TACACS
Sistema de control de acceso del controlador de acceso a terminal (TACACS,) se refiere a una familia de protocolos relacionados que manejan la autenticación remota y los servicios relacionados para el control de acceso a la red a través de un servidor centralizado. El protocolo TACACS original, que data de 1984, se utilizó para comunicarse con un servidor de autenticación, común en las redes UNIX más antiguas, incluidas, entre otras, ARPANET, MILNET y BBNNET. Generó protocolos relacionados:
- TACACS ampliado ()XTACACS) es una extensión patentada a TACACS introducida por Cisco Systems en 1990 sin compatibilidad atrasada con el protocolo original. TACACS y XTACACS permiten a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene acceso a la red.
- TACACS Plus ()TACACS+) es un protocolo desarrollado por Cisco y publicado como un estándar abierto a partir de 1993. Aunque se deriva de TACACS, TACACS+ es un protocolo separado que maneja servicios de autenticación, autorización y contabilidad (AAA). TACACS+ ha reemplazado en gran medida a sus predecesores.
Historia
TACACS fue desarrollado originalmente en 1984 por BBN, más tarde conocido como BBN Technologies, para la administración de ARPANET y MILNET, que ejecutaba tráfico de red no clasificado para DARPA en ese momento y luego se convertiría en NIPRNet del Departamento de Defensa de EE. UU.. Originalmente diseñado como un medio para automatizar la autenticación, lo que permite que alguien que ya había iniciado sesión en un host en la red se conecte a otro en la misma red sin necesidad de volver a autenticarse, fue descrito formalmente por primera vez por Brian Anderson TAC de BBN. Protocolos del sistema de control de acceso, BBN Tech Memo CC-0045 con un cambio menor para evitar el inicio de sesión doble de TELNET en diciembre de 1984 en IETF RFC 927. Cisco Systems comenzó a admitir TACACS en sus productos de red a fines de la década de 1980 y finalmente agregó varias extensiones al protocolo. En 1990, las extensiones de Cisco además de TACACS se convirtieron en un protocolo patentado denominado TACACS extendido (XTACACS). Aunque TACACS y XTACACS no son estándares abiertos, Craig Finseth de la Universidad de Minnesota, con la ayuda de Cisco, publicó una descripción de los protocolos en 1993 como IETF RFC 1492 con fines informativos.
Descripciones técnicas
TACACS
TACACS se define en RFC 8907 (antigua RFC 1492) y utiliza (ya sea TCP o UDP) el puerto 49 de forma predeterminada. TACACS permite que un cliente acepte un nombre de usuario y una contraseña y envíe una consulta a un servidor de autenticación TACACS, a veces denominado demonio TACACS. Determina si aceptar o denegar la solicitud de autenticación y envía una respuesta. El TIP (nodo de enrutamiento que acepta conexiones de línea de acceso telefónico, en el que el usuario normalmente querría iniciar sesión) permitiría el acceso o no, según la respuesta. De esta forma, se "abre" el proceso de toma de decisiones" y los algoritmos y los datos utilizados para tomar la decisión están bajo el control total de quien esté ejecutando el demonio TACACS.
XTACACS
Extended TACACS (XTACACS) amplía el protocolo TACACS con funciones adicionales. También separa las funciones de autenticación, autorización y contabilidad (AAA) en procesos separados, lo que les permite ser manejados por servidores y tecnologías separados.
TACACS+
TACACS+ es una extensión diseñada por Cisco para TACACS que cifra el contenido completo de cada paquete. Además, proporciona un control granular en forma de autorización comando por comando.
TACACS+ generalmente ha reemplazado a TACACS y XTACACS en redes construidas o actualizadas más recientemente. TACACS+ es un protocolo completamente nuevo que no es compatible con sus predecesores, TACACS y XTACACS. Debido a que TCP es un protocolo orientado a la conexión, TACACS+ puede detectar y corregir errores de transmisión de red.
Comparación con RADIUS
TACACS+ usa TCP (mientras que RADIUS opera sobre UDP).
Debido a que TCP es un protocolo orientado a la conexión, TACACS+ debe implementar el control de transmisión. Sin embargo, RADIUS no es necesario para detectar y corregir errores de transmisión, como pérdida de paquetes o tiempos de espera, etc., ya que utiliza UDP que no tiene conexión. RADIUS encripta solo los usuarios' contraseña a medida que viaja desde el cliente RADIUS al servidor RADIUS. Toda la demás información, como el nombre de usuario, la autorización, la contabilidad se transmiten en texto claro. Por lo tanto, es vulnerable a diferentes tipos de ataques. TACACS+ cifra toda la información mencionada anteriormente y, por lo tanto, no tiene las vulnerabilidades presentes en el protocolo RADIUS.
Implementaciones
Implementaciones de clientes
- Arista EOS, a proprietary implementation
- Cisco IOS, una aplicación patentada
- Fortinet FortiOS, una aplicación patentada
- Juniper Junos OS, a proprietary implementation
- Palo Alto Networks PAN-OS, una aplicación patentada
- Pam_tacplus, una biblioteca de clientes de protocolo TACACS+ y un módulo PAM
Implementaciones de servidor
- Módulo FreeRADIUS TACACS+, una implementación de código abierto disponible desde la versión 4.0
- Tac_plus por Shrubbery, una implementación de código abierto para Linux
- Tac_plus-ng por Pro-Bono-Publico, una implementación de código abierto para Linux
- Tac_plus VM, tac_plus con un webadmin añadido en un VM (ya no actualizado)
- Aruba Clear Pass Policy Manager, a proprietary implementation
- Cisco Identity Services Engine, una aplicación patentada
- Portnox TACACS+-as-a-Service, una aplicación patentada como servicio hospedado por la nube
- Pulse Secure Pulse Policy Aplicación segura y patentada
- TACACS.net, una aplicación patentada de TACACS+ para Windows
Documentos de normas
- RFC 927 – TACACS Opción Telnet de identificación de usuarios
- RFC 1492 – un protocolo de control de acceso, a veces llamado TACACS
- RFC 8907 – Sistema de Control de Accesos Terminales Plus (TACACS+) Protocolo
- RFC 9105 – A YANG Modelo de datos para el sistema de control de acceso del controlador de terminales Plus (TACACS+)