Sistema Terminal Access Controller Access-Control ( TACACS , / t æ k æ k s / ) se refiere a una familia de manipulación de autenticación remota y servicios relacionados para el control de acceso en red a través de un servidor centralizado protocolos relacionados. El protocolo TACACS original , que se remonta a 1984, se utilizó para comunicarse con un servidor de autenticación, común en las redes UNIX más antiguas ; generó protocolos relacionados:
- Extended TACACS ( XTACACS ) es una extensión propietaria de TACACS introducida por Cisco Systems en 1990 sin compatibilidad con versiones anteriores del protocolo original. TACACS y XTACACS permiten que un servidor de acceso remoto se comunique con un servidor de autenticación para determinar si el usuario tiene acceso a la red.
- Terminal Access Controller Access-Control System Plus ( TACACS + ) es un protocolo desarrollado por Cisco y lanzado como estándar abierto a partir de 1993. Aunque derivado de TACACS, TACACS + es un protocolo separado que maneja los servicios de autenticación, autorización y contabilidad (AAA) . TACACS + ha reemplazado en gran medida a sus predecesores.
Historia
TACACS fue desarrollado originalmente en 1984 por BBN Technologies para la administración de MILNET , que se desarrolló el tráfico de red no clasificada por DARPA en el momento y más tarde se convertiría en el Departamento de Defensa de Estados Unidos 's NIPRNet . Originalmente diseñado como un medio para automatizar la autenticación, lo que permite que alguien que ya haya iniciado sesión en un host de la red se conecte a otro en la misma red sin necesidad de volver a autenticarse, fue descrito formalmente por primera vez por Brian Anderson de BBN en diciembre de 1984 en IETF. RFC 927. [1] [2] Cisco Systems comenzó a admitir TACACS en sus productos de red a fines de la década de 1980, y finalmente agregó varias extensiones al protocolo. En 1990, las extensiones de Cisco en la parte superior de TACACS se convirtieron en un protocolo propietario llamado Extended TACACS (XTACACS). Aunque TACACS y XTACACS no son estándares abiertos, Craig Finseth de la Universidad de Minnesota, con la ayuda de Cisco, publicó una descripción de los protocolos en 1993 en IETF RFC 1492 con fines informativos. [1] [3] [4]
Descripciones técnicas
TACACS
TACACS se define en RFC 8907 (anterior rfc 1492) y utiliza (ya sea TCP o UDP ) el puerto 49 de forma predeterminada. TACACS permite que un cliente acepte un nombre de usuario y contraseña y envíe una consulta a un servidor de autenticación TACACS, a veces llamado demonio TACACS o simplemente TACACSD. Determinaría si acepta o rechaza la solicitud de autenticación y envía una respuesta. El TIP (nodo de enrutamiento que acepta conexiones de línea de acceso telefónico, en las que el usuario normalmente querría iniciar sesión) permitiría el acceso o no, según la respuesta. De esta manera, el proceso de toma de decisiones se "abre" y los algoritmos y datos utilizados para tomar la decisión están bajo el control completo de quien esté ejecutando el demonio TACACS.
XTACACS
XTACACS, que significa Extended TACACS, proporciona funcionalidad adicional para el protocolo TACACS. También separa las funciones de autenticación, autorización y contabilidad (AAA) en procesos separados, incluso permitiendo que sean manejados por servidores y tecnologías separados. [5]
TACACS +
TACACS + y RADIUS generalmente han reemplazado a TACACS y XTACACS en redes construidas o actualizadas más recientemente. TACACS + es un protocolo completamente nuevo y no es compatible con sus predecesores, TACACS y XTACACS. TACACS + usa TCP (mientras que RADIUS opera sobre UDP). [6]
Dado que TCP es un protocolo orientado a la conexión, TACACS + tiene que implementar el control de transmisión. RADIUS, sin embargo, no tiene que detectar y corregir errores de transmisión como pérdida de paquetes , tiempo de espera, etc., ya que funciona en UDP, que no tiene conexión . RADIUS cifra solo la contraseña de los usuarios a medida que viaja desde el cliente RADIUS al servidor RADIUS. Toda la demás información, como el nombre de usuario, la autorización y la contabilidad, se transmiten en texto sin cifrar. Por tanto, es vulnerable a diferentes tipos de ataques. TACACS + cifra toda la información mencionada anteriormente y por lo tanto no tiene las vulnerabilidades presentes en el protocolo RADIUS.
TACACS + es una extensión diseñada por CISCO para TACACS que encripta el contenido completo de cada paquete. Además, proporciona control granular (comando por autorización de comando).
Implementaciones
- Cliente TACACS + y módulo PAM
- tacacs + VM , una implementación de tac_plus + webadmin desde en una VM
- TACACS.net , una implementación gratuita de TACACS + para Windows
- TAC_plus de arbustos
- TAC_plus de Pro-Bono-Publico
- Módulo FreeRADIUS TACACS + disponible a partir de v4.0
Ver también
Referencias
- ^ a b Dooley, Kevin; Brown, Ian (2003). Libro de cocina de Cisco . O'Reilly Media. pag. 137. ISBN 9781449390952. Archivado desde el original el 24 de junio de 2016.
- ^ Anderson, Brian (diciembre de 1984). "Opción Telnet de identificación de usuario TACACS" . Grupo de Trabajo de Ingeniería de Internet. Archivado desde el original el 12 de agosto de 2014 . Consultado el 22 de febrero de 2014 .
- ^ Balada, Bill; Balada, Tricia; Banks, Erin (2011). Control de acceso, autenticación e infraestructura de clave pública . Jones y Bartlett Learning. págs. 278–280. ISBN 9780763791285.
- ^ Finseth, Craig (julio de 1993). "Un protocolo de control de acceso, a veces llamado TACACS" . Grupo de Trabajo de Ingeniería de Internet. Archivado desde el original el 22 de febrero de 2014 . Consultado el 22 de febrero de 2014 .
- ^ "Pasaporte de certificación CompTIA Security + de Mike Meyers, segunda edición - Descarga gratuita de PDF" . epdf.pub . Consultado el 3 de agosto de 2019 .
- ^ "Comparación de TACACS + y RADIUS" . Cisco. 14 de enero de 2008. Archivado desde el original el 7 de septiembre de 2014 . Consultado el 9 de septiembre de 2014 .
enlaces externos
- Descripción general de la tecnología AAA
- Un análisis del protocolo TACACS + y sus implementaciones desde el punto de vista de la seguridad, por Openwall
- Beneficios y mejores prácticas de TACACS +
RFC
- RFC 927 - Opción Telnet de identificación de usuario TACACS
- RFC 1492 - Un protocolo de control de acceso, a veces llamado TACACS
- RFC 8907 - Protocolo del sistema de control de acceso del controlador de acceso de terminal Plus (TACACS +)