Протокол TACASC

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Федеральне агентство залізничного транспорту
Державна освітня установа
вищої професійної освіти
Іркутський державний університет шляхів сполучення
Кафедра "Інформаційна безпека"
Курсова робота
Протокол TACACS +
Дисципліна: Криптографічні методи захисту інформації
Виконав:
студент гр. ЗИ-06
Пермінов Д.А.
Перевірив:
к. ф. - М. н., Доцент каф. "ІнБ"
Бутін А.А.
Іркутськ 2009

Зміст
Введення
Версії TACACS
XTACACS був витіснений TACACS +
Принцип роботи
Властивості TACACS +
Процес аутентифікації TACACS +
Процес авторизації TACACS +
Процес аудиту TACACS +
Порівняння протоколів TACACS + і RADIUS
Висновок
Список літератури

Введення

В даний час існують різні технології, спрямовані на забезпечення безпеки даних, в якому виділяються 3 найважливіших компоненти:
1. аутентифікація (з подальшою авторизацією)
2. збереження цілісності даних (їх незмінність і конфіденційність забезпечується безпекою інфраструктури мережі)
3. активна перевірка встановленої політики безпеки
У цій роботі всю увагу звернуто на перший компонент - аутентифікацію.
Першим і найбільш поширеним досі засобом проведення аутентифікації було використання паролів. Для забезпечення високого рівня безпеки паролі необхідно часто змінювати, а криптографічно стійкі паролі незручні для запам'ятовування користувачами, що в підсумку призвело до формування методики використання одноразових паролів. Серед них: аутентифікація по протоколу S / Key або за допомогою спеціальних апаратних засобів: смарт-карт, USB-токенів і т.д. Для модемного доступу найбільш поширений механізм аутентифікації по протоколу PPP з використанням протоколів PAP, CHAP і EAP. Протокол EAP продовжують удосконалювати з метою розширення його функціональності, але в даний час він вже дозволяє більш гнучко використовувати як існуючі, так і майбутні технологій аутентифікації в каналах PPP. А в середовищі корпоративного віддаленого доступу велике поширення отримали протоколи, які підтримують масштабовані рішення в області аутентифікації - Remote Access Dial-In User Service (RADIUS) і TACACS.

Версії TACACS

Є три версії додатків сервера захисту TACACS.
TACACS (Terminal Access Controller Access Control System - система управління доступом до контролера термінального доступу). Описаний в документі RFC 1492 промисловий стандарт протоколу, який передбачає передачу ім'я користувача та пароль централізованого серверу. Централізований сервер може являти собою або базу даних TACACS, або базу даних типу файлу паролів UNIX з підтримкою протоколу TACACS. Наприклад, сервер UNIX з підтримкою TACACS може передавати запити базі даних UNIX і повертати повідомлення підтвердження або відмови сервера доступу.
XTACACS. Визначає розширення, додані Cisco до протоколу TACACS для підтримки нових і розширених можливостей. Стандарт XTACACS є багатопротокольним; він підтримує авторизацію сполук, що використовують SLIP, режим enable, PPP (IP або IPX), ARA, EXEC і Telnet.
XTACACS підтримує відправку інформації аудиту хосту UNIX від безлічі серверів TACACS і syslog, з'єднує користувача з "оболонкою" сервера доступу, згідно з результатами аутентифікації, а також може ініціалізувати з'єднання Telnet, SLIP, PPP або ARA після початкової аутентифікації.

XTACACS був витіснений TACACS +

TACACS +. Покращена і постійно удосконалюється версія TACACS дозволяє серверу TACACS + забезпечувати незалежне використання сервісів AAA. Підтримка AAA є модульною, так що кожна з можливостей по суті є окремим сервером. Кожен сервіс може зв'язуватися зі своєю базою даних або використовувати інші сервіси сервера або мережі. Підтримка TACACS + з'явилася в Cisco IOS Release 10.3 (В даний час в ходу Release 12. X).
TACACS + являє собою абсолютно нову версію протоколу TACACS, що посилається на документ RFC 1492 і розроблювану Cisco. Він несумісний з XTACACS. TACACS + був представлений на розгляд IETF (Internet Engineering Task Force - проблемна група проектування Internet) в якості проекту стандарту.
TACACS і XTACACS в програмному забезпеченні Cisco IOS офіційно представлені як протоколи, подальший супровід і вдосконалення яких компанія Cisco припиняє. Крім того, супровід безкоштовно пропонованого Cisco програмного коду сервера TACACS і XTACACS теж офіційно припинено. Подальше вдосконалення та супровід цих продуктів компанією Cisco не планується. Однак активне незалежне співтовариство користувачів вже пропонує деякі удосконалення цих протоколів.

Принцип роботи

TACACS + - це протокол третього покоління в сімействі протоколів TACACS (RFC 1492). TACACS (Terminal Access Controller Access Control System) - це протокол віддаленої аутентифікації, який застосовується в процесі надання доступу до інформаційних серверів, серверів віддаленого доступу та іншим активним мережевим пристроям. Він був розроблений US Department of Defense і BBN Planet corp. (Bolt, Beranek and Newman, Inc). Надалі він кілька разів доопрацьовувався компанією Cisco Systems Inc.
TACACS + являє собою додаток сервера захисту, що дозволяє на основі відповідного протоколу реалізувати централізоване управління доступом користувачів до сервера мережевого доступу, маршрутизатора або іншому мережевому устаткуванню, що підтримує TACACS +. Інформація про сервіси TACACS + і користувачів зберігається в базі даних, зазвичай розміщується на комп'ютері під управлінням UNIX або Windows NT (Windows 2000/2003).

Рис.1. Підтримка TACACS + або RADIUS сервером мережевого доступу, маршрутизатором і віддаленою базою даних захисту
У своїй роботі протоколи сімейства TACACS використовують порт 49, який виділив для них Internet Assigned Numbers Authority (IANA). Попередні версії TACACS (як і аналогічний протокол RADIUS) як засіб доставки використовували протокол UDP. На відміну від них, TACACS + покладається на TCP, що дозволяє за рахунок кілька великих накладних витрат забезпечити більш просту реалізацію та розширити функціональність (наприклад, підтримується множинна обробка запитів).
TACACS + - це протокол, реалізований за технологією клієнт-сервер, причому майже завжди клієнт - це NAS (Network Access Server - сервер мережевого доступу; наприклад, Cisco AS5300 і Shiva Corp. 'S Access Manager 3.0), а сервер - деяка програма, запущена на хост-машині (UNIX, NT або інша, необхідно відзначити що UNIX системи найбільш поширені в ролі серверів TACACS +). Прикладом таких серверів є CiscoSecure Access Control Server (ACS) і Shiva's LAN Rover / E Plus.
Протокол TACACS + дозволяє об'єднати кілька NAS у загальну систему забезпечення аутентифікації в рамках системи забезпечення мережної безпеки, функціонуючи в 2 режимах:
1. проведення аутентифікації, використовуючи централізовану базу облікових записів.
2. посередництво для зовнішніх систем аутентифікації (т. зв. proxy-режим).
Завдяки цьому він може використовуватися і в глобальних системах надання безпечного мережевого доступу, таких як CiscoSecure Global Roaming Server (GRS).
Принципово важливою особливістю протоколу TACACS + є те, що він дозволяє розділити аутентифікацію, авторизацію і облік (AAA - Authentication, Authorization, Accounting) і реалізувати їх на окремих серверах. Це є істотним прогресом у порівнянні як з вихідним протоколом TACACS, в який поняття обліку взагалі не входило, так і з протоколом RADIUS, в якому аутентифікація і авторизація суміщені.

Властивості TACACS +

TACACS + підтримує наступні можливості сервера захисту.
Пакети TCP для надійної передачі даних. Використання TCP як протоколу зв'язку для сполук TACACS + між сервером мережевого доступу і сервером захисту. Для TACACS + резервується ТСР-порт 49.
Архітектура ААА. Кожен сервіс надається окремо і має власну базу даних, але, тим не менш, вони працюють разом, як один сервер захисту.
Канальне шифрування. Частина TCP-пакета, що містить дані протоколу TACACS +, шифрується з метою захисту трафіку між сервером мережевого доступу і сервером захисту.
Кожен пакет TACACS + має 12-байтовий заголовок, що пересилається у вигляді відкритого тексту, і тіло змінної довжини, що містить параметри TACACS +. Тіло пакета шифрується за допомогою алгоритму, який використовує псевдовипадковий заповнювач, одержуваний за допомогою MD5. Пакети TACACS + передаються по мережі і зберігаються сервером TACACS + у зашифрованому вигляді. Коли це необхідно, пакет дешифрується сервером мережевого доступу або додатком TACACS + шляхом звернення алгоритму шифрування.
Аутентифікація РАР і CHAP. Забезпечує повний контроль аутентифікації за допомогою засобів виклику / відповіді РАР і CHAP, а також за допомогою використання діалогових вікон введення пароля доступу та підтримки повідомлень інтерактивної процедури початку сеансу.
Захист локальних і глобальних мереж. Підтримка засобів AAA віддаленого і локального мережевого доступу для серверів мережевого доступу, маршрутизаторів і іншого мережного устаткування, що підтримує TACACS +. Дає можливість здійснювати централізоване управління мережним устаткуванням.
Протоколи інкапсуляції для віддаленого доступу. Підтримують використання SLIP, РРР і ARAP, а також адресацію TN3270 і X.121 в рамках Х.25.
Підтримка автокомандами. Автокомандами автоматично виконуються для користувача, якщо вони внесені в конфігурацію бази даних TACACS + і підтримуються сервером мережевого доступу.
Функція зворотного виклику. Ця функція повертає телефонні виклики, змушуючи сервер мережевого доступу телефонувати відповідному користувачеві, що може дати додаткові гарантії захисту користувачам, що використовують доступ по телефонних лініях.
Індивідуальні списки доступу користувачів. База даних TACACS + може дати вказівку серверу мережевого доступу контролювати доступ даного користувача до мережних служб і ресурсів протягом фази авторизації на основі списку доступу створеного в ході попереднього сеансу зв'язку.

Процес аутентифікації TACACS +

Заголовок пакета TACACS + містить поле типу, що є ознакою того, що пакет є частиною процесу ААА. Аутентифікація TACACS + розрізняє три типи пакетів: START (початок), CONTINUE (продовження) і REPLY (відповідь). Розглянемо процес аутентифікації TACACS +, в якому сервер мережевого доступу обмінюється пакетами аутентифікації з сервером TACACS + (рис.2).

Рис.2. Процес аутентифікації TACACS +
Сервер мережевого доступу посилає пакет START сервера захисту TACACS +, щоб почати процес аутентифікації.
Процес аутентифікації на сервері захисту TACACS + зазвичай повертає сервера мережевого доступу пакет GETUSER, що містить запит імені користувача.
Сервер мережевого доступу запитує ім'я користувача та посилає введене ім'я сервера захисту TACACS + в пакеті CONTINUE.
Сервер захисту TACACS + посилає серверу мережевого доступу пакет GETPASS, що містить запит пароля. Сервер мережевого доступу видає запит пароля користувача.
Сервер мережевого доступу посилає серверу захисту TACACS + пакет CONTINUE, що містить пароль, введений користувачем.
Сервер захисту TACACS + перевіряє пароль, використовуючи для цього інформацію з файлу конфігурації TACACS +, і вирішує, чи успішно завершено процес аутентифікації даного користувача. У результаті сервера мережевого доступу повертається або пакет PASS (успіх), або пакет FAIL (невдача), що вказує результат аутентифікації.

Процес авторизації TACACS +

У процесі авторизації TACACS + використовується два типи пакетів: REQUEST (запит) та RESPONSE (відповідь). Даний процес авторизації користувача контролюється за допомогою обміну парами "атрибут / значення" між сервером захисту TACACS + і сервером мережевого доступу. Розглянемо процес авторизації TACACS +, в якому сервер мережевого доступу обмінюється пакетами авторизації з сервером TACACS + (рис.3).

Рис.3. Процес авторизації TACACS +
Сервер мережевого доступу посилає пакет REQUEST сервера захисту TACACS +. Даний пакет містить фіксований набір полів, що ідентифікують користувача або процес, а також змінний набір аргументів, що описують сервіси і параметри, необхідні для авторизації.
Сервер захисту TACACS + повертає сервера мережевого доступу пакет RESPONSE, що містить змінний набір аргументів відповіді (пари "атрибут / значення"). Ці пари будуються на основі раніше заданих дозволів для даного користувача, що зберігаються у файлі конфігурації TACACS +. Ось кілька прикладів таких пар.
service = ррр - початково доступний сервіс
protocol = ip - протокол, доступний для використання з зазначеним сервісом
addr = 172.16.10.1 - авторизований мережеву адресу
timeout = 12 - абсолютний таймер, що обмежує тривалість з'єднання у хвилинах
Сервер мережевого доступу використовує пари "атрибут / значення" для того, щоб заборонити, дозволити або модифіковані можливості використання команд і сервісів, запитуваних користувачем.

Процес аудиту TACACS +

У процесі аудиту TACACS + використовується два типи пакетів - REQUEST (запит) та RESPONSE (відповідь). Даний процес багато в чому подібний до процесу авторизації. У процесі аудиту створюються записи з інформацією про активність користувача у відношенні заданих сервісів. Записи, що реєструють виконані мережним устаткуванням дії, можуть зберігатися в певному стандартному форматі, наприклад в файлі. csv (comma-separated value - розділені комами значення), на сервері захисту з метою подальшого аналізу.
У рамках TACACS + аудит ААА не є засобом надійного захисту і зазвичай використовується тільки для обліку або управління. Однак за допомогою аудиту ААА можна контролювати дії користувача, щоб, наприклад, вчасно помітити його незвичайну поведінку при роботі з мережним устаткуванням. Розглянемо процес аудиту TACACS +, в якому сервер мережевого доступу обмінюється пакетами аудиту з сервером TACACS + (рис. 4).

Рис.4. Процес аудиту TACACS +
Сервер мережевого доступу посилає серверу захисту TACACS + пакет REQUEST аудиту, що містить фіксований набір полів, що ідентифікують користувача або процес.
Цей пакет містить запис, що складається із змінного набору полів (пар "атрибут / значення"), що описують сервіси, для яких мають створюватися запису аудиту в залежності від певних подій і методів аудиту. Пари "атрибут / значення" аналогічні тим, які використовуються для авторизації, але додатково застосовуються пари, що характеризують час початку і закінчення запису аудиту, а також загальний час, витрачений на її створення.
Сервер захисту TACACS + посилає серверу доступу пакет RESPONSE і підтверджує отримання контрольної запису. Цей пакет вказує, що функція аудиту на сервері захисту TACACS + виконано і що запис створено і збережена.

Порівняння протоколів TACACS + і RADIUS

А тепер хотілося б детальніше порівняти можливості протоколів TACACS + і RADIUS.
Протокол RADIUS (Remote Authentication Dial In User Service), на відміну від TACACS +, був розроблений незалежною групою розробників (на даний момент протокол не модифікується) і тому отримав широке поширення у сторонніх розробників.
Як правило, всі виробники програмних і апаратних клієнтів підтримують даний протокол.
Коротко про протокол можна сказати наступне: використовує в своїй основі протокол UDP (а тому щодо швидкий), процес авторизації відбувається в контексті процесу аутентифікації (тобто авторизація як така відсутня), реалізація RADIUS-сервера орієнтована на однопроцессное обслуговування клієнтів (хоча можливо багатопроцесорний - питання досі відкрите), підтримує досить обмежене число типів аутентифікації (Clear text і CHAP), має середній ступінь захищеності.

Наведемо порівняльну таблицю можливостей обох протоколів:
RADIUS
TACACS +
Базовий протокол
UDP
TCP
Підтримка сервісів
Autentication, Authorization
Authentication, Authorization, Accounting
Безпека
Шифрується пароль
Шифрується все тіло пакету
Протокол TACACS + використовує протокол TCP, тобто він потенційно повільніше протоколу RADIUS, але TACACS + здатний в кожен момент часу обслуговувати декілька користувачів.
Radius шифрує лише пароль в переданому пакеті, при цьому решта пакету (ім'я користувача, авторизовані сервіси, інформація обліку) не зашифрована і доступна для захоплення зловмисником. TACACS + шифрує все тіло пакету. Таким чином, ступінь захищеності протоколу TACACS + вище, ніж у RADIUS.
RADIUS підтримує аутентифікацію і авторизацію. TACACS + використовує архітектуру AAA (Authentication, Authorization, Accounting). Можливе виконання аутентифікації окремо (наприклад, на сервері Kerberos), а авторизації та обліку - з використанням TACACS +.

Висновок

На закінчення хотілося б відзначити той факт, що в даний час розроблений новий протокол Diameter (RFC 3588 (Diameter Base Protocol), RFC 3589 (Diameter Command Codes for 3GPP), RFC 4006 (Diameter Credit-Control Application)) - спадкоємець RADIUS, який включив більшу частину функціональності TACACS +. Але в той же час компанія Cisco Systems продовжить підтримувати свій протокол TACACS +, який залишається неперевершеним для управління наданням доступу до мережевих пристроїв (а не до мережі через PPP, VPN), т.к він єдиний підтримує такі додаткові можливості, як фільтрація команд. Детальне порівняння з протоколом Diameter можна буде зробити, коли він стане більш поширений і підтриманий виробниками рішень в AAA-області.

Список літератури

1. Опис технології аутентифікації TACACS +, Cisco System Inc., 2003 http://www.cisco.com/russian_win/warp/public/3/ru/solutions/sec/mer_tech_ident-tacacs.html
2. Технології ідентифікації - Забезпечення безпеки в мережі, Cisco Systems Inc. www.cisco.com / global / RU / win / solutions / sec / mer_tech_ident. shtml
3. Протоколи RADIUS і TACACS +: порівняння і принципи функціонування, Владислав Пінженін, Максим Мокроусов, Мережеві рішення, 2003
Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Курсова
37.8кб. | скачати


Схожі роботи:
Протокол ТСР
Протокол розбіжностей
Протокол HTTP
Протокол міжмережевої взаємодії IP
Протокол ТфОП інтерфейсів V5 1 і V5 2
Протокол судового засідання
Протокол огляду місця події
Протокол патолого анатомічного розтину
Інфрачервоний протокол зв`язку IrDa
© Усі права захищені
написати до нас