Vous êtes sur la page 1sur 26

METODOLOGIA TACACS

Introduccin
El factor ms importante dentro de la proteccin de activos de informacin se basa en la administracin de la seguridad de la informacin. Los requerimientos bsicos de la organizacin deben: Asegurar la integridad de la informacin almacenada en los sistemas de cmputo Preservar la confidencialidad de los datos sensibles Asegurar la continua disponibilidad de los sistemas de informacin Asegurar conformidad con las protocolos y estndares.
2

Muchos protocolos requieren la comprobacin de la autenticacin antes de proporcionar autorizacin y derechos de acceso al usuario o dispositivo. TACACS+, RADIUS, Kerberos, DCE, y FORTEZZA son ejemplos de tales protocolos.

Hay dos destacados protocolos de seguridad para el control de acceso a las redes son Cisco TACACS+ y RADIUS. La especificacin RADIUS est descrita en el RFC-2865, que sustituye al obsoleto RFC-2138. Cisco se ha comprometido a apoyar ambos protocolos con las mejores clases de ofertas. La intencin de Cisco no es competir con RADIUS o influenciar a sus usuarios a utilizar TACACS+. Se debe elegir la solucin que mejor satisfaga sus necesidades. 3

TACACS (acrnimo de Terminal Access Controller Access Control System , en ingls sistema de control de acceso mediante control del acceso desde terminales) es un protocolo de autenticacin remota, propietario de cisco, que se usa para comunicarse con un servidor de autenticacin comnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticacin para determinar si el usuario tiene acceso a la red. TACACS est documentado en el RFC 1492.

Qu es TACACS +?
TACACS + es una autenticacin, autorizacin y contabilidad (AAA) protocolo originalmente desarrollado por el Departamento de Defensa de EE.UU. para la autenticacin de dispositivos de red tales como routers, switches y cortafuegos. A diferencia de RADIUS, que separa la autenticacin y autorizacin de funcionalidades, lo cual lo hace ms flexible para el acceso administrativo. La versin actual del protocolo estndar fue desarrollado por Cisco Systems.

TACACS, XTACACS, TACACS+, RADIUS y otros


Todos son protocolos e implementaciones de control de acceso por validacin y autenticacin, que permiten que un servidor del acceso de red (NAS Network Access Servers o RAS Remote Access Server, por ejemplo un router Cisco 2511 o 5300) obtenga datos de administacin del usuario a un servidor central y por tanto se descarge de la tarea administrativa de autenticacin y comprobacin de dicha informacin.

Hay tres versiones del protocolo de autenticacin "TACACS" (Terminal Access Controller Access Control System, sistema de control de acceso del Controlador de Acceso de Terminales). El primer es TACACS ordinario, fue el protocolo utilizado por Cisco en sus NAS, y ha estado en el uso por muchos aos. El segundo es una extensin al primero, comnmente llamado Extended Tacacs o XTACACS, introducido en 1990. Ambos se documentan en RFC1492. El tercero, TACACS+ que, a pesar del nombre, es totalmente un nuevo protocolo y no es compatible con TACACS o XTACACS
7

Por qu TACACS +?
TACACS + simplifica la administracin de la red y aumenta la seguridad de la red. Para ello, centralizando la administracin de usuarios de la red y lo que le permite establecer polticas de acceso granular a los usuarios y grupos, comandos, la ubicacin, hora del da, subred, o tipo de dispositivo. El protocolo TACACS + tambin proporciona un registro completo de acceso de cada usuario y qu comandos fueron utilizados. TACACS + se recomienda para el cumplimiento de la mayora de las normas de seguridad de red para el comercio electrnico, Salud, Finanzas, Gobierno y de las redes.
8

Ventajas de elegir TACACS.net


Software TACACS.net dar vuelta a su PC con Windows o Server en un servidor totalmente funcional TACACS + que se pueden utilizar para permitir a los usuarios especificar directorio local o activa el acceso a la sesin en los equipos de red y gestionar de forma segura con el inicio de sesin nico (SSO). Centralizar la autenticacin de usuario en el controlador de dominio o PC mejora la seguridad de la red, le ahorra dinero, y simplifica la administracin.

Comparacin TACACS+ y RADIUS

10

RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. Fue diseado para autenticar usuarios y utiliza una arquitectura cliente/servidor. El servidor contiene informacin de los usuarios, almacenando sus contraseas y sus perfiles, y el cliente es el encargado de pasar las peticiones de conexin de los usuarios al servidor para que ste las autentique y responda al cliente dicindole si ese usuario est o no registrado.

11

UDP y TCP
RADIUS utiliza UDP mientras TACACS+ utiliza TCP. TCP ofrece algunas ventajas frente a UDP. TCP ofrece una comunicacin orientada a conexin, mientras que UDP ofrece mejor esfuerzo en la entrega. RADIUS requiere adems de variables programables, como el nmero de intentos en la retransmisin o el tiempo de espera para compensar la entrega, pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP:

12

Encriptacin de paquetes
RADIUS encripta solamente la contrasea en el paquete de respuesta al acceso (access-request), desde el cliente hasta el servidor. El resto de paquetes est sin encriptar. Otra informacin, como el nombre de usuario, los servicios autorizados, y la contabilidad pueden ser capturados por un tercero. TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. Dentro de la cabecera hay un campo donde se indica si el cuerpo est encriptado o no. Para propositos de depuracin, es ms util tener el cuerpo de los paquetes sin encriptar. Sin embargo, durante el normal funcionamiento, el cuerpo del mensaje es enteramente cifrado para ms seguridad en las comunicaciones.
13

Autenticacin y autorizacin
RADIUS combina autenticacin y autorizacin. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente, contienen informacin de autorizacin. Esto hace dificil desasociar autenticacin y autorizacin. TACACS+ usa la arquitectura AAA, que separa AAA. Esto perpite separar soluciones de autenticacin, permitiendo seguir utilizando TACACS+ para la autorizacin y la contabilidad. Por ejemplo, con TACACS+, es posible utilizar autenticacin Kerberos y autorizacin y contabilidad TACACS+. Despus un NAS de autenticacin sobre el servidor Kerberos, este solicita peticiones de autorizacin del servidor TACACS+ sin tener que volver a autenticarse. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos, y luego el 14 servidor proporcionar la informacin de autorizacin.

Soporte multiprotocolo
RADIUS no soporta los siguientes protocolos: - Protocolo de Acceso Remoto AppleTalk (ARA) - Protocolo de Control de Tramas NetBIOS. - Interfaz de Servicios Asncronos de Novell (NASI) - Conexines X.25 con PAD
TACACS+ ofrece soporte multiprotocolo.

15

Administracin de routers
RADIUS no permite al usuario el control de comando que pueden ser ejecutados en un router y cuales no. Por lo tanto, RADIUS no es tan til para la gestin de router o flexible para servicios de terminal. TACACS+ proporciona dos mtodos de control de autorizacin de los comandos de un router, uno por usuarios (per-user) o por grupos (per-groups). El primer mtodo asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario est o n autorizado en el nivel de privilegios especificado. El segundo mtodo es para especificar explcitamente en el servidor TACACS+, por usuario o por grupo, los comandos que estn permitidos.
16

Interoperatibilidad
Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs), el cumplimiento de la RADIUS RFCs no garantiza la interoperabilidad. Cisco implementa la mayora de los atributos de RADIUS y coherentemente aade ms. Si el cliente usa solo los atributos de la norma RADIUS en sus servidores, ellos podrn interoperar con varios proveedores siempre y cuando dichos proveedores implementen los mismos atributos. Sin embargo, muchos de los proveedores implementan extensiones de atributos propietarios. Si un cliente usa uno de esos atributos extendidos especficos del proveedor, la interoperabilidad no est asegurada.
17

Trfico
Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS, la cantidad de trfico generado entre el cliente y el servidor es diferente. Estos ejemplos ilustran el trfico entre el cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestin de routers con autenticacin, exec autorizacin, autorizacin del comando (con RADIUS no se puede hacer), exec contabilidad, y comandos de contabilidad (con RADIUS no se puede hacer).

18

Ejemplo de trfico en TACACS+

19

Ejemplo de trfico en RADIUS

20

La Figura muestra la interaccin entre un usuario dial-en el y el cliente de TACACS+ y servidor.

1.- El usuario inicia una autenticacin sobre PPP al RAS 2.- El RAS le pide al usuario nombre de usuario y contrasea 3.- El usuario replica con su contrasea y nombre de usuario 4.- EL cliente TACACS+ que generalmente es el mismo RAS enva en un paquete encriptado con la informacin del usuario al servidor TACACS+ 5.- EL SCA TACACS+ responde con la autenticacin o la negacin 6.- EL servidor TACACS+ y el RAS intercambian mensajes de autorizacin 7.- Si la autorizacin fue positiva el RAS deja entrar al usuario.

21

22

TACACS+ manda la informacin con usurario y password a un servidor de seguridad centralizada Dependiendo del tamao de la red y la cantidad de recursos, el AAAA puede ser implementado en un dispositivo de forma local o puede ser gestionado por medio de un servidor central corriendo los protocolos RADIUS o TACACS+ Versiones
TACACS RFC 1492 puede ser implementado en Linux o Windows XTACACS define las extensiones que Cisco agrego a TACACS TACACS+ - es el protocolo mejorado que provee servicios AAA

23

Es una alternativa, en lugar de usar TACACS+ Desarrollado por Livingston Enterprises (ahora parte de Lucent Technologies), RADIUS tiene tres componentes Protocolo que usa UDP/IP Servidor Cliente Versiones IETF con aproximadamente 63 atributos Implementacin de Cisco con aproximadamente 58 atributos Implementacin de Lucent con aproximadamente 254 atributos

24

25

26

Vous aimerez peut-être aussi