Sistema Terminal Access Controller Access-Control ( TACACS , / t æ k æ k s / ) se refiere a una familia de manipulación de autenticación remota y servicios relacionados para el control de acceso en red a través de un servidor centralizado protocolos relacionados. El protocolo TACACS original , que se remonta a 1984, se utilizó para comunicarse con un servidor de autenticación, común en las redes UNIX más antiguas ; generó protocolos relacionados:
TACACS fue desarrollado originalmente en 1984 por BBN Technologies para la administración de MILNET , que se desarrolló el tráfico de red no clasificada por DARPA en el momento y más tarde se convertiría en el Departamento de Defensa de Estados Unidos 's NIPRNet . Diseñado originalmente como un medio para automatizar la autenticación, lo que permite que alguien que ya haya iniciado sesión en un host de la red se conecte a otro en la misma red sin necesidad de volver a autenticarse, fue descrito formalmente por primera vez por Brian Anderson de BBN en diciembre de 1984 en IETF. RFC 927. [1] [2] Cisco Systemscomenzó a admitir TACACS en sus productos de red a fines de la década de 1980, y finalmente agregó varias extensiones al protocolo. En 1990, las extensiones de Cisco en la parte superior de TACACS se convirtieron en un protocolo propietario llamado Extended TACACS (XTACACS). Aunque TACACS y XTACACS no son estándares abiertos, Craig Finseth de la Universidad de Minnesota, con la ayuda de Cisco, publicó una descripción de los protocolos en 1993 en IETF RFC 1492 con fines informativos. [1] [3] [4]
TACACS se define en el RFC 8907 (RFC 1492 mayores), y usos (ya sea TCP o UDP ) del puerto 49 por defecto. TACACS permite a un cliente para aceptar un nombre de usuario y contraseña y envía una consulta a un servidor de autenticación TACACS, a veces llamado un daemon TACACS o simplemente TACACSD. Sería determinar si acepta o rechaza la solicitud de autenticación y enviar una copia de la respuesta. La punta (enrutamiento nodo aceptar conexiones de la línea de acceso telefónico, que el usuario normalmente desea iniciar sesión en en) sería entonces permitir el acceso o no, en base a la respuesta. De esta manera, el proceso de hacer la decisión es "abierto" y los algoritmos y los datos utilizados para tomar la decisión están bajo el control completo de quien se está ejecutando el daemon TACACS.
XTACACS, que significa Extended TACACS, proporciona funcionalidad adicional para el protocolo TACACS. También separa las funciones de autenticación, autorización y contabilidad (AAA) en procesos separados, incluso permitiendo que sean manejados por servidores y tecnologías separados. [5]
TACACS + y RADIUS general han sustituido TACACS y XTACACS en las redes más recientemente construidas o actualizados. TACACS + es un protocolo completamente nuevo y no es compatible con sus predecesores, TACACS y XTACACS. TACACS + usa TCP (mientras que RADIUS opera sobre UDP). [6]
Dado que TCP es un protocolo orientado a la conexión, TACACS + tiene que implementar el control de transmisión. RADIUS, sin embargo, no tiene que detectar y corregir errores de transmisión como pérdida de paquetes , tiempo de espera, etc. ya que funciona en UDP que no tiene conexión . RADIUS cifra solo la contraseña de los usuarios a medida que viaja desde el cliente RADIUS al servidor RADIUS. Toda la demás información, como el nombre de usuario, la autorización y la contabilidad, se transmiten en texto sin cifrar. Por tanto, es vulnerable a diferentes tipos de ataques. TACACS + cifra toda la información mencionada anteriormente y por lo tanto no tiene las vulnerabilidades presentes en el protocolo RADIUS.