Inleiding
In dit document worden twee prominente security protocollen beschreven en vergeleken die worden gebruikt om de toegang tot netwerken, Cisco TACACS+ en Cisco RADIUS te beheren.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Voor meer informatie over documentconventies raadpleegt u Cisco Technical Tips and Format.
Achtergrondinformatie
De RADIUS-specificatie wordt beschreven in RFC 2865 , dat RFC 2138 overbodig maakt. Cisco ondersteunt beide protocollen. Het is niet de bedoeling van Cisco om te concurreren met RADIUS of gebruikers te beïnvloeden om TACACS+ te gebruiken. U moet de oplossing kiezen die het beste aan uw behoeften voldoet. In dit document worden de verschillen tussen TACACS+ en RADIUS besproken, zodat u een weloverwogen keuze kunt maken.
Cisco ondersteunt het RADIUS-protocol sinds Cisco IOS® Software Release 11.1 in februari 1996. Cisco blijft RADIUS ondersteunen en verbeteren met nieuwe functies en mogelijkheden.
Cisco evalueerde RADIUS serieus als een beveiligingsprotocol voordat het TACACS+ ontwikkelde. Veel functies werden opgenomen in het TACACS+-protocol om te voldoen aan de nieuwe eisen van de beveiligingsmarkt. Het protocol is ontworpen om op te schalen naarmate netwerken groeien en zich aan te passen aan nieuwe beveiligingstechnologie naarmate de markt rijper wordt. De onderliggende architectuur van het TACACS+-protocol vormt een aanvulling op de architectuur voor onafhankelijke verificatie, autorisatie en boekhouding (AAA).
RADIUS-achtergrond
RADIUS is een toegangsserver die gebruik maakt van het AAA-protocol. Het is een systeem van gedistribueerde beveiliging dat toegang op afstand tot netwerken en netwerkdiensten beveiligt tegen ongeoorloofde toegang. RADIUS bestaat uit drie componenten:
De server wordt uitgevoerd op een centrale computer, meestal op de clientlocatie, terwijl de clients zich op de inbeltoegangservers bevinden en over het hele netwerk kunnen worden verspreid. Cisco heeft de RADIUS-client geïntegreerd in Cisco IOS Software Release 11.1 en hoger en andere apparaatsoftware.
Client-/servermodel
Een netwerktoegangsserver (NAS) werkt als een client van RADIUS. De client geeft gebruikersinformatie door aan aangewezen RADIUS-servers en handelt vervolgens in op het antwoord dat wordt geretourneerd. RADIUS-servers ontvangen verzoeken om een gebruikersverbinding, verifiëren de gebruiker en retourneren alle configuratiegegevens die de client nodig heeft om de service aan de gebruiker te leveren. De RADIUS-servers kunnen fungeren als proxyclients voor andere soorten verificatieservers.
Netwerk security
De transacties tussen de client en de RADIUS-server worden geverifieerd door middel van een gedeeld geheim dat nooit via het netwerk wordt verzonden. Bovendien worden alle gebruikerswachtwoorden gecodeerd verzonden tussen de client en de RADIUS-server. Dit elimineert de mogelijkheid dat iemand die op een onbeveiligd netwerk snuffelt een gebruikerswachtwoord kan bepalen.
Flexibele authenticatiemechanismen
De RADIUS-server ondersteunt verschillende methoden om een gebruiker te verifiëren. Wanneer de gebruikersnaam en het oorspronkelijke wachtwoord door de gebruiker worden verstrekt, kan deze ondersteuning bieden voor PPP, PAP (Password Authentication Protocol) of CHAP (Challenge Handshake Authentication Protocol), UNIX-aanmelding en andere verificatiemechanismen.
Beschikbaarheid van servercode
Er zijn een aantal distributies van servercode commercieel en vrij beschikbaar. Cisco-servers omvatten Cisco Secure ACS voor Windows, Cisco Secure ACS voor UNIX en Cisco Access Registrar.
Compare TACACS + and RADIUS (TACACS + en RADIUS vergelijken)
In deze secties worden verschillende kenmerken van TACACS+ en RADIUS vergeleken.
UDP en TCP
RADIUS gebruikt UDP, terwijl TACACS+ TCP gebruikt. TCP biedt verschillende voordelen ten opzichte van UDP. TCP biedt een verbindingsgericht transport, terwijl UDP de beste levering biedt. RADIUS vereist extra programmeerbare variabelen zoals pogingen tot herverzending en time-outs om te compenseren voor transport met de beste inspanning, maar het mist het niveau van ingebouwde ondersteuning dat een TCP-transport biedt:
-
TCP-gebruik biedt een afzonderlijke bevestiging dat een verzoek is ontvangen, binnen (ongeveer) een netwerk-retourtijd (RTT), ongeacht hoe geladen en traag het backend-authenticatiemechanisme (een TCP-bevestiging) is.
-
TCP geeft een onmiddellijke indicatie van een gecrashte of gestopt server door een reset (RST). U kunt bepalen wanneer een server crasht en terugkeert naar de service als u TCP-verbindingen met een lange levensduur gebruikt. UDP kan het verschil niet zien tussen een server die down is, een trage server en een niet-bestaande server.
-
Met TCP keepalives kunnen servercrashes out-of-band worden gedetecteerd met daadwerkelijke verzoeken. Verbindingen met meerdere servers kunnen tegelijkertijd worden onderhouden en u hoeft alleen berichten te verzenden naar de servers waarvan bekend is dat ze actief zijn.
-
TCP is schaalbaarder en past zich aan netwerken aan die groter worden en meer congestie veroorzaken.
Pakketversleuteling
RADIUS versleutelt alleen het wachtwoord in het toegangspakket, van de client naar de server. De rest van het pakket is niet versleuteld. Andere informatie, zoals gebruikersnaam, geautoriseerde services en boekhouding, kan worden vastgelegd door een derde partij.
TACACS+ versleutelt de gehele body van het pakket, maar laat een standaard TACACS+ header achter. Binnen de header is een veld dat aangeeft of het lichaam is gecodeerd of niet. Voor debugging doeleinden, is het handig om de body van de pakketten onversleuteld. Bij normaal gebruik is de body van het pakket echter volledig gecodeerd voor veiligere communicatie.
Verificatie en autorisatie
RADIUS combineert authenticatie en autorisatie. De toegangs-accepteer pakketten die door de RADIUS-server naar de client worden verzonden, bevatten autorisatiegegevens. Dit maakt het moeilijk om authenticatie en autorisatie te ontkoppelen.
TACACS+ maakt gebruik van de AAA-architectuur, die AAA scheidt. Dit maakt afzonderlijke authenticatieoplossingen mogelijk die nog steeds TACACS+ kunnen gebruiken voor autorisatie en boekhouding. Met TACACS+ is het bijvoorbeeld mogelijk om Kerberos-authenticatie en TACACS+-autorisatie en -boekhouding te gebruiken. Nadat een NAS op een Kerberos-server is geverifieerd, wordt autorisatiegegevens van een TACACS+-server opgevraagd zonder dat opnieuw verificatie nodig is. De NAS informeert de TACACS+-server dat deze met succes is geverifieerd op een Kerberos-server en de server geeft vervolgens autorisatiegegevens.
Als tijdens een sessie extra autorisatiecontrole nodig is, controleert de toegangserver met een TACACS+-server of de gebruiker toestemming krijgt om een bepaalde opdracht te gebruiken. Dit biedt meer controle over de opdrachten die kunnen worden uitgevoerd op de toegangsserver terwijl het verificatiemechanisme wordt losgekoppeld.
Ondersteuning voor meerdere protocollen
RADIUS ondersteunt deze protocollen niet:
-
AppleTalk Remote Access (ARA)-protocol
-
NetBIOS Frame Protocol Control-protocol
-
Novell Asynchronous Services Interface (NASI)
-
X.25 PAD-aansluiting
TACACS+ biedt ondersteuning voor meerdere protocollen.
Routerbeheer
RADIUS staat niet toe dat gebruikers bepalen welke opdrachten op een router kunnen worden uitgevoerd en welke niet. Daarom is RADIUS niet zo nuttig voor routerbeheer of zo flexibel voor terminalservices.
TACACS+ biedt twee methoden om de autorisatie van routeropdrachten per gebruiker of per groep te controleren. De eerste methode is het toewijzen van privilege levels aan commando's en laat de router met de TACACS+ server verifiëren of de gebruiker al dan niet geautoriseerd is op het opgegeven privilege level. De tweede methode is om expliciet in de TACACS+-server, per gebruiker of per groep, de opdrachten op te geven die zijn toegestaan.
interoperabiliteit
Vanwege verschillende interpretaties van de RADIUS Request for Comments (RFC's) biedt naleving van de RADIUS RFC's geen garantie voor interoperabiliteit. Hoewel verschillende leveranciers RADIUS-clients implementeren, betekent dit niet dat ze interoperabel zijn. Cisco implementeert de meeste RADIUS-attributen en voegt consequent meer toe. Als clients alleen de standaard RADIUS-attributen op hun servers gebruiken, kunnen ze tussen verschillende leveranciers werken zolang deze leveranciers dezelfde attributen implementeren. Veel leveranciers implementeren echter extensies die eigen kenmerken zijn. Als een klant een van deze leverancierspecifieke uitgebreide attributen gebruikt, is interoperabiliteit niet mogelijk.
verkeer
Vanwege de eerder genoemde verschillen tussen TACACS+ en RADIUS, verschilt de hoeveelheid verkeer die wordt gegenereerd tussen de client en de server. Deze voorbeelden illustreren het verkeer tussen de client en de server voor TACACS+ en RADIUS bij gebruik voor routerbeheer met verificatie, exec-autorisatie, opdrachtautorisatie (wat RADIUS niet kan doen), exec-boekhouding en opdrachtboekhouding (wat RADIUS niet kan doen).
TACACS+-verkeersvoorbeeld
In dit voorbeeld wordt ervan uitgegaan dat aanmeldingsverificatie, exec-autorisatie, opdrachtautorisatie, start-stop exec-boekhouding en opdrachtboekhouding worden geïmplementeerd met TACACS+ wanneer een gebruiker Telnet naar een router stuurt, een opdracht uitvoert en de router verlaat:
RADIUS-verkeersvoorbeeld
In dit voorbeeld wordt ervan uitgegaan dat aanmeldingsverificatie, exec-autorisatie en start-stop exec-boekhouding worden geïmplementeerd met RADIUS wanneer een gebruiker Telnets naar een router stuurt, een opdracht uitvoert en de router verlaat (andere beheerservices zijn niet beschikbaar).
Apparaatondersteuning
In deze tabel wordt TACACS+- en RADIUS AAA-ondersteuning weergegeven per apparaattype voor geselecteerde platforms. Dit geldt ook voor de softwareversie waarin de ondersteuning is toegevoegd. Raadpleeg de opmerkingen bij de release van het product voor meer informatie als uw product niet in deze lijst staat.
Cisco-apparaat |
TACACS+-verificatie |
TACACS+-autorisatie |
TACACS+-boekhouding |
RADIUS-verificatie |
RADIUS-autorisatie |
RADIUS-accounting |
Cisco Aironet1 |
12.2(4)JA |
12.2(4)JA |
12.2(4)JA |
Alle toegangspunten |
Alle toegangspunten |
Alle toegangspunten |
Cisco IOS® Software2 |
10.33 |
10.33 |
10.333 |
11.1.1 |
11.1.14 |
11.1.15 |
Cisco Cache Engine |
-- |
-- |
-- |
1.5 |
1.56 |
-- |
Cisco Catalyst-switches |
2.2 |
5.4.1 |
5.4.1 |
5.1 |
5.4.14 |
5.4.15 |
Cisco CSS 11000 Content Services Switch |
5.03 |
5.03 |
5.03 |
5.0 |
5.04 |
-- |
Cisco CSS 11500 Content Services Switch |
5.20 |
5.20 |
5.20 |
5.20 |
5.204 |
-- |
Cisco PIX Firewall |
4.0 |
4.07 |
4.28,5 |
4.0 |
5.27 |
4.28,5 |
Cisco Catalyst 1900/2820 switches |
8.x Enterprise9 |
-- |
-- |
-- |
-- |
-- |
Cisco Catalyst 2900XL/3500XL-switches |
11.2.(8)SA610 |
11.2.(8)SA610 |
11.2.(8)SA610 |
12,0(5)WC511 |
12,0(5)WC511, 4 |
12,0(5)WC511, 5 |
Cisco VPN 3000 Concentrator6 |
3.0 |
3.0 |
-- |
2.012 |
2.0 |
2.012 |
Cisco VPN 5000 Concentrator |
-- |
-- |
-- |
5,2X12 |
5,2X12 |
5,2X12 |
Tabelopmerkingen
-
Alleen draadloze clients beëindigen, geen beheerverkeer in andere versies dan Cisco IOS Software Release 12.2(4)JA of hoger. In Cisco IOS Software Release 12.2.(4)JA of hoger is verificatie voor zowel beëindiging van draadloze clients als beheerverkeer mogelijk.
-
Raadpleeg de Software Advisor voor platformondersteuning in Cisco IOS-software.
-
Opdrachtboekhouding wordt pas geïmplementeerd als Cisco IOS Software Release 11.1.6.3.
-
Geen commando autorisatie.
-
Geen opdracht boekhouding.
-
Alleen URL's blokkeren, geen administratief verkeer.
-
Autorisatie voor niet-VPN-verkeer via de PIX.
Opmerking: Release 5.2 - Ondersteuning voor toegangslijst voor toegangscontrolelijst (ACL) RADIUS Vendor-Specific Attribute (VSA) of TACACS+-autorisatie voor VPN-verkeer beëindigd op PIX Release 6.1 - ondersteuning voor ACL RADIUS-attribuut 11-autorisatie voor VPN-verkeer beëindigd op PIX Release 6.2.2 - ondersteuning voor downloadbare ACL's met RADIUS-autorisatie voor VPN-verkeer beëindigd op PIX Release 6.2 - ondersteuning voor autorisatie voor PIX-beheerverkeer via TACACS+.<
-
Alleen rekening houden met niet-VPN-verkeer via de PIX, niet met beheerverkeer.
Opmerking: Release 5.2 - Ondersteuning voor het verwerken van TCP-pakketten van VPN-clients via de PIX.
-
Alleen bedrijfssoftware.
-
Behoefte aan 8M Flash voor beeld.
-
Alleen VPN-beëindiging.
Opmerking: alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.
Gerelateerde informatie