Compare TACACS + and RADIUS (TACACS + en RADIUS vergelijken)

Inleiding

In dit document worden twee prominente security protocollen beschreven en vergeleken die worden gebruikt om de toegang tot netwerken, Cisco TACACS+ en Cisco RADIUS te beheren.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg voor meer informatie over documentconventies Cisco Technical Tips and Format.

Achtergrondinformatie

De RADIUS-specificatie wordt beschreven in RFC 2865 , die RFC 2138 veroudert. Cisco ondersteunt beide protocollen. Het is niet de bedoeling van Cisco om met RADIUS te concurreren of gebruikers te beïnvloeden om TACACS+ te gebruiken. U moet de oplossing kiezen die het beste aan uw behoeften voldoet. Dit document bespreekt de verschillen tussen TACACS+ en RADIUS, zodat u een weloverwogen keuze kunt maken.

Cisco heeft het RADIUS-protocol ondersteund sinds Cisco IOS®-softwarerelease 11.1 in februari 1996. Cisco blijft RADIUS ondersteunen en verbeteren met nieuwe functies en mogelijkheden.

Cisco evalueerde RADIUS serieus als een beveiligingsprotocol voordat het TACACS+ ontwikkelde. In het TACACS+-protocol zijn veel functies opgenomen om aan de nieuwe eisen van de veiligheidsmarkt te voldoen. Het protocol is ontworpen om te kunnen schalen naarmate netwerken groeien en om zich aan te passen aan nieuwe beveiligingstechnologie wanneer de markt zich verder ontwikkelt. De onderliggende architectuur van het TACACS+-protocol vormt een aanvulling op de onafhankelijke architectuur voor authenticatie, autorisatie en accounting (AAA).

RADIUS-achtergrond

RADIUS is een toegangsserver die AAA-protocol gebruikt. Het is een systeem van gedistribueerde beveiliging dat externe toegang tot netwerken en netwerkservices beveiligt tegen onbevoegde toegang. RADIUS bestaat uit drie componenten:

• Een protocol met een frameverdeling die gebruik maakt van User Datagram Protocol (UDP)/IP.

• Een server.

• Een klant.

De server draait op een centrale computer op de clientlocatie, terwijl de clients zich in de inbeltoegangsservers bevinden en over het netwerk kunnen worden gedistribueerd. Cisco heeft de RADIUS-client opgenomen in Cisco IOS-softwarerelease 11.1 en hoger en andere apparaatsoftware.

Client/server-model

Een Network Access Server (NAS) werkt als een client van RADIUS. De client geeft gebruikersinformatie door aan aangewezen RADIUS-servers en reageert vervolgens op het antwoord dat wordt teruggestuurd. RADIUS-servers ontvangen verzoeken om verbinding met de gebruiker, verifiëren de gebruiker en retourneren alle configuratie-informatie die de client nodig heeft om de service aan de gebruiker te leveren. De RADIUS-servers kunnen fungeren als proxyclients voor andere soorten verificatieservers.

Netwerk security

De transacties tussen de client en de RADIUS-server worden geverifieerd door middel van een gedeeld geheim dat nooit via het netwerk wordt verzonden. Bovendien worden alle gebruikerswachtwoorden versleuteld tussen de client en RADIUS-server. Dit elimineert de mogelijkheid dat iemand die op een onbeveiligd netwerk snuffelt een gebruikerswachtwoord zou kunnen bepalen.

Flexibele verificatiemechanismen

De RADIUS-server ondersteunt een aantal methoden om een gebruiker te verifiëren. Wanneer het met de gebruikersnaam en het originele wachtwoord door de gebruiker wordt gegeven, kan het PPP, het Protocol van de Verificatie van het Wachtwoord (PAP), of het Protocol van de Verificatie van de Handdruk van de Uitdaging (CHAP), UNIX login, en andere authentificatiemechanismen steunen.

Beschikbaarheid servercode

Er zijn een aantal distributies van servercode commercieel en vrij beschikbaar. Cisco Secure ACS-servers zijn onder meer Cisco Secure ACS voor Windows, Cisco Secure ACS voor UNIX en Cisco Access Registrar.

Compare TACACS + and RADIUS (TACACS + en RADIUS vergelijken)

Deze secties vergelijken verscheidene eigenschappen van TACACS+ en RADIUS.

UDP en TCP

RADIUS gebruikt UDP terwijl TACACS+ TCP gebruikt. TCP biedt verschillende voordelen ten opzichte van UDP. TCP biedt een op verbinding gericht transport, terwijl UDP de best-inspanning levering biedt. RADIUS vereist aanvullende programmeerbare variabelen zoals opnieuw verzenden van pogingen en time-outs om te compenseren voor transport dat de beste inspanning levert, maar heeft niet het niveau van ingebouwde ondersteuning dat een TCP-transport biedt:

• Het gebruik van TCP verstrekt een afzonderlijke erkenning dat een verzoek, binnen (ongeveer) een netwerk round-trip tijd (RTT) is ontvangen, ongeacht hoe geladen en langzaam het backend authentificatiemechanisme (een erkenning van TCP) is.

• TCP geeft onmiddellijke indicatie van een gecrashte of een stopgezette server door een reset (RST). U kunt bepalen wanneer een server crasht en terugkeert naar de service als u langdurige TCP-verbindingen gebruikt. UDP kan niet het verschil zien tussen een uitgevallen server, een trage server en een niet-bestaande server.

• Met TCP-keepalives kunnen servercrashes out-of-band worden gedetecteerd met feitelijke verzoeken. Verbindingen met meerdere servers kunnen tegelijkertijd worden onderhouden en je hoeft alleen maar berichten te versturen naar de servers waarvan bekend is dat ze actief zijn.

• TCP is schaalbaarder en past zich aan netwerken aan die groter worden en ook meer stremming hebben.

Packet-encryptie

RADIUS versleutelt alleen het wachtwoord in het pakket voor toegangsaanvragen, van de client naar de server. De rest van het pakket is niet versleuteld. Andere informatie, zoals gebruikersnaam, geautoriseerde services en accounting, kan door een derde worden opgenomen.

TACACS+ versleutelt de gehele inhoud van het pakket, maar laat een standaard TACACS+ header achter. Binnen de header is een veld dat aangeeft of de body al dan niet is versleuteld. Voor het zuiveren doeleinden, is het nuttig om het lichaam van de pakketten te hebben unencrypted. Tijdens normaal gebruik is de inhoud van het pakket echter volledig versleuteld voor beveiligde communicatie.

Verificatie en autorisatie

RADIUS combineert verificatie en autorisatie. De access-acceptatiepakketten die door de RADIUS-server naar de client worden verzonden, bevatten autorisatieinformatie. Dit maakt het moeilijk om authenticatie en autorisatie te ontkoppelen.

TACACS+ gebruikt de AAA-architectuur, die AAA scheidt. Dit maakt afzonderlijke verificatieoplossingen mogelijk die nog steeds TACACS+ kunnen gebruiken voor autorisatie en accounting. Met TACACS+ is het bijvoorbeeld mogelijk om Kerberos-verificatie en TACACS+ autorisatie en accounting te gebruiken. Nadat een NAS een Kerberos-server heeft geauthenticeerd, vraagt hij autorisatiegegevens aan bij een TACACS+-server zonder dat hij opnieuw moet worden geverifieerd. De NAS informeert de TACACS+ server dat het met succes is geverifieerd op een Kerberos server, en de server verstrekt dan vergunningsinformatie.

Tijdens een sessie, als extra autorisatiecontrole nodig is, controleert de toegangsserver met een TACACS+ server om te bepalen of de gebruiker toestemming heeft om een bepaalde opdracht te gebruiken. Dit geeft meer controle over de opdrachten die kunnen worden uitgevoerd op de toegangsserver terwijl het verificatiemechanisme wordt losgekoppeld.

Multiprotocol-ondersteuning

RADIUS ondersteunt deze protocollen niet:

• AppleTalk Remote Access (ARA)-protocol

• NetBIOS Frame Protocol Control-protocol

• Novell-asynchrone services interface (NASI)

• X.25 PAD-verbinding

TACACS+ biedt multiprotocol ondersteuning.

Routerbeheer

Met RADIUS kunnen gebruikers niet bepalen welke opdrachten op een router kunnen worden uitgevoerd en welke niet. RADIUS is daarom niet zo nuttig voor routerbeheer of net zo flexibel voor terminalservices.

TACACS+ biedt twee methoden om de autorisatie van routeropdrachten per gebruiker of per groep te bepalen. De eerste methode is om voorrechtniveaus toe te wijzen aan opdrachten en de router te laten verifiëren met de TACACS+ server of de gebruiker al dan niet geautoriseerd is op het opgegeven voorrechtniveau. De tweede methode is om expliciet in de TACACS+ server, per gebruiker of per groep, de opdrachten te specificeren die zijn toegestaan.

Interoperabiliteit

Als gevolg van verschillende interpretaties van het RADIUS-verzoek om opmerkingen (RFC’s) is naleving van de RADIUS-RFC’s geen garantie voor interoperabiliteit. Hoewel meerdere leveranciers RADIUS-clients implementeren, betekent dit niet dat ze interoperabel zijn. Cisco implementeert de meeste RADIUS-kenmerken en voegt consequent meer toe. Als clients alleen de standaard RADIUS-kenmerken in hun servers gebruiken, kunnen ze tussen meerdere leveranciers samenwerken zolang deze leveranciers dezelfde kenmerken implementeren. Veel leveranciers implementeren echter extensies die eigen kenmerken zijn. Als een client een van deze leverancierspecifieke uitgebreide kenmerken gebruikt, is interoperabiliteit niet mogelijk.

Verkeer

Vanwege de eerder genoemde verschillen tussen TACACS+ en RADIUS, verschilt de hoeveelheid verkeer die wordt gegenereerd tussen de client en server. Deze voorbeelden illustreren het verkeer tussen de client en server voor TACACS+ en RADIUS bij gebruik voor routerbeheer met verificatie, exec-autorisatie, opdrachtautorisatie (wat RADIUS niet kan doen), exec-accounting en opdrachtaccounting (wat RADIUS niet kan doen).

Voorbeeld van TACACS+ verkeer

Dit voorbeeld gaat uit van login-verificatie, exec-autorisatie, opdrachtautorisatie, start-stop exec-accounting en opdrachtaccounting wordt geïmplementeerd met TACACS+ wanneer een gebruiker Telnets naar een router uitvoert, een opdracht uitvoert en de router verlaat:

RADIUS-verkeersvoorbeeld

Dit voorbeeld gaat ervan uit dat login-verificatie, exec-autorisatie en start-stop exec-accounting met RADIUS wordt geïmplementeerd wanneer een gebruiker Telnet aan een router uitvoert, een opdracht uitvoert en de router verlaat (andere beheerservices zijn niet beschikbaar).

Apparaatondersteuning

Deze tabel geeft een overzicht van de TACACS+ en RADIUS AAA-ondersteuning per apparaattype voor geselecteerde platforms. Dit omvat de softwareversie waarin de ondersteuning is toegevoegd. Raadpleeg de opmerkingen bij de productrelease voor meer informatie als uw product niet in deze lijst staat.

Cisco-apparaat	TACACS+-verificatie	Toestemming voor TACACS+	Tacacs+-accounting	RADIUS-verificatie	RADIUS-autorisatie	RADIUS-accounting
Cisco Aironet1	12.2(4)JA	12.2(4)JA	12.2(4)JA	Alle access points	Alle access points	Alle access points
Cisco IOS®-software2	10.33	10.33	10.333	11.1.1	11.1.14	11.1.15
Cisco Cache Engine	—	—	—	1.5	1.56	—
Cisco Catalyst 6500 switches	2.2	5.4.1	5.4.1	5.1	5.4.14	5.4.15
Cisco CSS 11000 Content Services Switch	5.03	5.03	5.03	5.0	5.04	—
Cisco CSS 11500 Content Services Switch	5.20	5.20	5.20	5.20	5.204	—
Cisco PIX-firewall	4.0	4.07	4.28,5	4.0	5.27	4.28,5
Cisco Catalyst 1900/2820 switches	8.x Enterprise9	—	—	—	—	—
Cisco Catalyst 2900XL/3500XL switches	11.2.(8)SA610	11.2.(8)SA610	11.2.(8)SA610	511	511,4	511,5
Cisco VPN 3000 concentrator6	3.0	3.0	—	2.012	2.0	2.012
Cisco VPN 5000 concentrator	—	—	—	5,2X12	5,2X12	5,2X12

Tabellen

1. Beëindiging van alleen draadloze clients, geen beheerverkeer in andere versies dan Cisco IOS-softwarerelease 12.2(4)JA of hoger. In Cisco IOS-softwarerelease 12.2(4)JA of hoger is verificatie voor zowel de beëindiging van draadloze clients als het beheerverkeer mogelijk.

2. Controleer de Software Advisor voor platformondersteuning binnen Cisco IOS-software.

3. Opdrachtaccounting is niet geïmplementeerd tot Cisco IOS-softwarerelease 11.1.6.3.

4. Geen opdrachtautorisatie.

5. Geen opdrachtaccounting.

6. Alleen URL-blokkering, niet administratief verkeer.

7. Vergunning voor niet-VPN verkeer door PIX.

   Opmerking: release 5.2 - Ondersteuning van toegangslijsten voor ACL (Access Control List) Vendor-Specific Attribute (VSA) of TACACS+-autorisatie voor VPN-verkeer afgesloten op PIX release 6.1 - ondersteuning voor ACL RADIUS-kenmerk 11-autorisatie voor VPN-verkeer beëindigd op PIX release 6.2.2 - ondersteuning voor downloadbare ACL’s met RADIUS-autorisatie voor VPN-verkeer afgesloten op PIX release 6.2 - ondersteuning voor autorisatie voor PIX-beheerverkeer via TACACS+.<

8. Accounting voor niet-VPN verkeer alleen via PIX, niet voor beheerverkeer.

   Opmerking: release 5.2 - Ondersteuning voor accounting voor VPN-client-TCP-pakketten via de PIX.

9. Alleen Enterprise-software.

10. Vereist 8M Flash voor afbeelding.

11. Alleen VPN-beëindiging.

Opmerking: alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.

Gerelateerde informatie

• RADIUS-ondersteuning
• Ondersteuning van TACACS/TACACS+/verificatieprotocollen
• Requests for Comments (RFC’s)
• Cisco Technical Support en downloads