TACACS, Funktion und Vorteile

Angesichts der steigenden Nachfrage nach remote access auf Netzwerkkomponenten ist eine zuverlässigere und skalierbarere Lösung für den zentralisierten Verwaltungszugriff auf die Netzwerkkomponenten erforderlich.

Terminal Access Controller Access Control System (TACACS) ist ein Sicherheitsprotokoll, das die Benutzer überprüft, die versuchen, eine Verbindung zu einer bestimmten Netzwerkkomponente in einem Netzwerk herzustellen. TACACS+ ist eine neuere Version von zuvor bekannten TACACS und bietet AAA, d.H. Authentifizierungs-, Autorisierungs- und Accounting. TACACS+ bietet sehr detaillierte Informationen zum Accounting und ein breites Spektrum administrativer Kontrolle über den Authentifizierungs-, Autorisierungs- und Accounting Prozess.

TACACS+ verwendet das Transmission Control Protocol (TCP) für die Kommunikation mit den Netzwerkroutern und den Switches.

TACACS+ dirigiert die Kommunikation zwischen Server und Netzwerkkomponenten. Die Trennung der AAA-Funktionen ist ein grundlegendes Merkmal des TACACS+ Designs.



Die Authentifizierung bestimmt, wer ein Benutzer ist, und prüft, ob dem Benutzer überhaupt Zugriff auf das Netzwerk gewährt werden soll. Die Autorisierung bestimmt, auf welche Komponenten des Netzwerks der authentifizierte Benutzer zugreifen darf. Stellen Sie sich einen Administrator und einen Helpdesk-Benutzer vor. Beide werden authentifiziert und können auf einen bestimmten Router oder Switch zugreifen, aber beide Benutzer müssen unterschiedliche Rechte oder Zugriffsbeschränkungen haben. Dies ist genau das, was durch die Genehmigung bestimmt wird. Schließlich verfolgt die Accounting alle Zeitstempel. Es sei eine Zeitleiste eines bestimmten Benutzers, der auf das Netzwerk zugreift, oder eine Zeitleiste, wenn Änderungen am Netzwerk vorgenommen werden. Es ist sehr nützlich, wenn eine Konfigurationsänderung ein Problem verursacht hat. In diesem Fall kann die Accounting Informationen über den Zeitstempel liefern, für den eine bestimmte Konfiguration vorgenommen wurde, und erleichtert daher das Zurücksetzen auf die vorherige Konfiguration. Diese AAA, die von einem zentralen Management verwaltet wird, bedeutet, dass die Informationen zentralisiert und unter einem Dach gesichert sind, was es einfacher macht, Informationen auf verschiedene Geräte zu verteilen, von denen einige auch anfällig sein könnten.

Mit Tacacs können Sie den Benutzern privilegierten Zugriff gewähren.

Der Authentifizierungsprozess funktioniert ähnlich wie die Anmeldeauthentifizierung. In diesem Fall werden die Rechte der Benutzer jedoch entsprechend den Berechtigungsstufen eingeschränkt, die ihren Anmeldeinformationen zugeordnet sind. Beispielsweise könnte ein Benutzer authentifiziert werden, die Anmeldeinformationen sind jedoch nur einem bestimmten Befehlssatz zugeordnet.

In diesem Fall kann der Benutzer, unabhängig von der Authentifizierung, nichts an den Netzwerkkomponenten ändern.


Es gibt zwei Protokolle, die für die Kommunikation zwischen dem Server und den Clients verwendet werden.

Diese Protokolle sind TACACS oder Remote Authentication Dialup User Service (RADIUS).

Der Hauptunterschied zwischen den beiden Protokollen besteht darin, dass TACACS ein proprietäres Cisco-Protokoll ist, das für die Kommunikation zwischen den Cisco-Clients und dem Cisco-Server verwendet wird. Zu diesem Zweck wird der TCP-Port 49 verwendet. Andererseits ist RADIUS ein offenes Standardprotokoll, das für die Kommunikation zwischen einem AAA-Client eines Anbieters und einem Server verwendet wird. Es verwendete Port 1821 für die Authentifizierung und 1813 für die Abrechnung.



Diese beiden Protokolle sind jedoch auch so ähnlich, dass in beiden Fällen ein Netzwerkgerät den Server kontaktiert und die Authentifizierungsanforderung sendet. Wenn das bestimmte Gerät dem Server bereits bekannt ist, hört der Server diese Anforderung ab und antwortet mit der Antwort zum Akzeptieren oder Ablehnen, abhängig von den Anmeldeinformationen, die zwischen dem Netzwerkgerät und dem Server ausgetauscht werden.

Es gibt einige Vorteile von TACACS gegenüber dem RADIUS. Erstens ist TACACS besser als RADIUS, da es TCP für die Übertragung der Kommunikation verwendet. Darüber hinaus werden bei der TACACS-Kommunikation alle AAA-Pakete verschlüsselt. Im Gegensatz dazu RADIUS, bei dem nur das Kennwort verschlüsselt wird.

Sajawal Ghani, iternas GmbH

21 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

DMZ verstehen