Tacacs của Cisco khác với Radius chỗ nào , mình cũng vừa nghiên cứu thằng này xong xin đưa ra để các bạn dễ phân biệt.
Giới thiệu
Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là TACACS (Terminal Access Controller Access Control System) và RADIUS (Remote Authentication Dial-In User Service).
Cả hai giao thức đều có phiên bản và thuộc tính riêng. Chẳng hạn như phiên bản riêng của TACACS là TACACS+, tương thích hoàn toàn với TACACS. RADIUS cũng có sự mở rộng khi cho phép khách hàng thêm thông tin xác định được mang bởi RADIUS. TACACS và RADIUS [1] được dùng từ một thiết bị như là server truy cập mạng (NAS) đến AAA server. Người dùng gọi từ PC đến NAS. NAS sẽ hỏi thông tin để xác thực người dùng. Từ PC đến NAS, giao thức sử dụng là PPP, và một giao thức như là CHAP hay PAP được dùng để truyền thông tin xác thực. NAS sẽ truyền thông tin đến AAA Server để xác thực. Nó được mang bởi giao thức TACACS hoặc RADIUS.
Tổng quan về TACACS
TACACS là giao thức được chuẩn hóa sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49. TACACS có các ưu điểm sau :
•Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền.
•TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi. Nó có thể tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại.
•Toàn bộ payload được mã hóa với TACACS+ bằng cách sử dụng một khóa bí mật chung (shared secret key). TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hóa hay không.
•TACACS+ mã hóa toàn bộ gói bằng việc sử dụng khóa bí mật chung nhưng bỏ qua header TACACS chuẩn. Cùng với header là một trường xác định body có được mã hóa hay không. Thường thì trong toàn bộ thao tác, body của một gói được mã hóa hoàn toàn để truyền thông an toàn.
•TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting). Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cước. Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến.
•TACACS+ hỗ trợ nhiều giao thức.
•Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user :
oPhương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi thì sẽ được cấp cho mức đặc quyền xác định nói trên.
oPhương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng.
•TACACS thường được dùng trong môi trường enterprise. Nó có nhiều ưu điểm và làm việc tốt đáp ứng yêu cầu quản lý mạng hàng ngày.
Tổng quan về RADIUS
RADIUS là giao thức bảo mật mạng dựa theo mô hình client-server. Nó dùng giao thức UDP. RADIUS server thường chạy trên máy tính. Client là các dạng thiết bị có thể truyền thông tin đến RADIUS server được chỉ định trước và sau đó đóng vai trò phúc đáp mà nó trả về. Giao tiếp giữa client và RADIUS server được xác thực thông qua việc sử dụng khóa bí mật chung không được truyền qua mạng. Một số ưu điểm của RADIUS là:
•RADIUS có phần overhead ít hơn so với TACACS vì nó sử dụng UDP, trong phần overhead không có địa chỉ đích, port đích.
•Với cách thức phân phối dạng source code, RADIUS là dạng giao thức hoàn toàn mở rộng. Người dùng có thể thay đổi nó để làm việc với bất kì hệ thống bảo mật hiện có.
•RADIUS yêu cầu chức năng tính cước (accounting) mở rộng.
RADIUS thường được dùng để tính cước dựa trên tài nguyên đã sử dụng. Ví dụ như ISP sẽ tính cước cho người dùng về chi phí kết nối. Ta có thể cài đặt RADIUS Accounting mà không cần sử dụng RADIUS để xác thực và cấp quyền. Với chức năng accounting mở rộng, RADIUS cho phép dữ liệu được gửi từ các thiết bị xuất phát cũng như là thiết bị đích, từ đó giúp ta theo dõi việc sử dụng tài nguyên (thời gian, số lượng các gói tin, số lượng byte,...) trong suốt phiên làm việc.
TACACS+ và RADIUS server cung cấp cho bạn khả năng quản lý truy cập các thiết bị trong mạng một cách tập trung với nhiều tính năng bảo mật tối ưu. Privilege levels trong router Cisco là sự phân cấp về quyền của từng user đối với thiết bị.
Cả TACACS+ và RADIUS đều là hai giao thức có chức năng tương tự nhau.
Ưu điểm của TACACS+ :
RADIUS không cho phép kiểm soát những lệnh mà user được và không được phép sử dụng trên router. TACACS+ tỏ ra mềm dẻo và hữu dụng hơn trong vấn đề quản lý router nhờ vào việc cung cấp 2 phương thức kiểm soát việc uỷ quyền (authentication) cả trên phương diện user và group:
+ Gán những câu lệnh có thể thực thi vào privilege levels và thông qua TACACS+ server để áp sự phân cấp về quyền này đến user truy
cập vào.
+ Xác định những lệnh mà có thể thực thi trên router lên user hoặc group thông qua những cấu hình trên TACACS+ server
Hiện ACS của anh cisco hỗ trợ cả 2 giao thức này.
posted by: Mysun