Сравнение протоколов TACACS+ и RADIUS

---

Известно, наиболее популярными протоколами безопасности, используемыми для управления доступом к сетям, являются TACACS+ (Terminal Access Controller Access-Control System Plus) и RADIUS (Remote Authentication Dial-In User Service).

UDP и TCP

RADIUS использует UDP, в то время как TACACS+ использует TCP. TCP имеет ряд преимуществ перед UDP. TCP предлагает транспорт, ориентированный на соединение, в то время как UDP предлагает доставку по принципу best-effort. RADIUS требует дополнительных программируемых переменных, таких как попытки повторной передачи и тайм-ауты, чтобы компенсировать передачу по принципу best-effort, но у него нет такого уровня встроенной поддержки, как у TCP.

Использование TCP обеспечивает отдельное подтверждение того, что запрос был получен, в течение (приблизительно) времени прохождения сети туда и обратно (RTT), независимо от того, насколько загружен и медленен внутренний механизм аутентификации (подтверждение TCP).

TCP обеспечивает немедленную индикацию падения или остановки сервера путем сброса (RST). Вы можете определить, когда сервер падает и возвращается к работе, если используете долгоживущие TCP-соединения. UDP не может отличить неработающий сервер, медленный сервер и несуществующий сервер.

С помощью TCP keepalives сбои сервера могут быть обнаружены вне связи с реальными запросами. Соединения с несколькими серверами могут поддерживаться одновременно, и вам нужно посылать сообщения только на те, о которых известно, что они работают.

TCP более масштабируем и адаптируется к сетям, которые увеличиваются в размерах, а также к повышенной перегрузке.

Шифрование пакетов

RADIUS шифрует только пароль в пакете запроса доступа от клиента к серверу. Остальная часть пакета не шифруется. Другая информация, такая как имя пользователя, авторизованные службы и учет, может быть перехвачена третьей стороной.

TACACS+ шифрует все тело пакета, но оставляет стандартный заголовок TACACS+. В заголовке есть поле, которое указывает, зашифровано тело или нет. Для целей отладки полезно иметь тело пакетов незашифрованным. Однако во время нормальной работы тело пакета полностью шифруется для более безопасного обмена данными.

Аутентификация и авторизация

RADIUS объединяет аутентификацию и авторизацию. Пакеты "доступ-прием", отправляемые сервером RADIUS клиенту, содержат информацию об авторизации. Это затрудняет разделение аутентификации и авторизации.

TACACS+ использует архитектуру AAA, которая разделяет AAA. Это позволяет использовать отдельные решения аутентификации, которые все равно могут использовать TACACS+ для авторизации и учета. Например, с помощью TACACS+ можно использовать аутентификацию Kerberos и авторизацию и учет TACACS+. После того как NAS аутентифицируется на сервере Kerberos, он запрашивает информацию об авторизации с сервера TACACS+ без необходимости повторной аутентификации. NAS сообщает серверу TACACS+, что он успешно прошел аутентификацию на сервере Kerberos, после чего сервер предоставляет информацию об авторизации.

Во время сеанса, если требуется дополнительная проверка авторизации, сервер доступа сверяется с сервером TACACS+, чтобы определить, предоставлено ли пользователю разрешение на использование определенной команды. Это обеспечивает больший контроль над командами, которые могут быть выполнены на сервере доступа, в то время как механизм аутентификации отключен.

---

Размещено в разделе Networks

11.06.2023