RFC 8907, раздел 4.5), где заголовок пакета представляет собой открытый текст, но тело, включая пароли, запутывается с помощью метода на основе MD5. Метод обфускации на основе MD5 аналогичен методу, используемому для атрибута User-Password RADIUS (RFC 2865, раздел 5.2), и поэтому имеет аналогичные свойства безопасности.

Еще одно отличие состоит в том, что TACACS+ используется только для доступа администратора к сетевому оборудованию, а RADIUS чаще всего используется для аутентификации конечного пользователя. TACACS+ поддерживает «авторизацию команд», при которой администратор может войти в систему к сетевому оборудованию и попытаться подать команды. Оборудование будет использовать TACACS+ для отправки каждой команды на сервер TACACS+, который может разрешить или отклонить команду.

Аналогичная функциональность существует в RADIUS в RFC 5607, но поддержка этого стандарта кажется плохой или вообще отсутствует.

TACACS+ предлагает надежную функциональность для аутентификации администратора и авторизации команд, но практически никогда не используется для аутентификации доступа конечных пользователей к сетям. Напротив, RADIUS предлагает минимальную функциональность для аутентификации администратора и авторизации команд, в то же время предлагая мощную поддержку (и широко используемую) аутентификацию, авторизацию и учет конечных пользователей.

Таким образом, эти два протокола мало совпадают по функциональности или общему использованию.

Реализации [ править ]

Клиентские реализации

Arista EOS , собственная реализация
Cisco IOS , собственная реализация
Extreme Networks , собственная реализация
Fortinet FortiOS , проприетарная реализация
Juniper Junos OS , проприетарная реализация
Palo Alto Networks PAN-OS , собственная реализация
Pam_tacplus , клиентская библиотека протокола TACACS+ и модуль PAM.
Augur Systems TACACS+ , бесплатная Java-библиотека с открытым исходным кодом.

Реализации сервера

Модуль FreeRADIUS TACACS+ , реализация с открытым исходным кодом, доступная начиная с версии 4.0.
Tac_plus от Shrubbery , реализация с открытым исходным кодом для Linux.
Tac_plus-ng от Pro-Bono-Publico , реализация с открытым исходным кодом для Linux
Tac_plus VM , tac_plus с добавленным веб-администратором на виртуальной машине (больше не обновляется)
Aruba ClearPass Policy Manager , собственная реализация
Cisco Identity Services Engine , собственная реализация
Portnox TACACS+-as-a-Service , собственная реализация в виде облачного сервиса.
Pulse Secure Pulse Policy Secure, запатентованная реализация
TACACS.net , собственная реализация TACACS+ для Windows.
Augur Systems TACACS+ , бесплатная Java-библиотека с открытым исходным кодом (полный клиент, с платформой для сервера)

Документы по стандартам [ править ]

RFC 927 – опция Telnet для идентификации пользователя TACACS
RFC 1492 — протокол контроля доступа, иногда называемый TACACS
RFC 8907 - Протокол системы контроля доступа контроллера терминального доступа Plus (TACACS+)
RFC 9105 - Модель данных YANG для системы управления доступом контроллера терминального доступа Plus (TACACS+)

См. также [ править ]

Ссылки [ править ]

↑ Перейти обратно: Перейти обратно: ^а ^б Дули, Кевин; Браун, Ян (2003). Поваренная книга Cisco . О'Рейли Медиа. п. 137. ИСБН 9781449390952 . Архивировано из оригинала 24 июня 2016 г.
^ Андерсон, Брайан (декабрь 1984 г.). «Опция Telnet для идентификации пользователя TACACS» . Рабочая группа по интернет-инжинирингу. Архивировано из оригинала 12 августа 2014 года . Проверено 22 февраля 2014 г.
^ Баллада, Билл; Баллада, Триша; Бэнкс, Эрин (2011). Инфраструктура контроля доступа, аутентификации и открытых ключей . Джонс и Бартлетт Обучение. стр. 278–280. ISBN 9780763791285 .
^ Финсет, Крейг (июль 1993 г.). «Протокол контроля доступа, иногда называемый TACACS» . Рабочая группа по интернет-инжинирингу. Архивировано из оригинала 22 февраля 2014 года . Проверено 22 февраля 2014 г.
^ «Паспорт сертификации CompTIA Security+ Майка Мейерса, второе издание — скачать бесплатно PDF» . epdf.pub . Проверено 3 августа 2019 г.
^ «Сравнение TACACS+ и RADIUS» . Циско. 14 января 2008 г. Архивировано из оригинала 7 сентября 2014 г. . Проверено 9 сентября 2014 г.

Внешние ссылки [ править ]

Анализ протокола TACACS+ и его реализации с точки зрения безопасности, автор Openwall.
Преимущества и лучшие практики TACACS+

[dooley-1] Перейти обратно: Перейти обратно: ^а ^б Дули, Кевин; Браун, Ян (2003). Поваренная книга Cisco . О'Рейли Медиа. п. 137. ИСБН 9781449390952 . Архивировано из оригинала 24 июня 2016 г.

[anderson-2] Андерсон, Брайан (декабрь 1984 г.). «Опция Telnet для идентификации пользователя TACACS» . Рабочая группа по интернет-инжинирингу. Архивировано из оригинала 12 августа 2014 года . Проверено 22 февраля 2014 г.

[ballad-3] Баллада, Билл; Баллада, Триша; Бэнкс, Эрин (2011). Инфраструктура контроля доступа, аутентификации и открытых ключей . Джонс и Бартлетт Обучение. стр. 278–280. ISBN 9780763791285 .

[finseth-4] Финсет, Крейг (июль 1993 г.). «Протокол контроля доступа, иногда называемый TACACS» . Рабочая группа по интернет-инжинирингу. Архивировано из оригинала 22 февраля 2014 года . Проверено 22 февраля 2014 г.

[5] «Паспорт сертификации CompTIA Security+ Майка Мейерса, второе издание — скачать бесплатно PDF» . epdf.pub . Проверено 3 августа 2019 г.

[tacacs+v.radius-6] «Сравнение TACACS+ и RADIUS» . Циско. 14 января 2008 г. Архивировано из оригинала 7 сентября 2014 г. . Проверено 9 сентября 2014 г.

[1]

[2]

[3]

[4]

[5]

[6]

v т и Аутентификация
Аутентификация API	Аутентификация BSD (BSD Auth) Электронная аутентификация (eAuth) Общий API служб безопасности (GSSAPI) Служба аутентификации и авторизации Java (JAAS) Подключаемые модули аутентификации (PAM) Простой уровень аутентификации и безопасности (SASL) Интерфейс поставщика поддержки безопасности (SSPI) API универсальной базы данных XCert (XUDA)
Аутентификация протоколы	АКФ2 Соглашение об аутентификации и ключах (AKA) Аутентификация на основе CAVE Протокол аутентификации с вызовом и рукопожатием (CHAP) MS-CHAP Центральная служба аутентификации (CAS) CRAM-MD5 Диаметр Расширяемый протокол аутентификации (EAP) Протокол идентификации хоста (HIP) ИндиАут Керберос Менеджер локальной сети NT-менеджер локальной сети (NTLM) OAuth OpenID OpenID Connect (OIDC) соглашения о ключах с аутентификацией паролем Протоколы Протокол аутентификации пароля (PAP) Защищенный расширяемый протокол аутентификации (PEAP) Служба удаленного доступа с коммутируемым доступом (RADIUS) Средство контроля доступа к ресурсам (RACF) Протокол безопасного удаленного пароля (SRP) ТАКАКС Ву-Лам
Категория Коммонс