(T) Radius & TACACS+*
Spis treści
Pokaż
Radius & TACACS+
TACACS+ vs Radius
Open RADIUS & Cisco TACACS+
Funkcja | TACACS+ | RADIUS |
Przeważnie używany do AAA | Urządzeń sieciowych | Użytkowników |
Wykorzystywany protokół L4 | TCP | UDP |
Wykorzystywany port | 49 | 1645, 1646, 1812, 1813 |
Enkrypcja hasła podczas przesyłu danych | Tak | Tak |
Enkrypcja całego pakietu | Tak (MD5) całość | Nie (PAP, CHAP) tylko hasło |
Określa jakie komendy w systemie IOS może wykonywać dany użytkownik | Tak | Nie |
Stworzony przez | Cisco | RFC 2865 |
Działa w trybie | Client(Workstation) / Server | Client / Server |
Zawiera funkcjonalność | Authentication, Authorization oraz Accounting | Authentication oraz Accounting |
Zawiera funkcjonalność Accounting | Podstawową | Rozbudowaną |
Wspiera inne protokoły niż IP | Tak |
Różnice pomiędzy protokołami
- Radius traktuje uwierzytelnienie oraz autoryzacje jako jeden proces oddzielając od niego jedynie śledzenie użytkowników, natomiast protokół TACACS+ odseparowuje od siebie uwierzytelnienie, autoryzacje jak i śledzenie użytkowników.
- Radius szyfruje (Encryption) jedynie nagłówek wiadomości, natomiast TACACS+ szyfruje całą zawartość wiadomości.
- Dzięki zastosowaniu protokołu TCP TACACS+ jest w stanie wykryć utratę połączenia z serwerem NAS, w przeciwieństwie do radius-a wykorzystującego protokół UDP.
Serwer ACS & NAS
- NAS (Network Access Server) – Dedykowany serwer autentykacji protokołu Radius bądź TACACS+.
- ACS (Access Control Server) – Dedykowany serwer firmy Cisco, zaprojektowany w celu autoryzacji oraz autentykacji użytkowników za pomocą protokołu RADIUS bądź TACACS+. Serwer ACS może być zaimplementowany w formie urządzenia fizycznego bądź maszyny wirtualnej (VM), gotowej do wdrożenia w struktury sieci firmowej.
Cisco TACACS+
Rodzaje wiadomości protokołu TACACS+
- Start (Klient) – Inicjuje połączenie pomiędzy klientem TACACS+ a serwerem NAS.
- Replay (Server) – Stanowi odpowiedź serwera NAS na otrzymaną wiadomość „Start”.
- Continue (Klient) – Zawiera login oraz hasło wysyłane przez klienta TACACS+ do serwera NAS.
- Request (Klient) – Zawiera prośbę o autoryzację komendy wykonanej przez użytkownika.
- Response (Server) – Zawiera odpowiedź serwera NAS w sprawie autoryzacji komendy wykonanej przez użytkownika.
- Start record (Klient) – Rozpoczyna proces rejestrowania zapytań autoryzacyjnych (Względem konkretnego użytkownika)
- Stop record (Klient) – Kończy proces rejestrowania zapytań autoryzacyjnych (Względem konkretnego użytkownika).
- Continue record (Klient) – Przesyła bieżące dane dotyczące zapytań autoryzacyjnych wysłanych przez konkretnego użytkownika do serwera NAS, podczas trwania sesji (Pomiędzy wiadomościami Start, Stop).
Funkcje a wiadomości TACACS+
- Uwierzytelnianie (Authentication) – Start (Klient), Continue (Klient), Replay (Server).
- Autoryzacja (Authorization) – Request (Klient), Response (Server).
- Śledzenie użytkowników (Accounting) – Start, Stop, Continue records (Klient), Response (Server), Request (Klient).
Proces wymiany wiadomości pomiędzy serwerem NAS a klientem TACACS+ (Proces autentykacji)
- Użytkownik łączy się z urządzeniem sieciowym (Klientem protokołu TACACS+).
- Klient TACACS+ wysyła wiadomość „Start” do serwera NAS.
- Serwer NAS odsyła zapytanie „Replay” z prośbą o podanie loginu użytkownika .
- Klient TACACS+ odpowiada wiadomością „Continue” zawierającą login użytkownika.
- Serwer NAS odsyła zapytanie „Replay” z prośbą o podanie hasła użytkownika .
- Klient TACACS+ odpowiada wiadomością „Continue” zawierającą hasło użytkownika.
- Serwer NAS odsyła wiadomość „Replay” zawierającą jedną z poniższych odpowiedzi:
- ACCEPT – Uwierzytelnianie zakończyło się sukcesem, użytkownik zyskuje dostęp do zasobów.
- REJECT – Uwierzytelnianie zakończyło się wynikiem negatywnym, użytkownik nie zyskuje dostęp do zasobów
- ERROR – Nastąpił błąd w autentykacji, klient TACACS+ przejdzie do kolejnej metody autentykacji użytkownika.
- CONTINUE – Użytkownik jest proszony o podanie dodatkowych informacji uwierzytelniających.
Wiadomości „Start” oraz „Continue” są wysyłane przez klienta TACACS+, natomiast wiadomość „Start” przez serwer NAS.
Proces wymiany wiadomości pomiędzy serwerem NAS a klientem TACACS+ (Proces autoryzacji)
- Użytkownik łączy się z urządzeniem sieciowym (Klientem protokołu TACACS+).
- Klient TACACS+ wysyła zapytanie „Request” do serwera NAS.
- Serwer NAS odsyła wiadomość „Response” zawierającą jedną z poniższych odpowiedzi:
- FAIL – Autoryzacja się nie powiodła, użytkownik nie może wykonać komendy.
- PASS_ADD – Autoryzacja przebiegła pomyślnie, użytkownik może wykonać komendę.
- PASS_REPLAY – Zapytanie autoryzacyjne zostało zignorowane.
- FOLLOW – Autoryzacja powinna być dokonana na innym serwerze NAS.
- ERROR – Autoryzacja nie mogła zostać wykonana z powodu wystąpienia błędu.
Proces wymiany wiadomości pomiędzy serwerem NAS a klientem TACACS+ (Proces śledzenia użytkowników)
- Użytkownik łączy się z urządzeniem sieciowym (Klientem protokołu TACACS+).
- Klient TACACS+ wysyła wiadomości „Request” zawierającą jedną z następujących opcji „Start record, Stop record bądź Continue record” do serwera NAS.
- Serwer NAS odsyła wiadomość „Response” zawierającą jedną z poniższych odpowiedzi:
- SUCCESS – Serwer NAS potwierdza otrzymanie danych.
- ERROR – Serwer NAS nie otrzymał danych.
- RESPONSE – Serwer NAS przesłał otrzymane dane do innego serwera TACACS+.
Open Radius
Cechy protokołu Radius
- Podczas autentykacji klienta RADIUS z serwerem AAA, klucz nigdy nie jest przesyłany w wiadomości RADIUS.
- Protokół RADIUS łączy ze sobą funkcję autentykacji (Authentication) jak i autoryzacji (Authorization).
- W przesyłanej wiadomości RADIUS szyfrowane zostaje jedynie hasło.
Wstęp do zagadnienia
- Protokół RADIUS wykorzystuje następujące porty protokołu UDP:
- 1645 – Stary port wykorzystywany do autentykacji (Authentication).
- 1812 – Nowy port wykorzystywany do autentykacji (Authentication).
- 1646 – Stary port wykorzystywany do śledzenie użytkowników (Accounting).
- 1813 – Nowy port wykorzystywany do śledzenie użytkowników (Accounting).
- Serwer NAS (RADIUS) w odpowiedzi na zapytanie „Request” wysyła jedną z następujących wiadomości:
- ACCEPT – Uwierzytelnianie zakończyło się sukcesem, użytkownik zyskuje dostęp do zasobów.
- REJECT – Uwierzytelnianie zakończyło się wynikiem negatywnym, użytkownik nie zyskuje dostęp do zasobów
- CHALLENGE – Użytkownik jest proszony o podanie dodatkowych informacji uwierzytelniających.
Funkcje a wiadomości RADIUS
- Uwierzytelnianie (Authentication), Autoryzacja (Authorization) – Access Request (Klient), Access Reject / Access Accept / Access Challenge (Server).
- Śledzenie użytkowników (Accounting) – Access Request (Klient), Start (Server), Stop (Server).