INDICE
- Introducción
- Pre-requisitos
- RADIUS background
- Comparación TACACS+ y RADIUS
1- Introducción
Hay dos destacados protocolos de seguridad para el control de acceso a las redes son Cisco TACACS+ y RADIUS. La especificación RADIUS está descrita en el RFC-2865, que sustituye al obsoleto RFC-2138. Cisco se ha comprometido a apoyar ambos protocolos con las mejores clases de ofertas. La intención de Cisco no es competir con RADIUS o influenciar a sus usuarios a utilizar TACACS+. Se debe elegir la solución que mejor satisfaga sus necesidades. En este documento se comentan las diferencias entre TACACS+ y RADIUS, para así puedas estar informado antes de tomar una decisión.
Cisco soporta el protocolo RADIUS desde que sacó la "Cisco IOS(R) Software Release 11.1" en Febrero de 1996. Cisco continua mejorando el cliente RADIUS con nuevas características y capacidades, apoyando a RADIUS como un estandar.
Cisco evaluó concienzudamente a RADIUS como un protocolo de seguridad antes de desarrollar TACACS+. Muchas características fueron introducidas en el protocolo TACACS+ tras conocer las necesidades del incipiente mercado de la seguridad. Este protocolo fue diseñado para ampliarse a medida que crecen las redes, y adaptarse a las nuevas tecnologías en seguridad mientras el mercado evoluciona. La arquitectura subyacente del protocolo TACACS+ complementa la arquitectura independiente de autentificar, autorizar y contabilizar (AAA).
2- Pre-requisitos
2.1- Requerimientos
No hay requerimientos específicos para este documento.
2.2- Componentes usados
Este documento no restringe el uso de específicas versiones de hardware o software.
2.3- Convenios
Para más información sobre la página de convenios, consulte los consejos técnicos de Cisco.
3- RADIUS background
RADIUS es un servidor de acceso que utiliza el protocolo AAA. Este es un sistema para distribuir acceso remoto seguro a redes y a servicios de red que no cuentan con autorización de acceso. RADIUS se comprende tres componentes:
- Un protocolo con un formato que utiliza el Protocolo de Datagrama de Usuarios (UDP)/IP.
- Un servidor.
- Un cliente.
El servidor está corriendo en un ordenador central situado típicamente en domicilio de cliente, mientras que los clientes pertenecen al servidor de acceso dial-up y pueden ser distribuidos a través de la red. Cisco introdujo el cliente de RADIUS a Cisco IOS Software Release 11.1 y para posteriores plataformas de su software.
3.1- Modelo Cliente/Servidor
Una Network Access Server (NAS) opera como un cliente de RADIUS. El cliente es responsable de pasar información de usuario al equipo designado como servidor RADIUS, y a continuación actuar sobre la respuesta que se devuelve. El servidor RADIUS es el encargado de recibir las peticiones de conexión de usuarios, autenticar a los usuarios y devolver toda la información de configuración necesaria para ofrecer el servicio al usuario.
3.2- Redes seguras
Las transacciones entre el cliente y el servidor RADIUS deben ser autenticadas usando una clave compartida (shared secret), la cual nunca se envía a través de la red. Además, las contraseñas de usuario son enviadas cifradas entre el cliente y el servidor RADIUS. Eliminándose así la posibilidad de que alguien haga snooping en una red insegura pudiendo determinar alguna contraseña de usuario.
3.3- Mecanismos de autenticación flexibles
Los servidores RADIUS soportan una gran variedad de métodos de autentificación de usuarios. Cuando se establece un nombre de usuario y una contraseña original del mismo, soporta PPP, Protocolo de Autenticacion por Contraseña (PAP), Protocolo de Autenticación por Desafío (CHAP), Login UNIX, y otros macanismos de autenticación.
3.4- Disponibilidad de servidores de código
Existe un gran número disponible de servidores de código comerciales y libres. Los servidores Cisco incluyen Cisco Secure ACS for Windows, Cisco Secure ACS for UNIX y Cisco Access Registrar.
4- Comparación TACACS+ y RADIUS
En estos apartados se comparan varias características de TACACS+ y de RADIUS.
4.1- UDP y TCP
RADIUS utiliza UDP mientras TACACS+ utiliza TCP. TCP ofrece algunas ventajas frente a UDP. TCP ofrece una comunicación orientada a conexión, mientras que UDP ofrece mejor esfuerzo en la entrega. RADIUS requiere además de variables programables, como el número de intentos en la re-transmisión o el tiempo de espera para compensar la entrega, pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP:
- TCP proporciona el uso de un identificador para las peticiones que sean recibidas, dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en la red, independientemente de la carga y del lento mecanismo de autenticación de respaldo (un reconocimiento TCP) podría ser.
- TPC proporciona una marca inmediata cuando se rompe o no está corriendo la comunicación, gracias a un servidor de restablecimiento (RST). Puedes determinar cuando se rompió la comunicación y retorno el servicio si usas conexiones TCP long-lived. UDP no puede mostrar las diferencias entre estar caido, sufrir lentitud o que no exista servidor.
- Usando los TCP Keepalives, las caidas de servidores pueden ser detectadas out-of-band con peticiones reales. Conexiones a múltiples servidores pueden ser mantenidas simultáneamente, y solamente necesitas enviar mensajes a los que se sabe que tienen que estar arriba y corriendo.
- TCP es más escalable y adaptable al crecimiento, así como la conguestión, de las redes.
4.3- Encriptación de paquetes
RADIUS encripta solamente la contraseña en el paquete de respuesta al acceso (access-request), desde el cliente hasta el servidor. El resto de paquetes está sin encriptar. Otra información, como el nombre de usuario, los servicios autorizados, y la contabilidad pueden ser capturados por un tercero.
TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. Dentro de la cabecera hay un campo donde se indica si el cuerpo está encriptado o no. Para propositos de depuración, es más util tener el cuerpo de los paquetes sin encriptar. Sin embargo, durante el normal funcionamiento, el cuerpo del mensaje es enteramente cifrado para más seguridad en las comunicaciones.
4.4- Autenticación y autorización
RADIUS combina autenticación y autorización. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente, contienen información de autorización. Esto hace dificil desasociar autenticación y autorización.
TACACS+ usa la arquitectura AAA, que separa AAA. Esto perpite separar soluciones de autenticación, permitiendo seguir utilizando TACACS+ para la autorización y la contabilidad. Por ejemplo, con TACACS+, es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Después un NAS de autenticación sobre el servidor Kerberos, este solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos, y luego el servidor proporcionará la información de autorización.
Durante una sesión, si adicionalmente la autorización de control es necesaria, los accesos al servidor se comprueban con un servidor TACACS+ para determinar si se le conceden permisos para ejecutar un comando en particular. Esto proporciona mejor control sobre los comandos que pueden ser ejecutados en un servidor de acceso mientras es separado con mecanismos de autenticación.
4.5- Soporte multiprotocolo
RADIUS no soporta los siguientes protocolos:
- Protocolo de Acceso Remoto AppleTalk (ARA)
- Protocolo de Control de Tramas NetBIOS.
- Interfaz de Servicios Asíncronos de Novell (NASI)
- Conexiónes X.25 con PAD
TACACS+ ofrece soporte multiprotocolo.
4.6- Administración de routers
RADIUS no permite al usuario el control de comando que pueden ser ejecutados en un router y cuales no. Por lo tanto, RADIUS no es tan util para la gestión de router o flexible para servicios de terminal.
TACACS+ proporciona dos métodos de control de autorización de los comandos de un router, uno por usuarios (per-user) o por grupos (per-groups). El primer método asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está o nó autorizado en el nivel de privilegios especificado. El segundo método es para especificar explícitamente en el servidor TACACS+, por usuario o por grupo, los comandos que están permitidos.
4.7- Interoperatibilidad
Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs), el cumplimiento de la RADIUS RFCs no garantiza la interoperatibilidad. Cisco implementa la mayoría de los atributos de RADIUS y coherentemente añade más. Si el cliente usa solo los atributos de la norma RADIUS en sus servidores, ellos podrán interoperar con varios proveedores siempre y cuando dichos proveedores implementen los mismos atributos. Sin embargo, muchos de los proveedores implementan extensiones de atributos propietarios. Si un cliente usa uno de esos atributos extendidos específicos del proveedor, la interoperatibilidad no está asegurada.
4.8- Tráfico
Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS, la cantidad de tráfico generado entre el cliente y el servidor es diferente. Estos ejemplos ilustran el tráfico entre el cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestión de routers con autenticación, exec autorización, autorización del comando (con RADIUS no se puede hacer), exec contabilidad, y comandos de contabilidad (con RADIUS no se puede hacer).
4.8.1- Ejemplo de tráfico en TACACS+
Este ejemplo asume el login de autenticación, exec autorización, comando autorizado, iniciar-parar exec contabilidad, y comandos de contabilidad que pueden ser utilizados por un usuario cuando hace telnet a un router, realiza el comando y sale del router:
4.8.2- Ejemplo de tráfico en RADIUS
Este ejemplo asume el login de autenticación, exec autenticación, e iniciar-para exec contabilidad que pueden ser utilizados con RADIUS cuando un usuario hace telnet a un router, realiza un comando y sale del router (la gestión de otros servicios no están disponibles):
4.9- Dispositivos soportados
Esta tabla lista el soporte AAA TACACS+ y RADIUS para los tipo de equipos y la plataforma elegida. Esto influye la versión del software en el que se añadió el soporte. Revise las notas de la versión de su producto para obtener más información, si su producto no está en la lista.
Texto original de la página de Cisco
Traducido por: brixton_cat
______________________________________________________________________________
La traducción no es para nada perfecta, por lo que si alguien quiere proponer alguna traducción mejor será bien recibida. Gracias y un saludo.
