48422 (Протокол TACASC+), страница 2
Описание файла
Документ из архива "Протокол TACASC+", который расположен в категории "". Всё это находится в предмете "информатика" из 1 семестр, которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "курсовые/домашние работы", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "48422"
Текст 2 страницы из документа "48422"
service = ррр - исходно доступный сервис
protocol = ip - протокол, доступный для использования с указанным сервисом
addr = 172.16.10.1 - авторизованный сетевой адрес
timeout = 12 - абсолютный таймер, ограничивающий длительность соединения в минутах
Сервер сетевого доступа использует пары "атрибут/значение" для того, чтобы запретить, разрешить или модифицировать возможности использования команд и сервисов, запрашиваемых пользователем.
Процесс аудита TACACS+
В процессе аудита TACACS+ используется два типа пакетов - REQUEST (запрос) и RESPONSE (ответ). Данный процесс во многом подобен процессу авторизации. В процессе аудита создаются записи с информацией об активности пользователя в отношении заданных сервисов. Записи, регистрирующие выполненные сетевым оборудованием действия, могут сохраняться в некотором стандартном формате, например в файле. csv (comma-separated value - разделенные запятыми значения), на сервере защиты с целью дальнейшего анализа.
В рамках TACACS+ аудит ААА не является средством надежной защиты и обычно используется только для учета или управления. Однако с помощью аудита ААА можно контролировать действия пользователя, чтобы, например, вовремя заметить его необычное поведение при работе с сетевым оборудованием. Рассмотрим процесс аудита TACACS+, в котором сервер сетевого доступа обменивается пакетами аудита с сервером TACACS+ (рис.4).
Рис.4. Процесс аудита TACACS+
Сервер сетевого доступа посылает серверу защиты TACACS+ пакет REQUEST аудита, содержащий фиксированный набор полей, идентифицирующих пользователя или процесс.
Этот пакет содержит запись, состоящую из переменного набора полей (пар "атрибут/значение"), описывающих сервисы, для которых должны создаваться записи аудита в зависимости от определенных событий и методов аудита. Пары "атрибут/значение" аналогичны тем, которые используются для авторизации, но дополнительно применяются пары, характеризующие время начала и окончания записи аудита, а также общее время, затраченное на ее создание.
Сервер защиты TACACS+ посылает серверу доступа пакет RESPONSE и подтверждает получение контрольной записи. Этот пакет указывает, что функция аудита на сервере защиты TACACS+ выполнена и что запись создана и сохранена.
Сравнение протоколов TACACS+ и RADIUS
А теперь хотелось бы поподробнее сравнить возможности протоколов TACACS+ и RADIUS.
Протокол RADIUS (Remote Authentication Dial In User Service), в отличие от TACACS+, был разработан независимой группой разработчиков (на данный момент протокол не модифицируется) и поэтому получил широкое распространение у сторонних разработчиков.
Как правило, все производители программных и аппаратных клиентов поддерживают данный протокол.
Кратко о протоколе можно сказать следующее: использует в своей основе протокол UDP (а поэтому относительно быстр), процесс авторизации происходит в контексте процесса аутентификации (т.е. авторизация как таковая отсутствует), реализация RADIUS-сервера ориентирована на однопроцессное обслуживание клиентов (хотя возможно многопроцессное - вопрос до сих пор открытый), поддерживает довольно ограниченное число типов аутентификации (Clear text и CHAP), имеет среднюю степень защищености.
Приведем сравнительную таблицу возможностей обоих протоколов:
RADIUS | TACACS+ | |
Базовый протокол | UDP | TCP |
Поддерживаемые сервисы | Autentication, Authorization | Authentication, Authorization, Accounting |
Безопасность | Шифруется пароль | Шифруется все тело пакета |
Протокол TACACS+ использует протокол TCP, т.е. он потенциально медленнее протокола RADIUS, но TACACS+ способен в каждый момент времени обслуживать несколько пользователей.
Radius шифрует только пароль в передаваемом пакете, при этом оставшаяся часть пакета (имя пользователя, авторизованные сервисы, информация учета) не зашифрована и доступна для захвата злоумышленником. TACACS+ шифрует все тело пакета. Таким образом, степень защищенности протокола TACACS+ выше, чем у RADIUS.
RADIUS поддерживает аутентификацию и авторизацию. TACACS+ использует архитектуру AAA (Authentication, Authorization, Accounting). Возможно выполнение аутентификации отдельно (например, на сервере Kerberos), а авторизации и учета - с использованием TACACS+.
Заключение
В заключение хотелось бы отметить тот факт, что в настоящее время разработан новый протокол Diameter (RFC 3588 (Diameter Base Protocol), RFC 3589 (Diameter Command Codes for 3GPP), RFC 4006 (Diameter Credit-Control Application)) - наследник RADIUS, который включил большую часть функциональности TACACS+. Но в то же время компания Cisco Systems продолжит поддерживать свой протокол TACACS+, который остается непревзойденным для управления предоставлением доступа к сетевым устройствам (а не к сети через PPP,VPN), т.к он единственный поддерживает такие дополнительные возможности, как фильтрация команд. Детальное сопоставление с протоколом Diameter можно будет произвести, когда он станет более распространен и поддержан производителями решений в AAA-области.
Список литературы
1. Описание технологии аутентификации TACACS+, Cisco System Inc., 2003 http://www.cisco.com/russian_win/warp/public/3/ru/solutions/sec/mer_tech_ident-tacacs.html
2. Технологии идентификации - Обеспечение безопасности в сети, Cisco Systems Inc. www.cisco.com/global/RU/win/solutions/sec/mer_tech_ident. shtml
3. Протоколы RADIUS и TACACS+: сравнение и принципы функционирования, Владислав Пинженин, Максим Мокроусов, Сетевые решения, 2003