Deux protocoles de sécurité importants utilisés pour contrôler l'accès aux réseaux sont Cisco TACACS+ et RADIUS. Le cahier des charges RADIUS est décrit dans RFC 2865, qui vient remplacer RFC 2138.
Cisco s'engage à prendre en charge les deux protocoles avec les meilleurs offres de classe. Le but de Cisco n'est en aucun cas de faire concurrence à RADIUS ou d'inciter des utilisateurs à utiliser TACACS+. C'est à vous de choisir la solution qui répond le mieux à vos besoins. Ce document traite des différences entre TACACS+ et RADIUS, de manière à ce que vous puissiez faire un choix optimal.
Cisco prend en charge le protocole RADIUS depuis la version 11.1 du logiciel Cisco IOS® de février 1996. Cisco continue à améliorer le Client RADIUS, en y apportant de nouvelles fonctionnalités et possibilités, avec notamment la prise en charge de la norme RADIUS.
Cisco a toujours considéré RADIUS comme un protocole de sécurité avant même de développer TACACS+. De nombreuses fonctionnalités ont été introduites dans le protocole TACACS+ pour répondre aux besoins d'un marché en expansion, celui de la sécurité. Ce protocole a été conçu pour mesurer la croissance des réseaux et s'adapter aux nouvelles technologies de sécurité au fur et à mesure que le marché s'agrandit. L'architecture sous-jacente du protocole TACACS+ est un complément à l'architecture indépendante de l'authentification, l'autorisation et la gestion des comptes (AAA).
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.
RADIUS est un serveur d'accès qui utilise le protocole AAA. Il s'agit d'un système de sécurité distribuée qui sécurise l'accès à distance aux réseaux et aux services réseau contre l'accès non autorisé. RADIUS comporte trois composants :
Un protocole avec un format de trame qui utilise le protocole User Datagram Protocol (UDP)/IP.
Un serveur.
Un client.
Le serveur est lancé sur un ordinateur central, en général sur le site d'un client, alors que les clients sont configurés dans les serveurs d'accès commutés et peuvent être distribués dans tout un réseau. Cisco a incorporé le client RADIUS au Logiciel Cisco IOS Version 11.1 et plus tard et à d'autres logiciels de périphérique.
Un serveur d'accès au réseau (NAS) fonctionne comme un client de RADIUS. Le client est responsable de la transmission des informations utilisateur aux serveurs RADIUS choisis, puis de l'action effectuée suite à la réponse renvoyée. Les serveurs RADIUS sont responsables de la réception des demandes de connexion utilisateur, de l'authentification des utilisateurs et du renvoi des informations de configuration nécessaires afin de permettre au client de fournir un service à l'utilisateur. Les serveurs RADIUS peuvent agir en tant que clients proxy pour d'autres types de serveurs d'authentification.
Les transactions entre le client et le serveur RADIUS sont authentifiées à l'aide d'un secret partagé, qui n'est jamais envoyé au sein du réseau. En outre, tous les mots de passe utilisateur sont envoyés chiffrés entre le client et le serveur RADIUS. Ainsi, il est impossible pour un espion de déchiffrer un mot de passe utilisateur sur un réseau non sécurisé.
Le serveur RADIUS prend en charge un grand choix de méthodes pour authentifier un utilisateur. Quand le nom d'utilisateur et le mot de passe original fournis par l'utilisateur sont connus, il prend en charge PPP, le Password Authentication Protocol (PAP), ou le Challenge Handshake Authentication Protocol (CHAP), UNIX login, et d'autres mécanismes d'authentification.
Il existe un certain nombre de distributions de code de serveur disponible à l'achat ou gratuites. Les serveurs Cisco incluent Cisco Secure ACS pour Windows, Cisco Secure ACS pour UNIX et Cisco Access Registrar.
Ces sections comparent plusieurs caractéristiques de TACACS+ et RADIUS.
RADIUS utilise l'UDP tandis que TACACS+ utilise l'TCP. Le TCP offre plusieurs avantages par rapport à l'UDP. Le TCP fournit un transport orienté connexion et l'UDP fournit les meilleures performances. RADIUS exige des variables programmables supplémentaires, comme les tentatives de retransmission et les délais d'attente de compensation pour de meilleures performances. Cependant, il ne possède pas tous les avantages de prise en charge intégrée que peut apporter un transport TCP.
L'utilisation de TCP fournit un accusé de réception pour chaque demande reçue, dans (approximativement) le temps d'un aller-retour réseau (RTT), indépendamment du mode de chargement et de la lenteur du mécanisme d'authentification en arrière-plan (accusé de réception TCP).
Le TCP indique immédiatement les éventuelles pannes ou extinctions de serveur suite à un redémarrage (RST). Vous pouvez déterminer quand un serveur tombe en panne et marche de nouveau si vous utilisez les connexions TCP longue durée. L'UDP ne peut pas faire la différence entre un serveur qui est en panne, un serveur lent, et un serveur inexistant.
Grâce aux keepalives de TCP, les pannes de serveur peuvent être détectées hors bande avec des demandes réelles. Des connexions à plusieurs serveurs peuvent être maintenues simultanément, et vous pouvez uniquement envoyer des messages à ceux qui sont opérationnels.
Le TCP est plus évolutif et s'adapte aux réseaux aussi bien saturés qu'en croissance.
RADIUS chiffre uniquement le mot de passe dans le paquet de demande d'accès, du client au serveur. Le reste du paquet n'est pas chiffré. Les autres informations, telles que le nom d'utilisateur, les services autorisés et la traçabilité, peuvent être saisies par un tiers.
TACACS+ chiffre le corps entier du paquet mais laisse un en-tête de norme TACACS+. Dans l'en-tête se trouve un champ qui indique si le corps est chiffré ou non. A des fins de débogage, il est utile que le corps des paquets ne soit pas chiffré. Cependant, pendant les opérations normales, le corps du paquet est entièrement chiffré pour assurer des communications plus sécurisées.
RADIUS combine l'authentification et l'autorisation. Les paquets d'acceptation d'accès envoyés par le serveur RADIUS au client contiennent des informations d'autorisation. Ainsi, il est difficile de dissocier l'authentification et l'autorisation.
TACACS+ utilise l'architecture AAA, qui sépare AAA. Ainsi, des solutions d'authentification distinctes existent et peuvent toujours utiliser TACACS+ pour l'autorisation et la gestion des comptes. Par exemple, avec TACACS+, il est possible d'utiliser l'authentification Kerberos et l'autorisation et la gestion des comptes TACACS+. Après que le NAS soit authentifié sur des serveurs Kerberos, il demande des informations d'autorisation depuis un serveur TACACS+ sans qu'une nouvelle authentification soit nécessaire. Le NAS informe le serveur TACACS+ qu'il s'est authentifié avec succès sur un serveur Kerberos, puis fournit les informations d'autorisation.
Lors d'une session, si un contrôle d'autorisation supplémentaire est nécessaire, le serveur d'accès effectue le contrôle à l'aide d'un serveur TACACS+ pour déterminer si un utilisateur donné est autorisé ou non à utiliser une commande en particulier. Cela permet un plus grand contrôle des commandes pouvant être exécutées sur le serveur d'accès tout en étant découplées du mécanisme d'authentification.
RADIUS ne prend pas en charge ces protocoles :
Protocole Appletalk Remote Access (ARA)
Protocole NetBIOS Frame Protocol Control
Novell Asynchronous Services Interface (NASI)
Connexion X.25 PAD
TACACS+ propose la prise en charge multiprotocole.
RADIUS ne permet pas à des utilisateurs de contrôler les commandes pouvant être exécutées ou non sur un routeur. Par conséquent, RADIUS n'est pas si utile pour la gestion de routeur ou flexible pour les services de terminaux.
TACACS+ propose deux méthodes pour contrôler l'autorisation des commandes de routeur par utilisateur ou par groupe. La première méthode consiste à attribuer des niveaux de privilège aux commandes et à vérifier à l'aide du routeur avec le serveur TACACS+, que l'utilisateur est autorisé ou non à un niveau de privilèges donné. La seconde méthode consiste à spécifier de manière explicite les commandes autorisées dans le serveur TACACS+ sur une base par utilisateur ou par groupe.
En raison de diverses interprétations des Request For Comments (RFC) RADIUS, la conformité au RFC RADIUS ne garantit pas l'interopérabilité. Même si plusieurs constructeurs mettent en application des clients RADIUS, ceci ne signifie pas qu'ils sont interopérables. Cisco met en application la plupart des attributs RADIUS et en ajoute de manière consistante. Si les clients utilisent seulement les attributs RADIUS standard dans leurs serveurs, ils peuvent interopérer entre plusieurs constructeurs tant que ces constructeurs mettent en application les mêmes attributs. Cependant, beaucoup de constructeurs mettent en application les extensions qui sont des attributs de propriété industrielle. Si un client utilise un de ces attributs étendus spécifique au constructeur, l'interopérabilité n'est pas possible.
En raison des différences précédemment citées entre TACACS+ et RADIUS, le niveau de trafic généré entre le client et le serveur diffère. Ces exemples illustrent le trafic entre le client et le serveur pour TACACS+ et RADIUS une fois utilisés pour la gestion du routeur avec l'authentification, l'autorisation exec, l'autorisation de commande (ce que RADIUS ne peut pas faire), la gestion des comptes exec et la gestion des comptes de commandes (ce que RADIUS ne peut non plus pas faire).
Cet exemple suppose que l'authentification de connexion, l'autorisation exec, l'autorisation de commande, la gestion des comptes start-stop exec et la gestion des comptes de commande sont mis en œuvre avec TACACS + quand un utilisateur effectue la commande telnet sur un routeur, exécute une commande et quitte le routeur :
Cet exemple suppose que l'authentification de connexion, l'autorisation exec et la gestion des comptes start-stop exec sont mis en œuvre avec RADIUS quand un utilisateur effectue la commande telnet sur un routeur, exécute une commande et quitte le routeur (les autres services de gestion ne sont pas disponibles) :
Ce tableau présente la prise en charge TACACS+ et RADIUS AAA par type de périphérique pour les plates-formes sélectionnées. La version de logiciel pour laquelle la prise en charge a été ajoutée est incluse. Consultez les notes de distribution du produit pour de plus amples informations si votre produit ne figure pas dans cette liste.
Périphérique Cisco | Authentification TACACS+ | Autorisation TACACS+ | Gestion des comptes TACACS+ | Authentification RADIUS | Autorisation RADIUS | Gestion des comptes RADIUS |
---|---|---|---|---|---|---|
Cisco Aironet1 | 12.2(4)JA | 12.2(4)JA | 12.2(4)JA | tous les points d'accès | tous les points d'accès | tous les points d'accès |
Logiciel Cisco IOS2 | 10.33 | 10.33 | 10.333 | 11.1.1 | 11.1.14 | 11.1.15 |
Cisco Cache Engine | — | — | — | 1.5 | 1.56 | — |
Commutateurs Cisco Catalyst | 2.2 | 5.4.1 | 5.4.1 | 5.1 | 5.4.14 | 5.4.15 |
Commutateur de services de contenu Cisco CSS 11000 | 5.03 | 5.03 | 5.03 | 5.0 | 5.04 | — |
Commutateur de services de contenu Cisco CSS 11500 | 5.20 | 5.20 | 5.20 | 5.20 | 5.204 | — |
Pare-feu Cisco PIX | 4.0 | 4.07 | 4.28,5 | 4.0 | 5.27 | 4.28,5 |
Commutateurs Cisco Catalyst 1900/2820 | 8.x entreprise9 | — | — | — | — | — |
Commutateurs Cisco catalyst 2900XL/3500XL | 11.2.(8)SA610 | 11.2.(8)SA610 | 11.2.(8)SA610 | 12.0(5)WC511 | 12.0(5)WC511, 4 | 12.0(5)WC511, 5 |
Concentrateur Cisco VPN 3000 6 | 3.0 | 3.0 | — | 2.012 | 2.0 | 2.012 |
Concentrateur Cisco VPN 5000 | — | — | — | 5,2 X 12 | 5,2 X 12 | 5,2 X 12 |
Arrêt des clients sans fil uniquement, pas de trafic d'administration disponible dans les versions autres que la version de Cisco IOS 12.2(4)JA ou supérieure. Dans la version de Cisco IOS 12.2.(4)JA ou supérieure, l'authentification pour l'arrêt des clients sans fil et le trafic d'administration sont disponibles.
Consultez le Navigateur de fonctionnalités (remplacé par une version plus récente disponible ici : Software Advisor (clients enregistrés uniquement)) pour assurer la prise en charge de plate-forme dans le logiciel Cisco IOS.
La gestion des comptes de commandes n'est disponible qu'à partir de la version du logiciel Cisco IOS 11.1.6.3.
Aucune autorisation de commande.
Aucune gestion des comptes de commandes.
Blocage d'URL uniquement, pas de trafic d'administration.
Autorisation pour le trafic non-VPN par PIX.
Remarque : Version 5.2 - Prise en charge de la liste de contrôle d'accès (ACL) RADIUS Vendor-Specific Attribute (VSA) ou de l'autorisation TACACS+ pour le trafic VPN se terminant sur PIX Version 6.1 - prise en charge de l'autorisation RADIUS Attribut 11 pour le trafic VPN se terminant sur PIX Version 6.2.2 - prise en charge des listes de contrôle d'accès téléchargeables avec autorisation RADIUS pour le trafic PIUS X version 6.2 - prise en charge de l'autorisation pour le trafic de gestion PIX via TACACS+.
Gestion des comptes pour trafic non-VPN via PIX uniquement, pas de trafic d'administration.
Remarque : Version 5.2 - Prise en charge de la comptabilité des paquets TCP du client VPN via le PIX.
Logiciel d'entreprise uniquement.
Mémoire flash 8 Mo nécessaire pour l'image.
Arrêt VPN uniquement.