سوالی دارید ? مطرح بفرمایید
شنبه تا چهارشنبه : 9:00 - 17:30
پنجشنه :9:00 -13:00
88750650
Tellephone
خیابان صابونچی - ایازی - پلاک19
Address

TACACS+ Protocol

اگر یک مدیر بخواهد مثلاً به 100 روتر و پایگاه محلی داده (Local Database) از طریق نام کاربرری و گذرواژه برای ارتباط استفاده کند مدیر یا باید حساب کاربری مشابه را در زمان‌های مختلف ایجاد کند و یا اگر بخواهد نام کاربری و رمز عبور مختلفی را برای دستگاه‌ها نگه دارد، باید مجوز تأئید اعتبار (authentication) را به صورت دستی برای دستگاه‌ها تغییر دهد که البته این کار یک کار گیج کننده است.
برای سهولت انجام این کار تا حدی از Cisco ACS (Access Control Server) استفاده می‌شود. ACS یک سیستم مدیریت متمرکز را فراهم می‌کند که در آن پایگاه داده، نام کاربری و رمز عبور نگهداری می‌شود. همچنین مجوز (به معنی این که چه کاری را کاربر مجاز به انجام آن است) می تواند در آن پیکربندی شود. برای چنین ارتباطی باید به روتر بگوییم که برای تصمیم گیری در مورد تأئید اعتبار و مجوز به ACS مراجعه کند.
دو پروتکل برای ارتباط ACS Server با Client برای این کار استفاده می‌شود که عبارتند از: +TACACS و RADIUS

در اینجا به بررسی +TACACS می‌پردازیم

+TACACS مخفف(Access Controller Access Control Server) یک پروتکل امنیتی است که در چارچوب AAA برای تأئید اعتبار برای کاربرانی که می‌خواهند به شبکه دسترسی پیدا کنند استفاده می‌شود.

ویژگی‌ها
برخی از ویژگی‌های TACACS عبارتند از
 
- پروتکل اختصاصی سیسکو برای چارچوب AAA است، یعنی می‌تواند بین دستگاه سیسکو و سرور Cisco ACS استفاده شود.
- از TCP به عنوان پروتکل انتقال استفاده می‌کند.
- اگر دستگاه و سرور ACS از + TACACS استفاده می‌کند، تمام بسته‌های AAA که بین آنها رد و  بدل می‌شوند رمزنگاری می‌شوند.
- این پروتکل  AAA را به عناصر مشخصی تقسیم می‌کند یعنی احراز هویت (authentication)، مجوز (authorisation) و حسابداری (accounting) از هم جدا شده‌اند
- کنترل دقیق‌تر و بیشتری (نسبت به  RADIUS) فراهم می‌کند زیرا در آن می‌توان دستوراتی که کاربران مجاز به استفاده از آن هستند را هم تعیین کرد.
- پشتیبانی حساب کاربران (accounting) را فراهم می‌کند که البته گستردگی آن از RADIUS کمتر است.
AAA یا Authentication, Authorization و Accounting برای برقرای ارتباط AAA-Client با AAA-Server از دو نوع پروتکل امنیتی یعنی (+TACACS) Terminal Access Controller Access Control System و Remote Access Dial in User Service (RADIUS) استفاده می‌کند.
از نقطه نظر امنیتی در یک شبکه بزرگ، تایید اعتبار با استفاده از بانک اطلاعاتی محلی در دستگاه کاربر و اعطای سطح دسترسی بالا، راه حل مناسبی نخواهد بود. در این راستا، AAA با استفاده از پروتکل‌هایی مانند RADIUS یا +TACACS، می‌تواند یک راه حل متمرکز برای Authentication ،Authorization و Accounting کاربران به منظور دسترسی به روترها، سوئیچ‌ها یا سرورها را فراهم کند.
تفاوت های دو پروتکل RADIUS و +TACACS
  • پروتکل RADIUS، اولین بار در سال 1991 توسط شرکت Livingston Enterprises Inc توسعه داده شد که بعد‌ها با Alcatel Lucent ادغام شد. سپس با تبدیل RADIUS به یک استاندارد IETF، تمامی Vendor ها از RADIUS پشتیبانی می‌کنند. +TACACS دیگر پروتکل AAA است که توسط سیسکو در سال 1984 برای وزارت دفاع ایالات متحده توسعه داده شد. شایان ذکر است در سال‌های اخیر این پروتکل نیز به یک استاندارد IETF تبدیل شده است.
  • در RADIUS فرایند Authentication و Authorization با هم ادغام شده است و فرایند Accounting آن به صورت مستقل صورت می‌گیرد. در +TACACS هر سه فرایند Authentication، Authorization و Accounting به صورت مستقل از هم انجام می شود.
  • RADIUS بر بستر UDP و +TACACS بر بستر TCP می‌باشد.
  • RADIUS به صورت پیش فرض برای فرایند Authentication و Authorization خود که هم زمان انجام می‌شوند، از پورت های 1812 و یا 1645 و برای فرایند Accounting خود از پورت‌های 1813 و یا 1646 استفاده می‌کند. +TACACS برای هر سه فرایند خود یعنی Authentication، Authorization و Accounting به صورت پیش فرض از پورت 49 استفاده می کند.
  • RADIUS تنها رمز عبور (Password) را رمز گذاری (Encrypt) می کند و سایر اطلاعات نظیر نام کاربری، اطلاعات Accounting و... رمز گذاری نمی شوند و به صورت Clear-Text ارسال می‌شوند. +TACACS تمامی بسته‌ها را رمزگذاری می‌کند.
  •  RADIUS برای Network Access و +TACACS برای Device Admin طراحی شده است.
مزیت‌های +TACACS نسبت به RADIUS
  • از آن جا که +TACACS از TCP استفاده می‌‌کند، بنابراین از RADIUS قابل اطمینان‌تر است.
  • در +TACACS، دو فرایند Authentication و Authorization از یکدیگر مستقل هستند، لذا +TACACS کنترل بیشتری را در مورد مجوز دستورات انجام می‌دهد و امکان تعیین سطح دسترسی به صورت Command-By-Command در سوئیچ ها و روتر ها، وجود خواهد داشت. به همین دلیل است که از +TACACS برای کاربرد‌های Device Admin استفاده می شود.
  • اما در RADIUS فرایند های Authentication و Authorization ادغام شده است و Authorization تنها در ابتدای برقراری ارتباط به همراه Authentication صورت می‌گیرد، لذا RADIUS، به صورت پیش فرض در فرایند Authorization خود هیچ گونه مجوز برای تعیین سطح دسترسی به صورت Command-By-Command را پشتیبانی نمی کند. شایان ذکر است، بعضی از Vendor ها با افزودن برخی Attribute های اختصاصی (VSA) خود، تا حد کمی مجوز تعیین سطح دسترسی برای اجرای بعضی دستورات را فراهم می کنند.
  • همچنین با توجه به اینکه تمامی محتوای بسته‌های AAA در +TACACS رمزگذاری می‌شوند، این پروتکل از امنیت بیشتری نسبت به RADIUS برخوردار است.
مزیت‌های RADIUS نسبت به +TACACS
  • از آن جا که RADIUS یک پروتکل مبتنی بر UDP است و همچنین Authorization همزمان با Authentication ارسال می‌شود، این پروتکل سربار کمتری در شبکه و بر روی Resource دستگاه‌ها خواهد داشت. اما به دلیل آنکه +TACACS یک پروتکل مبتنی بر TCP بوده و همچنین امکان برخورداری از یک Authentication و چندین Authorization در یک Session را دارد، سربار بیشتری در شبکه خواهد داشت.
RADIUS از مکانیزم های Authentication مبتنی بر (EAP) Extensible Authentication Protocol پشتیبانی می‌کند در نتیجه می‌توان از Dot1x در RADIUS استفاده کرد در حالی که +TACACS از مکانیزم‌های Authentication مبتنی بر EAP (Extensible Authentication Protocol) پشتیبانی نمی‌کند و نمی‌توان از Dot1x در +TACACS استفاده کرد.
bottom-logo.png
تخصص ما مشاوره ، طراحی، اجرا و فروش
محصولات شرکت میباشد.
myhpe.ir;jarco.ir
خیابان صابونچی-ایازی-پلاک19
88750650

Search