Compare TACACS+ y RADIUS

Introducción

Este documento describe y compara los dos protocolos de seguridad destacados que se utilizan para controlar el acceso a las redes: Cisco TACACS+ y Cisco RADIUS.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Consejos técnicos y formato de Cisco.

Antecedentes

La especificación RADIUS se describe en RFC 2865 , que deja obsoleto RFC 2138 . Cisco admite ambos protocolos. Cisco no pretende competir con RADIUS ni influir en los usuarios para que usen TACACS+. Debe elegir la solución que mejor satisfaga sus necesidades. Este documento detalla las diferencias entre TACACS+ y RADIUS a fin de poder realizar una elección informada.

Cisco ha soportado el protocolo RADIUS desde la Versión de Software 11.1 de febrero de 1996 de Cisco IOS®. Cisco continúa ofreciendo soporte para RADIUS y para mejorarlo con nuevas funciones y capacidades.

Cisco evaluó seriamente RADIUS como un security protocol antes de que desarrollara TACACS+. Se han incluido muchas funciones en el protocolo TACACS+ para satisfacer las nuevas exigencias del mercado de la seguridad. El protocolo fue diseñado para que se incremente a medida que aumentan las redes y para que se adapte a la nueva tecnología de seguridad según la evolución del mercado. La arquitectura subyacente del protocolo TACACS+ complementa la arquitectura independiente de autenticación, autorización y contabilidad (AAA).

Segundo plano de RADIUS

RADIUS un servidor de acceso que utiliza el protocolo AAA. Es un sistema de seguridad distribuida que protege el acceso remoto a las redes y a los servicios de red contra el acceso no autorizado. RADIUS comprende tres elementos:

• Un protocolo con un formato de trama que utiliza el User Datagram Protocol (UDP) /IP.

• Un servidor.

• Un cliente.

El servidor se ejecuta en un equipo central, normalmente en el sitio del cliente, mientras que los clientes residen en los servidores de acceso telefónico y se pueden distribuir por toda la red. Cisco ha incorporado al RADIUS Client en el software de Cisco IOS Software Release 11.1 y posterior y del otro dispositivo.

Modelo de cliente/servidor

Un servidor de acceso a la red (NAS) actúa como cliente de RADIUS. El cliente pasa la información del usuario a los servidores RADIUS designados y, a continuación, actúa en función de la respuesta que se devuelve. Los servidores RADIUS reciben las solicitudes de conexión de los usuarios, autentican al usuario y devuelven toda la información de configuración necesaria para que el cliente preste servicio al usuario. Los servidores RADIUS pueden actuar como clientes de servidor alterno respecto de otros servidores de autenticación.

Seguridad de redes:

Las transacciones entre el cliente y el servidor RADIUS son autenticadas mediante el uso de un secreto compartido, que nunca se envía por la red. Además, cualquier contraseña de usuario se envía cifrada entre el cliente y el servidor RADIUS. Esto elimina la posibilidad de que alguien que está indagando en una red no segura pueda determinar una contraseña de usuario.

Mecanismo de autenticación flexible

El servidor RADIUS soporta una variedad de métodos para autenticar un usuario. Cuando se proporciona con el nombre de usuario y la contraseña original proporcionados por el usuario, puede admitir PPP, protocolo de autenticación de contraseña (PAP) o protocolo de autenticación por desafío mutuo (CHAP), inicio de sesión de UNIX y otros mecanismos de autenticación.

Disponibilidad del código del servidor

Hay una serie de distribuciones de código de servidor disponibles comercialmente y en forma gratuita. Los servidores de Cisco incluyen Cisco Secure ACS para Windows, Cisco Secure ACS para UNIX, y Access Registrar de Cisco.

Compare TACACS+ y RADIUS

Estas secciones comparan varias características del TACACS+ y RADIUS.

UDP y TCP

RADIUS utiliza UDP mientras que TACACS+ utiliza TCP. El TCP ofrece varias ventajas en comparación con el UDP. TCP ofrece un transporte orientado por conexión, mientras que UDP ofrece el mejor esfuerzo para entregar. RADIUS necesita variables programables adicionales tales como los intentos de retransmisión y tiempos de espera para compensar el transporte de producto de un esfuerzo razonable, pero carece del nivel de soporte incluido que ofrece un transporte TCP:

• El uso de TCP proporciona un reconocimiento independiente de que se ha recibido una solicitud, dentro de (aproximadamente) un tiempo de ida y vuelta (RTT) de la red, independientemente de la carga y la lentitud del mecanismo de autenticación backend (un reconocimiento TCP).

• TCP proporciona una indicación inmediata de un servidor bloqueado o detenido mediante un restablecimiento (RST). Puede determinar cuando un servidor falla y vuelve a estar en servicio si utiliza las conexiones TCP de larga duración. UDP no puede indicar la diferencia entre un servidor desactivado, uno lento y uno inexistente.

• Con los keepalives TCP, las caídas del servidor pueden ser detectadas fuera de banda con solicitudes reales. Las conexiones a varios servidores se pueden mantener simultáneamente, y solo necesita enviar mensajes a aquellos que se sabe que están activos y que se ejecutan.

• TCP es más escalable y se adapta a las redes que aumentan en tamaño y en congestión.

Cifrado de Paquetes

RADIUS sólo cifra la contraseña en el paquete de solicitud de acceso, del cliente al servidor. El resto del paquete no está cifrado. Otra información, tal como el nombre de usuario, los servicios autorizados, y la cuenta, pueden capturarse a través de una tercera parte.

TACACS+ cifra todo el cuerpo del paquete pero deja un encabezado estándar de TACACS+. Dentro del encabezado se encuentra un campo que indica si el cuerpo se ha cifrado o no. Para facilitar el debugging, resulta útil que el cuerpo de los paquetes no esté cifrado. Sin embargo, durante el funcionamiento normal, el cuerpo del paquete se cifra completamente para lograr comunicaciones más seguras.

Autenticación y autorización

RADIUS combina autenticación y autorización. Los paquetes access-accept enviados por el servidor de RADIUS al cliente contienen la información de autorización. Esto dificulta la tarea de desacoplar la autenticación y autorización.

TACACS+ usa la arquitectura AAA, la que separa a AAA. Esto permite soluciones de autenticación separada que pueden todavía usar TACACS+ para autorización y conteo. Por ejemplo, con TACACS+, es posible utilizar la autenticación de Kerberos y la autorización TACACS+ y el conteo. Después de que un NAS se autentica en un servidor Kerberos, solicita información de autorización de un servidor TACACS+ sin necesidad de volver a autenticarse. El NAS le informa al servidor TACACS+ que se ha autenticado de manera exitosa en un servidor Kerberos y luego el servidor le proporciona información de autorización.

Durante una sesión, si se requiere una verificación de autorización adicional, el servidor de acceso verifica con un servidor TACACS+ para determinar si el usuario tiene permiso para utilizar un comando determinado. Esto proporciona un mayor control sobre los comandos que se pueden ejecutar en el servidor de acceso mientras el mecanismo de autenticación está desasociado.

Soporte multiprotocolo

RADIUS no admite estos protocolos:

• Protocolo AppleTalk Remote Access (ARA)

• Protocolo NetBIOS Frame Protocol Control

• Novell Asynchronous Services Interface (NASI)

• Conexión X.25 PAD

TACACS+ ofrece soporte multiprotocolo.

Administración del router

RADIUS no permite a los usuarios controlar qué comandos pueden y no pueden ejecutarse en un router. Por lo tanto, RADIUS no es tan útil como para la administración del router ni tan flexible para los servicios de terminal.

TACACS+ proporciona dos métodos para controlar la autorización de los comandos del router por usuario o por grupo. El primer método es asignarle niveles de privilegio a los comandos y hacer que el router verifique con el servidor TACACS+ si el usuario está autorizado o no en ese nivel de privilegio específico. El segundo método es especificar explícitamente los comandos permitidos en el servidor TACACS+, por usuario o por grupo.

Interoperabilidad

Debido a las diversas interpretaciones de la Solicitud de Comentarios de RADIUS (RFC), el cumplimiento con RADIUS RFC no garantiza la interoperabilidad. Aunque varios vendedores implementan clientes RADIUS, esto no significa que sean interoperables. Cisco implementa la mayoría de los atributos de RADIUS y agrega constantemente más. Si los clientes utilizan sólo los atributos RADIUS estándar en sus servidores, pueden interoperar entre varios proveedores siempre que estos implementen los mismos atributos. Sin embargo, muchos proveedores implementan extensiones que son atributos de propietario. Si un cliente utiliza uno de estos atributos extendidos específicos del proveedor, la interoperabilidad no es posible.

Tráfico

Debido a las diferencias previamente mencionadas entre TACACS+ y RADIUS, la cantidad de tráfico generada entre el cliente y el servidor difiere. Estos ejemplos ilustran el tráfico entre el cliente y el servidor para TACACS+ y RADIUS cuando se usan para la administración del router con autenticación, autorización de exec, autorización de comandos (la cual RADIUS no puede llevar a cabo), contabilización de exec y contabilización de comandos (la cual RADIUS no puede llevar a cabo).

Ejemplo de tráfico de TACACS+

En este ejemplo se asume que la autenticación del inicio de sesión, la autorización exec, la autorización de comandos, el exec iniciar-detener y los comandos fueron implementados con TACACS cuando un usuario se conecta mediante Telnet a un router, ejecuta un comando y sale del router (no están disponibles otros servicios de administración):

Ejemplo deTráfico de RADIUS

En este ejemplo se asume que las cuentas de autenticación de usuario, la autorización exec y el exec iniciar-detener fueron implementadas con RADIUS cuando un usuario se conecta mediante Telnet a un router ejecuta un comando y sale del router (no están disponibles otros servicios de administración).

Soporte de dispositivo

Esta tabla detalla los soportes de TACACS+ y RADIUS AAA por tipo de dispositivo para las plataformas seleccionadas. Esto incluye la versión de software en la que se agregó el soporte. Consulte las notas de la versión del producto para obtener más información si el producto no se encuentra en esta lista.

Dispositivo de Cisco	autenticación TACACS+	autorización TACACS+	Contabilidad de TACACS+	Autenticación RADIUS	Autorización RADIUS	Contabilización RADIUS
Cisco Aironet1	12.2(4)AY	12.2(4)AY	12.2(4)AY	todos los puntos de acceso	todos los puntos de acceso	todos los puntos de acceso
Software Cisco IOS®2	10.33	10.33	10.333	11.1.1	11.1.14	11.1.15
Cisco Cache Engine	—	—	—	1.5	1.56	—
Cisco Catalyst Switches	2.2	5.4.1	5.4.1	5.1	5.4.14	5.4.15
Cisco CSS 11000 Content Services Switch	5.03	5.03	5.03	5.0	5.04	—
Cisco CSS 11500 Content Services Switch	5.20	5.20	5.20	5.20	5.204	—
Cisco PIX Firewall	4.0	4.07	4.28,5	4.0	5.27	4.28,5
Cisco Catalyst 1900/2820 switches	8.x enterprise9	—	—	—	—	—
Cisco Catalyst 2900XL/3500XL switches	11.2.(8)SA610	11.2.(8)SA610	11.2.(8)SA610	12.0(5)WC511	12.0(5)WC511, 4	12.0(5)WC511, 5
Concentrador Cisco VPN 30006	3.0	3.0	—	2.012	2.0	2.012
Concentrador Cisco VPN 5000	—	—	—	5.2X12	5.2X12	5.2X12

‘Notas de la tabla’

1. Terminación sólo de clientes inalámbricos, no del tráfico de administración en otra versión que no sea la del software 12.2(4)JA l posteriores del IOS de Cisco. En la versión de Cisco IOS Software 12.2.(4)JA o posterior, autenticación para la terminación de clientes inalámbricos y el tráfico de administración es posible.

2. Consulte Software Advisor para obtener soporte de plataforma dentro del software Cisco IOS.

3. La contabilización de comandos no se implementa hasta la versión de software del IOS de Cisco 11.1.6.3.

4. Ninguna autorización de comando.

5. Ninguna contabilidad del comando.

6. Bloqueo de URL solamente, sin tráfico administrativo.

7. Autorización para el tráfico no VPN con PIX.

   Nota: Versión 5.2 - Soporte de la lista de acceso para la Lista de control de acceso (ACL), Atributo específico del proveedor (VSA) de RADIUS o autorización TACACS+ para el tráfico VPN terminado en la versión 6.1 de PIX - Soporte para la autorización del atributo 11 de RADIUS de ACL para el tráfico VPN terminado en la versión 6.2.2 de PIX - Soporte para ACL descargables con autorización RADIUS para el tráfico VPN terminado en la versión 6.2 de PIX - Soporte para la autorización para el tráfico de administración de PIX a través de TACACS+.<

8. Contabilidad para el tráfico no VPN con el PIX solamente, sin tráfico de administración.

   Nota: Versión 5.2 - Soporte para contabilizar los paquetes TCP del cliente VPN a través del PIX.

9. Enterprise software solamente.

10. Requiere memoria Flash de 8 M para las imágenes.

11. Sólo terminación VPN.

Nota: solo los usuarios registrados de Cisco pueden acceder a la información y las herramientas internas de Cisco.

Información Relacionada

• Compatibilidad con RADIUS
• Compatibilidad con TACACS/TACACS+/Protocolos de autenticación
• Solicitudes de Comentarios (RFC)
• Soporte técnico y descargas de Cisco