TACACS - TACACS

Terminal Access Controller Sistema Access-Control ( TACACS , / t Æ k Æ k s / ) refere-se a uma família de protocolos relacionados manuseamento autenticação remoto e serviços relacionados para o controlo de acesso em rede através de um servidor centralizado. O protocolo TACACS original , que remonta a 1984, era usado para se comunicar com um servidor de autenticação, comum em redes UNIX mais antigas ; gerou protocolos relacionados:

• Extended TACACS ( XTACACS ) é uma extensão proprietária do TACACS introduzida pela Cisco Systems em 1990 sem compatibilidade retroativa com o protocolo original. O TACACS e o XTACACS permitem que um servidor de acesso remoto se comunique com um servidor de autenticação para determinar se o usuário tem acesso à rede.
• Terminal Access Controller Access-Control System Plus ( TACACS + ) é um protocolo desenvolvido pela Cisco e lançado como um padrão aberto a partir de 1993. Embora derivado do TACACS, o TACACS + é um protocolo separado que lida com serviços de autenticação, autorização e contabilidade (AAA) . O TACACS + substituiu amplamente seus predecessores.

História

O TACACS foi originalmente desenvolvido em 1984 pela BBN Technologies para administrar MILNET , que executava tráfego de rede não classificado para DARPA na época e mais tarde evoluiria para NIPRNet do Departamento de Defesa dos EUA . Originalmente projetado como um meio de automatizar a autenticação - permitindo que alguém que já estava logado em um host na rede se conecte a outro na mesma rede sem precisar se autenticar novamente - foi descrito pela primeira vez formalmente por Brian Anderson da BBN em dezembro de 1984 no IETF RFC 927. A Cisco Systems começou a oferecer suporte ao TACACS em seus produtos de rede no final da década de 1980, eventualmente adicionando várias extensões ao protocolo. Em 1990, as extensões da Cisco no topo do TACACS tornaram-se um protocolo proprietário denominado Extended TACACS (XTACACS). Embora o TACACS e o XTACACS não sejam padrões abertos, Craig Finseth da Universidade de Minnesota, com a ajuda da Cisco, publicou uma descrição dos protocolos em 1993 no IETF RFC 1492 para fins informativos.

Descrições técnicas

TACACS

O TACACS é definido no RFC 8907 (rfc 1492 mais antigo) e usa a porta 49 ( TCP ou UDP ) por padrão. O TACACS permite que um cliente aceite um nome de usuário e uma senha e envie uma consulta a um servidor de autenticação TACACS, às vezes chamado de daemon TACACS ou simplesmente TACACSD. Ele determinaria se deve aceitar ou negar a solicitação de autenticação e enviar uma resposta de volta. O TIP (nó de roteamento que aceita conexões de linha dial-up, em que o usuário normalmente deseja fazer o login) permitiria o acesso ou não, com base na resposta. Desta forma, o processo de tomada de decisão é "aberto" e os algoritmos e dados usados ​​para tomar a decisão ficam sob o controle total de quem está executando o daemon TACACS.

XTACACS

XTACACS, que significa Extended TACACS, fornece funcionalidade adicional para o protocolo TACACS. Ele também separa as funções de autenticação, autorização e contabilidade (AAA) em processos separados, permitindo até que sejam manipulados por servidores e tecnologias separados.

TACACS +

O TACACS + e o RADIUS geralmente substituíram o TACACS e o XTACACS em redes construídas ou atualizadas mais recentemente. TACACS + é um protocolo inteiramente novo e não é compatível com seus predecessores, TACACS e XTACACS. O TACACS + usa TCP (enquanto o RADIUS opera sobre UDP).

Como o TCP é um protocolo orientado à conexão, o TACACS + deve implementar o controle de transmissão. O RADIUS, no entanto, não precisa detectar e corrigir erros de transmissão como perda de pacotes , tempo limite, etc., uma vez que funciona em UDP, que não tem conexão . O RADIUS criptografa apenas a senha dos usuários à medida que ela passa do cliente RADIUS para o servidor RADIUS. Todas as outras informações, como nome de usuário, autorização e contabilidade, são transmitidas em texto não criptografado. Portanto, é vulnerável a diferentes tipos de ataques. O TACACS + criptografa todas as informações mencionadas acima e, portanto, não possui as vulnerabilidades presentes no protocolo RADIUS.

O TACACS + é uma extensão projetada pela Cisco para o TACACS que criptografa todo o conteúdo de cada pacote. Além disso, fornece controle granular (comando por autorização de comando).

Implementações

• Cliente TACACS + e módulo PAM
• tacacs + VM , uma implementação de tac_plus + webadmin a partir de uma VM
• TACACS.net , uma implementação gratuita do TACACS + para Windows
• TAC_plus de Shrubbery
• TAC_plus da Pro-Bono-Publico
• Módulo FreeRADIUS TACACS + disponível a partir da v4.0

Veja também

• Lista de protocolos de autenticação
• RAIO
• Kerberos
• Diâmetro

Referências

links externos

• Visão geral da tecnologia AAA
• Uma análise do protocolo TACACS + e suas implementações do ponto de vista da segurança, por Openwall
• Benefícios e práticas recomendadas do TACACS +

RFC

• RFC  927 - Opção de Telnet de Identificação de Usuário TACACS
• RFC  1492 - Um protocolo de controle de acesso, às vezes chamado de TACACS
• RFC  8907 - Protocolo do Sistema de Controle de Acesso ao Terminal Access Controller (TACACS +)