TACACS

Protocolo de red informática

El sistema de control de acceso a terminales ( TACACS , / ˈtækæks / ) se refiere a una familia de protocolos relacionados que manejan la autenticación remota y los servicios relacionados para el control de acceso a la red a través de un servidor centralizado. El protocolo TACACS original , que data de 1984, se utilizó para comunicarse con un servidor de autenticación, común en redes UNIX más antiguas, incluidas, entre otras, ARPANET , MILNET y BBNNET. Engendró protocolos relacionados:

  • TACACS Extendido ( XTACACS ) es una extensión patentada de TACACS introducida por Cisco Systems en 1990 sin compatibilidad con versiones anteriores del protocolo original. TACACS y XTACACS permiten que un servidor de acceso remoto se comunique con un servidor de autenticación para determinar si el usuario tiene acceso a la red.
  • TACACS Plus ( TACACS+ ) es un protocolo desarrollado por Cisco y publicado como estándar abierto a principios de 1993. Aunque se deriva de TACACS, TACACS+ es un protocolo independiente que maneja servicios de autenticación, autorización y contabilidad (AAA) . TACACS+ ha reemplazado en gran medida a sus predecesores.

Historia

TACACS fue desarrollado originalmente en 1984 por BBN, más tarde conocida como BBN Technologies , para la administración de ARPANET y MILNET, que ejecutaban tráfico de red no clasificado para DARPA en ese momento y luego evolucionarían hacia NIPRNet del Departamento de Defensa de los EE. UU . Originalmente diseñado como un medio para automatizar la autenticación, lo que permite que alguien que ya estaba conectado a un host en la red se conecte a otro en la misma red sin necesidad de volver a autenticarse, fue descrito formalmente por primera vez por Brian Anderson TAC Access Control System Protocols, BBN Tech Memo CC-0045 de BBN con un cambio menor para evitar el doble inicio de sesión en TELNET en diciembre de 1984 en IETF RFC 927. [1] [2] Cisco Systems comenzó a admitir TACACS en sus productos de red a fines de la década de 1980, y eventualmente agregó varias extensiones al protocolo. En 1990, las extensiones de Cisco sobre TACACS se convirtieron en un protocolo propietario llamado Extended TACACS (XTACACS). Aunque TACACS y XTACACS no son estándares abiertos, Craig Finseth de la Universidad de Minnesota, con la ayuda de Cisco, publicó una descripción de los protocolos en 1993 como IETF RFC 1492 con fines informativos. [1] [3] [4]

Descripciones técnicas

TACACS

TACACS se define en RFC 1492 y utiliza (ya sea TCP o UDP ) el puerto 49 de forma predeterminada. TACACS permite que un cliente acepte un nombre de usuario y una contraseña y envíe una consulta a un servidor de autenticación TACACS, a veces llamado demonio TACACS. Este determina si acepta o rechaza la solicitud de autenticación y envía una respuesta. El TIP (nodo de enrutamiento que acepta conexiones de línea de acceso telefónico, en las que el usuario normalmente querría iniciar sesión) permitiría o no el acceso, según la respuesta. De esta manera, el proceso de toma de decisiones se "abre" y los algoritmos y datos utilizados para tomar la decisión están bajo el control total de quien esté ejecutando el demonio TACACS.

XTACACS

El TACACS extendido (XTACACS) amplía el protocolo TACACS con funciones adicionales. También separa las funciones de autenticación, autorización y contabilidad (AAA) en procesos separados, lo que permite que sean manejadas por servidores y tecnologías independientes. [5]

TACACS+

TACACS+ es una extensión de TACACS diseñada por Cisco que se describe en RFC 8907. TACACS+ incluye un mecanismo que se puede utilizar para ofuscar el cuerpo de cada paquete, dejando el encabezado en texto claro. Además, proporciona un control granular en forma de autorización comando por comando. [6]

TACACS+ ha reemplazado en general a TACACS y XTACACS en redes construidas o actualizadas más recientemente. TACACS+ es un protocolo completamente nuevo que no es compatible con sus predecesores, TACACS y XTACACS.

Comparación con RADIUS

Hay una serie de diferencias entre los dos protocolos que los hacen sustancialmente diferentes en el uso normal.

TACACS+ solo puede usar TCP, mientras que RADIUS normalmente opera sobre UDP, [7] pero también puede usar TCP (RFC6613) y, para mayor seguridad, TLS (RFC 6614) y DTLS (RFC7360).

TACACS+ puede funcionar en dos modos. En uno de ellos, todo el tráfico, incluidas las contraseñas, se envía en texto sin formato y la única seguridad es el filtrado de direcciones IP. El otro modo es la ofuscación de datos (RFC 8907, sección 4.5), en la que el encabezado del paquete es texto sin formato, pero el cuerpo, incluidas las contraseñas, se ofusca con un método basado en MD5. El método de ofuscación basado en MD5 es similar al que se utiliza para el atributo de usuario-contraseña de RADIUS (RFC 2865, sección 5.2) y, por lo tanto, tiene propiedades de seguridad similares.

Otra diferencia es que TACACS+ se utiliza únicamente para el acceso de los administradores a los equipos de red, mientras que RADIUS se utiliza con mayor frecuencia para la autenticación de usuarios finales. TACACS+ admite la "autorización de comandos", en la que un administrador puede iniciar sesión en un equipo de red e intentar emitir comandos. El equipo utilizará TACACS+ para enviar cada comando a un servidor TACACS+, que puede optar por autorizar o rechazar el comando.

Existe una funcionalidad similar en RADIUS en RFC 5607, pero el soporte para ese estándar parece ser deficiente o inexistente.

TACACS+ ofrece una funcionalidad sólida para la autenticación de administradores y la autorización de comandos, pero básicamente nunca se utiliza para autenticar el acceso de los usuarios finales a las redes. Por el contrario, RADIUS ofrece una funcionalidad mínima para la autenticación de administradores y la autorización de comandos, al tiempo que ofrece un soporte sólido (y se utiliza ampliamente) para la autenticación, autorización y contabilidad de usuarios finales.

Como tal, los dos protocolos tienen poca superposición en funcionalidad o uso común.

Implementaciones

Implementaciones de clientes

Implementaciones de servidores

  • Módulo TACACS+ de FreeRADIUS, una implementación de código abierto disponible desde la versión 4.0
  • Tac_plus de Shrubbery, una implementación de código abierto para Linux
  • Tac_plus-ng de Pro-Bono-Publico, una implementación de código abierto para Linux
  • Tac_plus VM, tac_plus con un webadmin agregado en una VM (ya no se actualiza)
  • Aruba ClearPass Policy Manager, una implementación propietaria
  • Cisco Identity Services Engine, una implementación propietaria
  • Portnox TACACS+-as-a-Service, una implementación propietaria como servicio alojado en la nube
  • Pulse Secure Pulse Policy Secure, una implementación propietaria
  • TACACS.net, una implementación propietaria de TACACS+ para Windows
  • Augur Systems TACACS+, una biblioteca Java gratuita de código abierto (cliente completo, con marco para un servidor)

Documentos de normas

  • RFC 927 – Opción Telnet de identificación de usuario TACACS
  • RFC 1492: un protocolo de control de acceso, a veces llamado TACACS
  • RFC 8907 – Protocolo TACACS+ (sistema de control de acceso a controladores de acceso a terminales)
  • RFC 9105 – Un modelo de datos YANG para el sistema de control de acceso a terminales TACACS+

Véase también

Referencias

  1. ^ ab Dooley, Kevin; Brown, Ian (2003). Cisco Cookbook. O'Reilly Media. pág. 137. ISBN 9781449390952. Archivado desde el original el 24 de junio de 2016.
  2. ^ Brian A. Anderson (diciembre de 1984). TACACS User Identification Telnet Option. Grupo de trabajo de redes. doi : 10.17487/RFC0927 . RFC 927. Norma propuesta.
  3. ^ Ballad, Bill; Ballad, Tricia; Banks, Erin (2011). Control de acceso, autenticación e infraestructura de clave pública . Jones & Bartlett Learning. págs. 278–280. ISBN 9780763791285.
  4. ^ C. Finseth (julio de 1993). Un protocolo de control de acceso, a veces llamado TACACS. Grupo de trabajo de redes. doi : 10.17487/RFC1492 . RFC 1492. Informativo.
  5. ^ "Pasaporte de certificación CompTIA Security+ de Mike Meyers, segunda edición: descarga gratuita en formato PDF". epdf.pub . Consultado el 3 de agosto de 2019 .
  6. ^ T. Dahm; A. Ota; DC Medway Gash; D. Carrel; L. Grant (septiembre de 2020). Protocolo TACACS+ (sistema de control de acceso a controladores de acceso a terminales). Grupo de trabajo de ingeniería de Internet . doi : 10.17487/RFC8907 . ISSN  2070-1721. RFC 8907. Informativo.
  7. ^ "Comparación de TACACS+ y RADIUS". Cisco. 14 de enero de 2008. Archivado desde el original el 7 de septiembre de 2014 . Consultado el 9 de septiembre de 2014 .
  • Un análisis del protocolo TACACS+ y sus implementaciones desde el punto de vista de la seguridad, por Openwall
  • Beneficios y mejores prácticas de TACACS+
Obtenido de "https://es.wikipedia.org/w/index.php?title=TACACS&oldid=1244909255"