El sistema de control de acceso a terminales ( TACACS , / ˈtækæks / ) se refiere a una familia de protocolos relacionados que manejan la autenticación remota y servicios relacionados para el control de acceso a la red a través de un servidor centralizado. El protocolo TACACS original , que data de 1984, se utilizó para comunicarse con un servidor de autenticación, común en redes UNIX más antiguas, incluidas , entre otras, ARPANET , MILNET y BBNNET. Engendró protocolos relacionados:
TACACS fue desarrollado originalmente en 1984 por BBN, más tarde conocida como BBN Technologies , para la administración de ARPANET y MILNET, que ejecutaban tráfico de red no clasificado para DARPA en ese momento y luego evolucionarían hacia NIPRNet del Departamento de Defensa de los EE. UU . Originalmente diseñado como un medio para automatizar la autenticación, lo que permite que alguien que ya estaba conectado a un host en la red se conecte a otro en la misma red sin necesidad de volver a autenticarse, fue descrito formalmente por primera vez por Brian Anderson TAC Access Control System Protocols, BBN Tech Memo CC-0045 de BBN con un cambio menor para evitar el doble inicio de sesión en TELNET en diciembre de 1984 en IETF RFC 927. [1] [2] Cisco Systems comenzó a admitir TACACS en sus productos de red a fines de la década de 1980, y eventualmente agregó varias extensiones al protocolo. En 1990, las extensiones de Cisco sobre TACACS se convirtieron en un protocolo propietario llamado Extended TACACS (XTACACS). Aunque TACACS y XTACACS no son estándares abiertos, Craig Finseth de la Universidad de Minnesota, con la ayuda de Cisco, publicó una descripción de los protocolos en 1993 como IETF RFC 1492 con fines informativos. [1] [3] [4]
TACACS se define en RFC 1492 y utiliza (ya sea TCP o UDP ) el puerto 49 de forma predeterminada. TACACS permite que un cliente acepte un nombre de usuario y una contraseña y envíe una consulta a un servidor de autenticación TACACS, a veces llamado demonio TACACS. Este determina si acepta o rechaza la solicitud de autenticación y envía una respuesta. El TIP (nodo de enrutamiento que acepta conexiones de línea de acceso telefónico, en las que el usuario normalmente querría iniciar sesión) permitiría o no el acceso, según la respuesta. De esta manera, el proceso de toma de decisiones se "abre" y los algoritmos y datos utilizados para tomar la decisión están bajo el control total de quien esté ejecutando el demonio TACACS.
El TACACS extendido (XTACACS) amplía el protocolo TACACS con funciones adicionales. También separa las funciones de autenticación, autorización y contabilidad (AAA) en procesos separados, lo que permite que sean manejadas por servidores y tecnologías independientes. [5]
TACACS+ es una extensión de TACACS diseñada por Cisco que se describe en RFC 8907. TACACS+ incluye un mecanismo que se puede utilizar para ofuscar el cuerpo de cada paquete, dejando el encabezado en texto claro. Además, proporciona un control granular en forma de autorización comando por comando. [6]
TACACS+ ha reemplazado en general a TACACS y XTACACS en redes construidas o actualizadas más recientemente. TACACS+ es un protocolo completamente nuevo que no es compatible con sus predecesores, TACACS y XTACACS.
Hay una serie de diferencias entre los dos protocolos que los hacen sustancialmente diferentes en el uso normal.
TACACS+ solo puede usar TCP, mientras que RADIUS normalmente opera sobre UDP, [7] pero también puede usar TCP (RFC6613) y, para mayor seguridad, TLS (RFC 6614) y DTLS (RFC7360).
TACACS+ puede funcionar en dos modos. En uno de ellos, todo el tráfico, incluidas las contraseñas, se envía en texto sin formato y la única seguridad es el filtrado de direcciones IP. El otro modo es la ofuscación de datos (RFC 8907, sección 4.5), en la que el encabezado del paquete es texto sin formato, pero el cuerpo, incluidas las contraseñas, se ofusca con un método basado en MD5. El método de ofuscación basado en MD5 es similar al que se utiliza para el atributo de usuario-contraseña de RADIUS (RFC 2865, sección 5.2) y, por lo tanto, tiene propiedades de seguridad similares.
Otra diferencia es que TACACS+ se utiliza únicamente para el acceso de los administradores a los equipos de red, mientras que RADIUS se utiliza con mayor frecuencia para la autenticación de usuarios finales. TACACS+ admite la "autorización de comandos", en la que un administrador puede iniciar sesión en un equipo de red e intentar emitir comandos. El equipo utilizará TACACS+ para enviar cada comando a un servidor TACACS+, que puede optar por autorizar o rechazar el comando.
Existe una funcionalidad similar en RADIUS en RFC 5607, pero el soporte para ese estándar parece ser deficiente o inexistente.
TACACS+ ofrece una funcionalidad sólida para la autenticación de administradores y la autorización de comandos, pero básicamente nunca se utiliza para autenticar el acceso de los usuarios finales a las redes. Por el contrario, RADIUS ofrece una funcionalidad mínima para la autenticación de administradores y la autorización de comandos, al tiempo que ofrece un soporte sólido (y se utiliza ampliamente) para la autenticación, autorización y contabilidad de usuarios finales.
Como tal, los dos protocolos tienen poca superposición en funcionalidad o uso común.
Esta sección puede contener información no verificada o indiscriminada en listas incrustadas . ( Septiembre de 2022 ) |
Implementaciones de clientes
Implementaciones de servidores