作为思科Live和其他行业大会的定期演讲者,我已经和成千上万的行业专业人士进行了交谈,我还没有经历过没有人问我的公开演讲。”思科身份识别服务引擎什么时候才能支持TACACS+?“
我完全明白,Cisco的访问控制服务器(ACS)有数百万部署的实例,它是与半径和TACACS +通信的AAA服务器。我完全明白,这些部署的大量百分比希望用ISE部署替换其现有的ACS部署,并获得已添加到ISE的所有较新的功能,以便这样做,因此它们需要ISE拥有所有功能ACS有,包括Tacacs +支持。
我是众多人中的一个完全和全心全意认为Tacacs +没有商业在ISE中,并希望它永远不会被添加。这不是我不喜欢Tacacs +,因为我当然是这样做。这是因为Tacacs +和半径旨在做的是两个完全不同的东西!让我解释:
在安全的世界中,我们只能尽可能安全,因为我们的控制允许我们成为。在美国有法律定义允许飞机的乘客携带船上。雷竞技比分如果TSA代理没有操作金属探测器和X射线机(以及在尝试到达我们的飞机时减慢我们的所有其他东西),那么FAA将如何真正执行这些政策?
在技术方面,我们也面临着同样的挑战。我们需要有适当的控制,以确保只有正确的实体在使用我们的技术“小工具”。同样的概念可以应用到许多用例中,包括:人机交互;计算机与网络的交互;甚至是应用程序与数据的交互。
这种安全原则被称为身份验证,授权和会计(AAA)。
在允许和实体执行某些操作之前,您必须确保您知道实体实际是谁(身份验证),如果实体被授权执行该操作(授权)。此外,您需要确保维护准确的记录显示发生的操作,因此您保留了事件的安全日志(会计)。
AAA的概念可以应用于技术生命周期的许多不同方面。但是,此博客专注于安全网络访问,因此该博客文章将专注于与网络相关的AAA的各个方面。网络有两种主要的AAA类型:
- 设备管理。控制谁可以登录到网络设备控制台、telnet会话、安全shell (SSH)会话或其他方法,这是您应该知道的另一种形式的AAA。这是用于设备管理的AAA,虽然它通常看起来与网络访问AAA类似,但它的目的完全不同,需要不同的策略结构。
- 网络访问。确保网络访问安全可以在允许实体与网络通信之前提供设备或用户的身份。这是用于安全网络访问的AAA。
考虑到这一点,让我们讨论目前企业网络中常用的两种主要AAA协议:TACACS+和RADIUS。注意:还有第三种常用的AAA协议DIAMETER,但它通常只在服务提供者环境中使用。
TACACS +
终端访问控制器访问控制系统(TACAC)是创建的协议集,用于控制对UNIX终端的访问。思科创建了一个名为TACACS +的新协议,该协议在1990年代初作为开放标准发布。Tacacs +可以来自Tacacs,但它是专为AAA设计的完全分离的和非向后兼容的协议。虽然Tacacs +主要用于器件管理AAA,但可以将其用于某些类型的网络访问AAA。
Tacacs +使用传输控制协议(TCP)端口49在TACACS +客户端和TACACS +服务器之间进行通信。一个例子是思科交换机验证和授权对交换机IOS CLI的管理访问权限。交换机是TACACS +客户端,Cisco Secure ACS是服务器。
TACACS+的一个关键区别在于,它能够将认证、授权和会计作为独立的功能分开。这就是为什么TACACS+如此普遍地用于设备管理,尽管RADIUS仍然肯定能够提供设备管理AAA。
设备管理本质上可以非常交互,需要进行一次身份验证,但在设备的命令行中的单个管理会话中授权多次授权。路由器或交换机可能需要以每命令为基础授权用户的活动。Tacacs +旨在适应这种类型的授权需要。作为姓名描述,TACACS +专为设备管理AAA而设计,用于将用户身份验证和授权用户进入大型机和UNIX终端以及其他终端或控制台。
TACACS +客户端和服务器之间的通信使用不同的消息类型,具体取决于函数。换句话说,不同的消息可以用于认证,而不是用于授权和计费。要知道的另一个非常有趣的点是TACACS +通信将加密整个数据包。
半径
远程访问拨入用户服务(RADIUS)是AAA的IETF标准。与TACACS +一样,它遵循客户端/服务器模型,其中客户端将请求启动到服务器。RADIUS是网络访问AAA的选择协议,是时候非常熟悉半径。如果您定期连接到安全无线网络,则无线设备和AAA服务器之间最有可能使用RADIUS。为什么?情况是这种情况,因为RADIUS是可扩展认证协议(EAP)的传输协议以及许多其他认证协议。
最初,RADIUS用于扩展到最终用户和网络访问服务器(NAS)之间使用的第2层点对点协议(PPP)的身份验证,并将该验证流量从NAS携带到AAA服务器执行身份验证。这允许将三层身份验证协议跨第3层边界扩展到集中认证服务器。
RADIUS已经进化远远超过拨号网络使用情况 - 最初创建的情况。如今,它仍然以相同的方式使用,从网络设备携带身份验证流量到身份验证服务器。使用IEEE 802.1x,RADIUS用于将来自最终用户的层-2可扩展认证协议(EAP)扩展到认证服务器。
半径和Tacacs +之间存在许多差异。一种这样的区别在于,身份验证和授权在RADIUS事务中不分开。当认证请求发送到AAA服务器时,AAA客户端希望在回复中重新发送授权结果。
半径与TACACS +
半径 |
TACACS + |
|
使用的协议和端口 |
UDP:1812和1813 |
TCP: 49 |
加密 |
仅加密密码字段 |
加密整个有效载荷 |
身份验证和授权 |
结合身份验证和授权 |
认证和授权分离 |
主要用途 |
网络访问 |
设备管理 |
鉴于你刚刚读到的关于RADIUS被设计用于网络访问AAA和TACACS+被设计用于设备管理的所有内容,我有更多的项目要与你讨论。比如设计一个像ACS这样的解决方案,它将同时处理TACACS+和RADIUS AAA。
我个人一直是思科ACS产品的用户,因为它被称为“易ACS”,这是由我的一个才华横溢的同事,克里斯默里写的,我每天都很尊敬!我喜欢这个产品,我亲自在关键环境中对它进行了配置,以执行网络访问和设备管理AAA功能。
设备管理和网络访问策略在本质上有很大的不同。使用设备管理员,您将创建一个指定特权级别和命令集的策略(即:这个管理员用户允许在设备上运行哪些命令)。对于网络访问,您将分配vlan、安全组标签、访问控制列表等。网络访问策略真正关心的是端点的属性,比如它的配置文件(它看起来像一个iPad,还是一个windows笔记本电脑)和姿态评估。因此,政策总是分开执行,政策条件不同,结果也大不相同。
作为不同政策的直接扩展,报告也将完全不同。网络访问报告都是关于谁加入了网络的,他们是如何进行身份验证的,他们在板上有多长时间,网络上的终端类型是哪些类型的终端。设备管理员报告将是关于谁输入的谁输入了哪个命令什么时候。
现在,在这个行业的20多年(我变老了),我从来没有设计过一个ACS解决方案,其中相同的ACS服务器主要用于半径和Tacacs +。一组ACS服务器主要针对RACIUS和TACACS +的另一组服务器存在。如果发生故障,TACACS +框当然可以处理RADIUS身份验证,反之亦然,但在恢复服务时,它应切换回按照设计进行分割。
我们为什么要这样设计?因为我们当然不希望网络用户,说约翰·钱伯斯(思科系统公司的首席执行官)试图登录他的无线网络和RADIUS服务器没有回答之前超时——由于忙于处理数据相关“是亚伦允许类型节目?”和“亚伦允许类型显示接口吗?”,等。从理论上讲,您可能会导致网络拒绝服务(DoS),因为所有来自设备管理AAA的聊天和不断的身份验证请求。
这有点偏执吗?大概。但它仍然是一种可能性。
有了这么想,您还觉得您的网络访问控制解决方案是设备管理AAA的正确位置吗?
嗯,似乎并不重要,因为思科公开说塔克+将在某些时候来到isee。但至少我拥有这个博客用作肥皂盒,站在和一个喇叭豪椅上喊来表达我对这个主题的个人感受,并希望在同一时间向你提供有关这个话题的教育。
直到下一次!
亚伦