Comparar o TACACS+ e o RADIUS

Introdução

Este documento descreve e compara os dois protocolos de segurança proeminentes usados para controlar o acesso às redes, Cisco TACACS+ e Cisco RADIUS.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte Dicas técnicas e formato da Cisco.

Informações de Apoio

A especificação do RADIUS é descrita na RFC 2865 , a qual substitui a RFC 2138. A Cisco suporta ambos os protocolos. Não é a intenção de Cisco competir com o RADIUS ou influenciar os usuários a adotarem o TACACS+. Você deve escolher a solução que melhor atenda às suas necessidades. Esse documento discute as diferenças entre TACACS+ e RADIUS, para que você possa fazer uma escolha mais informada.

A Cisco oferece suporte ao protocolo RADIUS desde o Cisco IOS® Software Release 11.1 de fevereiro de 1996. A Cisco continua a oferecer suporte ao RADIUS e a aprimorá-lo com novos recursos e capacidades.

A Cisco avaliou seriamente o RADIUS como um protocolo de segurança antes de desenvolver o TACACS+. Muitos recursos foram incluídos no protocolo TACACS+ para atender às novas demandas do mercado de segurança. O protocolo foi projetado para ser dimensionado ao crescimento das redes e para se adaptar à nova tecnologia de segurança à medida que o mercado se desenvolve. A arquitetura subjacente do protocolo TACACS+ complementa a arquitetura independente de autenticação, autorização e contabilidade (AAA).

Fundamentos do RADIUS

O RADIUS é um servidor de acesso que usa o protocolo AAA. Trata-se de um sistema de segurança distribuída que protege o acesso remoto a redes e serviços de rede contra o acesso não autorizado. O RADIUS é composto por três componentes:

• Um protocolo com um formato de frame que utiliza o User Datagram Protocol (UDP) /IP.

• Um server.

• Um cliente.

O servidor é executado em um computador central, geralmente no local do cliente, enquanto os clientes residem nos servidores de acesso discado e podem ser distribuídos por toda a rede. A Cisco incorporou o cliente RADIUS no Cisco IOS Software Release 11.1 e posteriores e no software de outros dispositivos.

Modelo de cliente/servidor

Um Servidor de Acesso à Rede (NAS) atua como um cliente RADIUS. O cliente passa as informações do usuário para os servidores RADIUS designados e, em seguida, age na resposta retornada. Os servidores RADIUS recebem solicitações de conexão do usuário, autenticam o usuário e retornam todas as informações de configuração necessárias para que o cliente forneça serviço ao usuário. Os servidores RADIUS podem funcionar como clientes proxy para outros tipos de servidores de autenticação.

Segurança de rede

As transações entre o cliente e o servidor RADIUS são autenticadas utilizando um segredo compartilhado, que nunca é enviado na rede. Além disso, todas as senhas de usuário são enviadas criptografadas entre o cliente e o servidor RADIUS. Isso elimina a possibilidade de alguém espionando uma rede não segura determinar uma senha de usuário.

Mecanismos de autenticação flexível

O servidor RADIUS oferece suporte a vários métodos de autenticação de usuários. Quando recebe o nome de usuário e a senha original fornecidos pelo usuário, ele pode suportar PPP, Password Authentication Protocol (PAP) ou Challenge Handshake Authentication Protocol (CHAP), login UNIX e outros mecanismos de autenticação.

Disponibilidade do código de servidor

Há várias distribuições de código de servidor disponíveis comercial e gratuitamente. Os servidores Cisco incluem o Cisco Secure ACS for Windows, o Cisco Secure ACS para UNIX, e o Cisco Access Registrar.

Comparar o TACACS+ e o RADIUS

Estas seções comparam os vários recursos do TACACS+ e do RADIUS.

UDP e TCP

O RADIUS usa UDP, enquanto que o TACACS+ usa TCP. O TCP oferece diversas vantagens em relação ao UDP. O TCP oferece transporte orientado por conexão, enquanto o UDP a entrega pelo melhor esforço. O RADIUS requer variáveis programáveis adicionais, como tentativas de retransmissão e timeouts para compensar o empenho máximo de transporte, mas não tem o nível de suporte interno que um transporte TCP oferece:

• O uso do TCP fornece uma confirmação separada de que uma solicitação foi recebida, dentro (aproximadamente) de um tempo de ida e volta (RTT) da rede, independentemente de quão carregado e lento é o mecanismo de autenticação de back-end (uma confirmação TCP).

• O TCP fornece indicação imediata de um servidor travado ou parado por uma reinicialização (RST). Você pode determinar quando um servidor trava e volta a funcionar usando conexões TCP de longa duração. O UDP não pode informar a diferença entre um servidor que está inativo, um servidor lento e um servidor inexistente.

• Com as manutenções de atividade do TCP, os travamentos de servidor podem ser detectados fora da banda com solicitações reais. As conexões a vários servidores podem ser mantidas simultaneamente, e você só precisa enviar mensagens àqueles que são conhecidos por estarem ativos e em execução.

• O TCP é mais escalável e se adapta a redes que aumentam de tamanho, bem como aumentam o congestionamento.

Criptografia de Pacotes

O RADIUS criptografa somente a senha no pacote de solicitação de acesso, do cliente para o servidor. O restante do pacote não é criptografado. Outras informações, como o nome de usuário, serviços autorizados e contabilidade, podem ser capturadas por terceiros.

O TACACS+ criptografa todo o corpo do pacote, mas deixa um cabeçalho TACACS+ padrão. No cabeçalho há um campo que indica se o corpo está ou não criptografado. Para fins de depuração, é útil ter o corpo dos pacotes não criptografados. No entanto, durante a operação normal, o corpo do pacote é totalmente criptografado para proporcionar comunicações mais seguras.

Autenticação e Autorização

O RADIUS combina autenticação e autorização. Os pacotes de aceitação acesso enviados pelo servidor RADIUS ao cliente contêm as informações de autorização. Isso dificulta a separação da autenticação da autorização.

O TACACS+ usa a arquitetura AAA, que separa AAA. Isso permite soluções de autenticação separadas que ainda podem usar o TACACS+ para autorização e relatório. Por exemplo, com o TACACS+, é possível usar a autenticação Kerberos e a autorização TACACS+ e a contabilidade. Depois que um NAS se autentica em um servidor Kerberos, ele solicita informações de autorização de um servidor TACACS+ sem a necessidade de uma nova autenticação. O NAS informa ao servidor TACACS+ que houve êxito na autenticação em um servidor Kerberos, e o servidor então fornece as informações de autorização.

Durante uma sessão, se uma verificação de autorização adicional for necessária, o servidor de acesso verificará com um servidor TACACS+ para determinar se o usuário receberá permissão para usar um comando específico. Isso proporciona maior controle sobre os comandos que podem ser executados no servidor de acesso enquanto o mecanismo de autenticação está desassociado.

Suporte a Vários Protocolos

O RADIUS não oferece suporte a estes protocolos:

• Protocolo AppleTalk Remote Access (ARA)

• Protocolo NetBIOS Frame Protocol Control

• Novell Asynchronous Services Interface (NASI)

• Conexão PAD X.25

O TACACS+ oferece suporte a vários protocolos.

Gerenciamento de Roteadores

O RADIUS não permite aos usuários controlar quais comandos podem ou não ser executados em um roteador. Consequentemente, o RADIUS não é tão útil para o gerenciamento de roteadores ou tão flexível para os serviços de terminal.

O TACACS+ fornece dois métodos para controlar a autorização dos comandos do roteador por usuário ou por grupo. O primeiro método é atribuir níveis de privilégio a comandos e fazer com que o roteador verifique com o servidor TACACS+ se o usuário tem ou não autorização no nível de privilégio especificado. O segundo método é especificar explicitamente os comandos permitidos no servidor TACACS+, por grupo ou por usuário.

Interoperabilidade

Devido às várias interpretações das Request For Comments (RFCs) do RADIUS, a conformidade com as RFCs do RADIUS não garante a interoperabilidade. Mesmo que diversos fornecedores implementem clientes RADIUS, isso não significa que eles sejam interoperáveis. A Cisco implementa a maioria dos atributos RADIUS e adiciona consistentemente mais. Se os clientes usarem apenas os atributos RADIUS padrão em seus servidores, eles poderão interoperar entre vários fornecedores, desde que esses fornecedores implementem os mesmos atributos. No entanto, muitos fornecedores implementam extensões que são atributos proprietários. Se um cliente usa um desses atributos estendidos específicos do fornecedor, a interoperabilidade não é possível.

Tráfego

Devido às diferenças previamente mencionadas entre o TACACS+ e o RADIUS, a quantidade de tráfego gerada entre o cliente e o servidor varia. Estes exemplos ilustram o tráfego entre o cliente e o servidor para TACACS+ e RADIUS quando utilizados para gerenciamento de roteador com autenticação, autorização de execução, autorização de comando (que o RADIUS não pode fazer), contabilização de execução e de comando (que o RADIUS não pode fazer).

Exemplo de Tráfego TACACS+

Este exemplo presume que a autenticação de login, a autorização de execução, a autorização de comandos, a contabilidade de execução de início-parada e a contabilidade de comandos são implementadas com o TACACS+ quando um usuário se conecta a um roteador via Telnet, executa um comando e sai do roteador:

Exemplo de Tráfego RADIUS

Esse exemplo presume que a autenticação de logon, a autorização de execução e o relatório de execução de início-parada são implementados com RADIUS quando um usuário se liga pela Telnet a um roteador, executa um comando e sai do roteador (outros serviços de gerenciamento não estão disponíveis).

Suporte a Dispositivos

Esta tabela lista o suporte ao recurso de AAA do TACACS+ e RADIUS por tipo de dispositivo para as plataformas selecionadas. Isso inclui a versão de software na qual o suporte foi adicionado. Consulte as notas de versão do produto para obter mais informações se o seu produto não estiver nessa lista.

Dispositivo Cisco	Autenticação TACACS+	Autorização TACACS+	Contabilidade TACACS+	Autenticação RADIUS	Autorização RADIUS	Contabilidade RADIUS
Cisco Aironet1	12.2(4)JA	12.2(4)JA	12.2(4)JA	todos os access points	todos os access points	todos os access points
Software Cisco IOS®2	10,33	10,33	10.333	11.1.1	11.1.14	11.1.15
Cisco Cache Engine	—	—	—	1,5	1.56	—
Cisco Catalyst Switches	2,2	5.4.1	5.4.1	5.1	5.4.14	5.4.15
Cisco CSS 11000 Content Services Switch	5,03	5,03	5,03	5,0	5.04	—
Cisco CSS 11500 Content Services Switch	5,20	5,20	5,20	5,20	5.204	—
Cisco PIX Firewall	4,0	4.07	4.28,5	4,0	5.27	4.28,5
Cisco Catalyst 1900/2820 Switches	8.x empresa9	—	—	—	—	—
Cisco Catalyst 2900XL/3500XL Switches	11.2.(8)SA610	11.2.(8)SA610	11.2.(8)SA610	12.0(5)WC511	12.0(5)WC511, 4	12.0(5)WC511, 5
Concentrador Cisco VPN 30006	3.0	3.0	—	2.012	2.0	2.012
Cisco VPN 5000 Concentrator	—	—	—	5.2X12	5.2X12	5.2X12

notas da tabela

1. Terminação somente de clientes wireless, e não do tráfego de gerenciamento em versões diferentes do Cisco IOS Software Release 12.2(4)JA ou posterior. No Cisco IOS Software Release 12.2.(4)JA ou posterior, a autenticação para a terminação dos clientes wireless e do tráfego de gerenciamento é possível.

2. Verifique o Software Advisor para suporte de plataforma no software Cisco IOS.

3. A contabilidade do comando não é implementada até o Cisco IOS Software Release 11.1.6.3.

4. Sem autorização de comandos.

5. Sem contabilidade do comandos.

6. Bloqueio de URL somente, e não de tráfego administrativo.

7. Autorização para o tráfego não-VPN via PIX.

   Observação: Versão 5.2 - Suporte de lista de acesso para Access Control List (ACL) RADIUS Vendor-Specific Attribute (VSA) ou autorização TACACS+ para tráfego de VPN terminada no PIX Versão 6.1 - suporte para autorização de atributo 11 RADIUS de ACL para tráfego de VPN terminada no PIX Versão 6.2.2 - suporte para ACLs que podem ser baixadas com autorização RADIUS para tráfego de VPN terminada no PIX Versão 6.2 - suporte para autorização para tráfego de gerenciamento de PIX através do TACACS+.<

8. Contabilidade de tráfego não-VPN via PIX somente, e não de tráfego de gerenciamento.

   Observação: Versão 5.2 - Suporte para contabilização de pacotes TCP de cliente VPN através do PIX.

9. Somente software Enterprise.

10. Necessita de Flash de 8 M para a imagem.

11. Somente terminação VPN.

Observação: somente usuários registrados da Cisco podem acessar ferramentas e informações internas da Cisco.

Informações Relacionadas

• Suporte a RADIUS
• Suporte TACACS/TACACS+ / Protocolos de autenticação
• Solicitações de Comentários (RFCs)
• Suporte técnico e downloads da Cisco