(T) Radius & TACACS+*

Radius & TACACS+

TACACS+ vs Radius

Open RADIUS & Cisco TACACS+

FunkcjaTACACS+RADIUS
Przeważnie używany do AAAUrządzeń sieciowychUżytkowników
Wykorzystywany protokół L4TCPUDP
Wykorzystywany port491645, 1646, 1812, 1813
Enkrypcja hasła podczas przesyłu danychTakTak
Enkrypcja całego pakietuTak (MD5) całośćNie (PAP, CHAP) tylko hasło
Określa jakie komendy w systemie IOS może wykonywać dany użytkownikTakNie
Stworzony przezCiscoRFC 2865
Działa w trybieClient(Workstation) / ServerClient / Server
Zawiera funkcjonalnośćAuthentication, Authorization oraz AccountingAuthentication oraz Accounting
Zawiera funkcjonalność AccountingPodstawowąRozbudowaną
Wspiera inne protokoły niż IPTak 
Porównanie protokołu TACACS+ z protokołem Radius

Różnice pomiędzy protokołami

  • Radius traktuje uwierzytelnienie oraz autoryzacje jako jeden proces oddzielając od niego jedynie śledzenie użytkowników, natomiast protokół TACACS+ odseparowuje od siebie uwierzytelnienie, autoryzacje jak i śledzenie użytkowników.
  • Radius szyfruje (Encryption) jedynie nagłówek wiadomości, natomiast TACACS+ szyfruje całą zawartość wiadomości.
  • Dzięki zastosowaniu protokołu TCP TACACS+ jest w stanie wykryć utratę połączenia z serwerem NAS, w przeciwieństwie do radius-a wykorzystującego protokół UDP.

Serwer ACS & NAS

  • NAS (Network Access Server) – Dedykowany serwer autentykacji protokołu Radius bądź TACACS+.
  • ACS (Access Control Server) – Dedykowany serwer firmy Cisco, zaprojektowany w celu autoryzacji oraz autentykacji użytkowników za pomocą protokołu RADIUS bądź TACACS+. Serwer ACS może być zaimplementowany w formie urządzenia fizycznego bądź maszyny wirtualnej (VM), gotowej do wdrożenia w struktury sieci firmowej.

Cisco TACACS+

Rodzaje wiadomości protokołu TACACS+

  • Start (Klient) – Inicjuje połączenie pomiędzy klientem TACACS+ a serwerem NAS.
  • Replay (Server) – Stanowi odpowiedź serwera NAS na otrzymaną wiadomość „Start”.
  • Continue (Klient) – Zawiera login oraz hasło wysyłane przez klienta TACACS+ do serwera NAS.
  • Request (Klient) – Zawiera prośbę o autoryzację komendy wykonanej przez użytkownika.
  • Response (Server) – Zawiera odpowiedź serwera NAS w sprawie autoryzacji  komendy wykonanej przez użytkownika.
  • Start record (Klient) – Rozpoczyna proces rejestrowania zapytań autoryzacyjnych (Względem konkretnego użytkownika)
  • Stop record (Klient) – Kończy proces rejestrowania zapytań autoryzacyjnych (Względem konkretnego użytkownika).
  • Continue record (Klient) – Przesyła bieżące dane dotyczące zapytań autoryzacyjnych wysłanych przez konkretnego użytkownika do serwera NAS, podczas trwania sesji (Pomiędzy wiadomościami Start, Stop).

Funkcje a wiadomości TACACS+

  • Uwierzytelnianie (Authentication) – Start (Klient), Continue (Klient), Replay (Server).
  • Autoryzacja (Authorization) – Request (Klient), Response (Server).
  • Śledzenie użytkowników (Accounting) – Start, Stop, Continue records (Klient), Response (Server), Request (Klient).

Proces wymiany wiadomości pomiędzy serwerem NAS a klientem TACACS+ (Proces autentykacji)

  1. Użytkownik łączy się z urządzeniem sieciowym (Klientem protokołu TACACS+).
  2. Klient TACACS+ wysyła wiadomość „Start” do serwera NAS.
  3. Serwer NAS odsyła zapytanie „Replay” z prośbą o podanie loginu użytkownika .
  4. Klient TACACS+ odpowiada wiadomością „Continue” zawierającą login użytkownika.
  5. Serwer NAS odsyła zapytanie „Replay” z prośbą o podanie hasła użytkownika .
  6. Klient TACACS+ odpowiada wiadomością „Continue” zawierającą hasło użytkownika.
  7. Serwer NAS odsyła wiadomość „Replay” zawierającą jedną z poniższych odpowiedzi:
    • ACCEPT – Uwierzytelnianie zakończyło się sukcesem, użytkownik zyskuje dostęp do zasobów.
    • REJECT – Uwierzytelnianie zakończyło się wynikiem negatywnym, użytkownik nie zyskuje dostęp do zasobów
    • ERROR – Nastąpił błąd w autentykacji, klient TACACS+ przejdzie do kolejnej metody autentykacji użytkownika.
    • CONTINUE – Użytkownik jest proszony o podanie dodatkowych informacji uwierzytelniających.
Wiadomości „Start” oraz „Continue” są wysyłane przez klienta TACACS+, natomiast wiadomość „Start” przez serwer NAS.

Proces wymiany wiadomości pomiędzy serwerem NAS a klientem TACACS+ (Proces autoryzacji)

  1. Użytkownik łączy się z urządzeniem sieciowym (Klientem protokołu TACACS+).
  2. Klient TACACS+ wysyła zapytanie „Request” do serwera NAS.
  3. Serwer NAS odsyła wiadomość „Response” zawierającą jedną z poniższych odpowiedzi:
    • FAIL – Autoryzacja się nie powiodła, użytkownik nie może wykonać komendy.
    • PASS_ADD – Autoryzacja przebiegła pomyślnie, użytkownik może wykonać komendę.
    • PASS_REPLAY – Zapytanie autoryzacyjne zostało zignorowane.
    • FOLLOW – Autoryzacja powinna być dokonana na innym serwerze NAS.
    • ERROR – Autoryzacja nie mogła zostać wykonana z powodu wystąpienia błędu.

Proces wymiany wiadomości pomiędzy serwerem NAS a klientem TACACS+ (Proces śledzenia użytkowników)

  1. Użytkownik łączy się z urządzeniem sieciowym (Klientem protokołu TACACS+).
  2. Klient TACACS+ wysyła wiadomości „Request” zawierającą jedną z następujących opcji „Start record, Stop record bądź Continue record” do serwera NAS.
  3. Serwer NAS odsyła wiadomość „Response” zawierającą jedną z poniższych odpowiedzi:
    • SUCCESS – Serwer NAS potwierdza otrzymanie danych.
    • ERROR  – Serwer NAS nie otrzymał danych.
    • RESPONSE – Serwer NAS przesłał otrzymane dane do innego serwera TACACS+.

Open Radius

Cechy protokołu Radius

  • Podczas autentykacji klienta RADIUS z serwerem AAA, klucz nigdy nie jest przesyłany w wiadomości RADIUS.
  • Protokół RADIUS łączy ze sobą funkcję autentykacji (Authentication) jak i autoryzacji (Authorization).
  • W przesyłanej wiadomości RADIUS szyfrowane zostaje jedynie hasło.

Wstęp do zagadnienia

  • Protokół RADIUS wykorzystuje następujące porty protokołu UDP:
    • 1645 – Stary port wykorzystywany do autentykacji (Authentication).
    • 1812 – Nowy port wykorzystywany do autentykacji (Authentication).
    • 1646 – Stary port wykorzystywany do śledzenie użytkowników (Accounting).
    • 1813 – Nowy port wykorzystywany do śledzenie użytkowników (Accounting).
  • Serwer NAS (RADIUS) w odpowiedzi na zapytanie „Request” wysyła jedną z następujących wiadomości:
    • ACCEPT – Uwierzytelnianie zakończyło się sukcesem, użytkownik zyskuje dostęp do zasobów.
    • REJECT – Uwierzytelnianie zakończyło się wynikiem negatywnym, użytkownik nie zyskuje dostęp do zasobów
    • CHALLENGE – Użytkownik jest proszony o podanie dodatkowych informacji uwierzytelniających.

Funkcje a wiadomości RADIUS

  • Uwierzytelnianie (Authentication), Autoryzacja (Authorization) – Access Request (Klient), Access Reject / Access Accept / Access Challenge (Server).
  • Śledzenie użytkowników (Accounting) – Access Request (Klient), Start (Server), Stop (Server).

Pozostałe tematy związane z protokołem AAA

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz