作为思科Live和其他行业大会的常客,我已经和成千上万的行业专业人士交谈过,我还没有经历过一次没有人问我的公开演讲。”什么时候思科身份识别服务引擎“有TACACS+支持??”
我完全理解,思科的访问控制服务器(ACS)部署了数百万个实例,这是一个AAA服务器,可以与RADIUS和TACACS+通信。我完全明白,一个大比例的这些部署想取代现有的ACS部署有伊势部署并获得所有的新功能添加到伊势,为了这样做他们需要伊势,ACS的所有特性,包括TACACS +支持。
我和许多人一样,完全地、全心全意地相信TACACS+在伊势没有任何意义,也宁愿它永远不会被加入。这并不是说我不喜欢TACACS+,因为我确实喜欢。这是因为TACACS+和RADIUS的设计是完全不同的两件事!让我来解释一下:
在安全的世界里,我们只能在控制允许的范围内安全。美国有法律规定飞机乘客可以携带什么物品登机。2020欧洲杯夺冠热门如果运输安全管理局的工作人员没有操作金属探测器和x光机(以及其他所有让我们在接近飞机时减速的东西),那么联邦航空局怎么能真正执行这些政策呢?
有了科技,我们也面临着同样的挑战。我们需要有适当的控制,以确保只有正确的实体在使用我们的技术“小工具”。同样的概念可以应用到许多用例中,包括:人机交互;计算机与网络的交互作用;甚至应用程序与数据的交互。
这个安全原则称为身份验证、授权和记帐(AAA)。
在允许和实体执行某些操作之前,您必须确保您知道该实体实际上是谁(身份验证),以及该实体是否被授权执行该操作(授权)。另外,您需要确保维护了显示操作已经发生的准确记录,因此您需要保存事件的安全日志(记帐)。
AAA的概念可以应用到技术生命周期的许多不同方面。然而,本博客主要关注安全网络访问,因此本文将重点介绍与网络相关的AAA方面。有两种主要的AAA类型用于网络:
- 设备管理。控制能够登录到网络设备控制台、telnet会话、secure shell (SSH)会话或其他方法的访问是您应该知道的另一种形式的AAA。这是用于设备管理的AAA,虽然它通常看起来类似于网络访问AAA,但它是完全不同的目的,需要不同的策略构造。
- 网络访问。安全网络访问可以在允许实体与网络通信之前提供设备或用户的身份。这是AAA安全网络访问。
考虑到这一点,我们来讨论一下目前企业网络中常用的两种主要的AAA协议:TACACS+和RADIUS。注意:还有第三种常见的AAA协议称为DIAMETER,但它通常只在服务提供者环境中使用。
TACACS +
终端访问控制器访问控制系统(TACACS)是为控制对UNIX终端的访问而创建的协议集。思科创建了一个名为TACACS+的新协议,该协议在20世纪90年代初作为开放标准发布。TACACS+可能源于TACACS,但它是一个完全独立的、不向后兼容的协议,专为AAA设计,虽然TACACS+主要用于设备管理AAA,但也可以用于某些类型的网络访问AAA。
TACACS+使用传输控制协议(TCP)端口49在TACACS+客户端和TACACS+服务器之间进行通信。例如,一个Cisco交换机对交换机的IOS CLI进行身份验证和授权管理访问。交换机是TACACS+客户端,而Cisco安全ACS是服务器。
TACACS+的一个关键区别是它能够将身份验证、授权和会计分离为独立的功能。这就是为什么TACACS+经常用于设备管理,即使RADIUS仍然能够提供AAA级的设备管理。
设备管理在本质上可以是非常交互式的,需要进行一次身份验证,但是在设备的命令行中的单个管理会话中需要多次授权。路由器或交换机可能需要根据每个命令对用户的活动进行授权。TACACS+旨在适应这种类型的授权需求。顾名思义,TACACS+是为设备管理AAA设计的,用于在大型机和Unix终端以及其他终端或控制台中对用户进行身份验证和授权。
客户端和服务器之间的通信根据功能使用不同的消息类型。换句话说,用于身份验证的消息可能与用于授权和记帐的消息不同。另一个非常有趣的一点是,TACACS+通信将加密整个数据包。
半径
远程访问拨号用户服务(RADIUS)是一种用于AAA的IETF标准,与TACACS+一样,它遵循客户机/服务器模型,其中客户机向服务器发起请求。RADIUS是网络访问AAA的首选协议,现在是时候非常熟悉RADIUS了。如果您定期连接到一个安全的无线网络,那么RADIUS很可能在无线设备和AAA服务器之间使用。为什么?之所以如此,是因为RADIUS是可扩展身份验证协议(Extensible Authentication protocol, EAP)的传输协议,还有许多其他身份验证协议。
最初,RADIUS用于从终端用户和网络访问服务器(NAS)之间使用的第2层点对点协议(PPP)扩展身份验证,并将身份验证通信从NAS传输到执行身份验证的AAA服务器。这允许跨第三层边界扩展第二层身份验证协议到一个集中的身份验证服务器。
RADIUS的发展已经远远超出了最初创建的拨号网络用例。今天,它仍然以相同的方式使用,将身份验证通信从网络设备传输到身份验证服务器。在IEEE 802.1X中,RADIUS用于将第2层可扩展身份验证协议(EAP)从最终用户扩展到身份验证服务器。
RADIUS和TACACS+之间有很多不同之处。其中一个区别是,在RADIUS事务中,身份验证和授权是不分开的。当身份验证请求被发送到AAA服务器时,AAA客户机希望将授权结果发回以作为响应。
半径与TACACS +
半径 |
TACACS + |
|
使用的协议和端口 |
UDP: 1812和1813 |
TCP: 49 |
加密 |
只加密密码字段 |
加密整个有效负载 |
身份验证和授权 |
结合身份验证和授权 |
分离身份验证和授权 |
主要用途 |
网络访问 |
设备管理 |
考虑到你刚刚读到的关于RADIUS被设计用于网络访问AAA和TACACS+被设计用于设备管理的内容,我还有一些内容要和你讨论。比如设计一个像ACS这样的解决方案,可以同时处理TACACS+和RADIUS AAA。
自从思科公司的ACS产品被称为“Easy ACS”以来,我就一直是该产品的用户。该产品是由我的一位才华横溢的同事Chris Murray撰写的,我每天都很尊敬他!我喜欢这个产品,我亲自将它配置在关键环境中,以执行网络访问和设备管理AAA功能。
设备管理和网络访问策略本质上非常不同。通过设备管理,您创建了一个策略,该策略指示特权级别和命令集(即命令集)。:此管理用户在设备上允许运行的命令是什么。)使用网络访问,您将分配vlan、安全组标签、访问控制列表等。网络访问策略实际上关心端点的属性,比如它的配置文件(它看起来像iPad还是windows笔记本电脑)和姿态评估。因此,政策始终是分开执行的,政策条件不同,效果也大不相同。
作为对不同政策的直接延伸,报告也会完全不同。网络访问报告是关于谁加入了网络,他们是如何进行身份验证的,他们使用了多长时间,他们在网络上使用了什么类型的端点,等等。设备管理报告将是关于谁输入了哪个命令以及何时输入的。
现在,在我从事这个行业20多年的时间里(我已经老了),我从来没有设计过一个ACS解决方案,其中同样的ACS服务器主要用于RADIUS和TACACS+。一组ACS服务器将主要用于RADIUS,另一组服务器用于TACACS+。在发生故障时,TACACS+盒子当然可以处理半径验证,反之亦然,但是当服务恢复时,它应该切换回设计的被分段。
我们为什么要这样设计?因为我们当然不希望网络用户,说约翰·钱伯斯(思科系统公司的首席执行官)试图登录他的无线网络和RADIUS服务器没有回答之前超时——由于忙于处理数据相关“是亚伦允许类型节目?”和“亚伦允许类型显示接口吗?”,等。理论上,您可能会导致网络拒绝服务(DoS),因为所有来自设备管理AAA的喋喋不休和不断的身份验证请求。
这是不是有点偏执?可能。但还是有可能的。
考虑到这些,您是否仍然认为您的网络访问控制解决方案是设备管理AAA级的正确位置?
好吧,我怎么想似乎并不重要,因为思科已经公开表示,TACACS+将在某个时候加入ISE。但至少我有这个博客可以作为一个临时讲台和一个扩音器来表达我对这个主题的个人感受,并希望同时能在这个主题上给你一些教育。
直到下次!
亚伦