Differenze tra TACACS, XTACACS e TACACS+

 

 

3.1         TACACS

 

TACACS è un protocollo per l'autenticazione e l'autorizzazione usato spesso per l'accesso a router o altri apparati di rete.

 

Esso permette di utilizzare la tradizionale coppia username-password per l'accesso a questi apparati, e prevede, per maggiore sicurezza, la memorizzazione delle password in un server (normalmente, una workstation Unix) che può essere opportunamente protetto.

 

Poiché le password viaggiano comunque in chiaro sulla rete, molti costruttori di smart-card prevedono l'integrazione del loro prodotto con i vari TACACS-Server (che sono programmi Unix) aumentando di molto la sicurezza del sistema, che è altrimenti uguale a quello dei sistemi di autenticazione deboli.

 

Le specifiche del protocollo sono contenute nell' RFC 1492 (cfr. Riferimenti - 3. Request for Comments).

 

Quelle che seguono sono le caratteristiche generali sulla sicurezza di accesso e le funzioni garantite dal protocollo su di un database centralizzato (o server di accesso):

 

Caratteristiche Funzione
Username e password Sicurezza di base NAS
PAP e CHAP Compatibilità di PAP o CHAP con il Tacacs
Logging Invia tempo di inizio/fine a un server di logging esterno
Time out assoluto Limita il tempo in cui un utente può essere connesso
Time out di inattività Dopo un specificato tempo di inattività l'utente viene disconnesso e nessun'altro potrà usare la connessione
Autocommand Si può automaticamente eseguire un comando se esso è disponibile all'interno del database
System script Connette automaticamente un utente ad un host specifico
Autoselect Fornisce automaticamente agli utenti il servizio di cui hanno bisogno per connettersi al server di accesso. Autoselect supporta Telnet, TN2370, SLIP, PPP (per IP o IPX) e ARA.

 

 

DATABASE CENTRALIZZATO E TACACS

 

Un' architettura client/server pone tutte le informazioni di sicurezza su un singolo database centralizzato, anziché distribuirle su differenti dispositivi. Ciò è utile se vi sono tantissimi utenti che stanno usando molti server d’accesso distribuiti sulla rete.

 

TACACS e altri protocolli di sicurezza sono progettati per supportare migliaia di connessioni remote.

In una rete grande il relativo database è piuttosto grande ed è mantenuto su un server centralizzato.

In questo modo non si impiega memoria per tutti i dispositivi di accesso e si elimina la necessità di aggiornare ogni server d’accesso quando sono aggiunti nuovi utenti o quando le password sono modificate o cambiate.

 

 

 

3.2         XTACACS

 

XTACACS definisce le estensioni che Cisco ha aggiunto al protocollo TACACS nel 1990 per supportare nuove e più avanzate caratteristiche.

 

 

Esso supporta:

 

Inoltre XTACACS è un multiprotocollo e può autorizzare connessioni con:

 

3.3         TACACS+

 

Le caratteristiche chiave di TACACS+ possono essere schematizzate nel seguente modo:

 

 

I servizi più comuni supportati da TACACS+ sono PPP per IP e accesso alla shell EXEC del router attraverso l'uso di una console o di una porta VTY. In tal modo sarà possibile selezionare i servizi di cui si ha bisogno, come per esempio PPP, TN3270, oppure sarà possibile gestire il router stesso.

 

Inoltre anche se TACACS+ è progettato specificamente per essere scalabile e compatibile con l'ampia linea di router, servizi di accesso, e switcher di Cisco System, oggi sono disponibili sul mercato molti server che lo utilizzano come protocollo base per offrire servizi ai propri utenti.

 

Alcune compagnie che hanno adottato questa soluzione sono:

 

  1. Shiva Corporation (acquisita da Intel Corporation® in Febbraio '99)

  2. Enigma Logic

  3. Security Dynamics

  4. Digital Pathways

  5. Lucent Technologies (che ha acquisito Livingston, sviluppatore di RADIUS)

  6. Master Soft S.p.A. (U.S.A. e Italy)

  7. RSA ACE/Server® (componente della famiglia di prodotti RSA SecurID®)

 

Ecco schematicamente i vantaggi, in termini di supporto, del protocollo TACACS+ sulle altre due precedenti versioni:

 

Caratteristiche

TACACS

XTACACS
TACACS+
AUTENTICAZIONE
supportato
supportato
PAP/CHAP
*
*
System script
*
*
Autocommand
*
*
Username/Password
*
*
Cifratura MD5
  
*
Supporto Token Card
*
*
Via Kerberos 5
  
*
Per EXEC
*
*
Per PPP
*
*
Per ARA
*
*
Multiple Challange/Response
  
*
Router access authentication
*
*
Supporto per RCMD
  
*
Tipi di autenticazione multipli
*
*
AUTORIZZAZIONE
supportato
supportato
Per user-IP (SLIP e PPP)
*
*
Per user IPX
*
*
Per user ARA
*
*
Exec prompt access
  
*
Exec e PPP IP address
*
*
Exec e Telnet
*
*
Comandi del router
*
*
Password modificabile dall'utente
Dipende dal server
*
ACCOUNTING
supportato
supportato
Tempo di inizio connessione
*
*
Tempo di fine connessione
*
*
Tempo totale di connessione
*
*
Quali comandi + argomenti
  
*
Locazione dalla quale il client si connette
  
*
User ID
*
*

User Protocol
*
*
Uso di UDP
*
  
Uso di TCP
  
*
Time out assoluto
*
*
Time out di inattività
*
*