Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Verständnis des zentralen Netzwerkzugriffs mithilfe von RADIUS und TACACS+

RADIUS (Remote Access Dial In User Service) und Terminal Access Controller Access-Control System Plus (TACACS+) sind zwei gängige Sicherheitsprotokolle, die für den zentralisierten Zugriff auf Netzwerke verwendet werden. RADIUS wurde für die Authentifizierung und Protokollierung von Remote-Netzwerkbenutzern entwickelt, während TACACS+ am häufigsten für den Administratorzugriff auf Netzwerkgeräte wie Router und Switches verwendet wird. Beide Protokolle bieten eine zentralisierte Authentifizierungs-, Autorisierungs- und Buchhaltungsverwaltung (AAA) für Computer, die einen Netzwerkservice verbinden und verwenden.

  • Authentifizierung – Wer darf Zugriff auf das Netzwerk erhalten? Traditionell geben autorisierte Benutzer einen Benutzernamen und ein Passwort an, um ihre Identität sowohl für RADIUS als auch für TACACS+ zu überprüfen.

  • Autorisierung : Auf welche Services kann ein Benutzer zugreifen, sobald sie authentifiziert sind? Es ist unwahrscheinlich, dass Ihre Finanzleute Zugriff auf die Entwicklerdatenbank haben. Besucher haben möglicherweise nur Zugriff auf das Internet, während nur IT-Mitarbeiter auf die gesamte Passwortdatenbank zugreifen können.

  • Buchhaltung – Auf welche Services hat jeder Benutzer zugelangen? Buchhaltungsdatensätze zeichnen die Identifizierung des Benutzers, die Netzwerkadresse, den Anhangspunkt und eine eindeutige Sitzungskennung auf – diese Statistiken werden verfolgt und dem Datensatz des Benutzers hinzugefügt. Dies ist nützlich, wenn die Zeit im System an Einzelpersonen oder Abteilungen in Rechnung gestellt wird.

Warum möchte ich Remote-Authentifizierung?

Die Remote-Authentifizierung ermöglicht es Ihnen, Ihren Benutzernamen und Ihr Passwort an einem Ort auf einem zentralen Server zu behalten. Der Vorteil bei der Verwendung von RADIUS oder TACACS+ auf diesem zentralen Server besteht darin, dass Sie keine Änderungen auf jedem einzelnen Netzwerkgerät konfigurieren, wenn ein Benutzer hinzugefügt oder gelöscht wird oder wenn ein Benutzer ein Kennwort ändert. Sie nehmen nur eine Änderung an der Konfiguration auf dem Server vor und die Geräte greifen zur Authentifizierung weiterhin auf den Server zu. Obwohl die Authentifizierung die bekannteste Funktion von RADIUS und TACACS+ ist, gibt es zwei zusätzliche Funktionen: Autorisierung und Abrechnung.

Hinweis:

Anstatt eine flache Datenbank auf dem RADIUS-Server zu verwenden, können Sie auf externe Quellen wie SQL-, Kerberos-, LDAP- oder Active Directory-Server verweisen, um Benutzeranmeldeinformationen zu überprüfen.

Verlassen Sie sich bei der Zugriffskontrolle nicht einfach auf Firewalls und Filter?

Router und Firewalls steuern in der Regel den Zugriff auf Services mithilfe von Filtern, die auf Quell- und/oder Ziel-IP-Adressen und Ports basieren. Das bedeutet, dass Einschränkungen auf Geräte und nicht auf einzelne Clients angewendet werden. Wenn ich beispielsweise Datenverkehr von 10.1.0.255 für den Zugriff auf einen bestimmten Webserver ermögliche, hat jeder, der mit der Adresse 10.1.0.255 am Computer sitzt, automatisch Zugriff auf diesen Server. Mithilfe von RADIUS oder TACACS+ muss dieselbe Person, die an dem Gerät mit der Adresse 10.1.0.255 sitzt, auch einen Benutzernamen und ein Passwort angeben, um auf einen Service zuzugreifen.

Wie sieht es mit LDAP für die Authentifizierung aus?

Lightweight Directory Access Protocol (LDAP) ist ein Client/Server-Protokoll, das für den Zugriff auf und die Verwaltung von Verzeichnisinformationen verwendet wird. Es liest und bearbeitet Verzeichnisse über IP-Netzwerke und läuft direkt über TCP/IP in einfachen String-Formaten für die Datenübertragung. Verzeichnisserver enthalten Informationen über verschiedene Entitäten in Ihrem Netzwerk, wie Benutzernamen, Passwörter, Rechte, die mit Benutzernamen verknüpft sind, Metadaten, die mit Benutzernamen verknüpft sind, Geräte, die mit dem Netzwerk verbunden sind, und Gerätekonfiguration.

Verwenden Sie LDAP, um Verzeichnisinformationen wie E-Mail-Adressen und öffentliche Schlüssel zu erhalten. Wenn Sie Verzeichnisinformationen über das Internet verfügbar machen möchten, ist dies dies der erste Weg. LDAP eignet sich gut für captive Portal-Authentifizierung. Ldap implementiert 802.1X-Sicherheit jedoch nicht einfach. 802.1X wurde im Wesentlichen auf RADIUS ausgelegt, sodass 802.1X-Herausforderungs-/Antwortprotokolle wie MSCHAPv2 gut mit RADIUS funktionieren.

Wo ist RADIUS im Netzwerk installiert?

RADIUS umfasst drei Komponenten: einen Authentifizierungsserver, Clientprotokolle und einen Buchhaltungsserver. Der RADIUS-Serverabschnitt des Protokolls ist normalerweise ein Hintergrundprozess, der auf einem UNIX- oder Microsoft Windows-Server ausgeführt wird.

In RADIUS bezieht sich der Begriff Client auf ein Netzwerkzugriffsgerät (NAD), das den Client-Teil des RADIUS-Service bereitstellt. Ein Modempool, ein Switch, eine Netzwerk-Firewall oder jedes andere Gerät, das Benutzer authentifizieren muss, kann als NAD konfiguriert werden, um Verbindungsanfragen von außerhalb des Netzwerk-Edge zu erkennen und zu verarbeiten. Wenn eine NAD die Verbindungsanfrage eines Benutzers empfängt, kann sie eine erste Zugriffsverhandlungen mit dem Benutzer durchführen, um Identitäts-/Kennwortinformationen zu erhalten. Anschließend leitet die NAD diese Informationen im Rahmen einer Authentifizierungs-/Autorisierungsanfrage an den RADIUS-Server weiter.

Hinweis:

RADIUS erfordert, dass jedes Netzwerk-Client-Gerät konfiguriert ist.

Wie wird TACACS+ im Netzwerk installiert?

Das TACACS+-Anmeldeauthentifizierungsprotokoll verwendet Software, die auf einem zentralen Server ausgeführt wird, um den Zugriff von TACACS-fähigen Geräten im Netzwerk zu steuern. Der Server kommuniziert automatisch mit Switches oder anderen TACACS-fähigen Geräten – diese Geräte benötigen keine weitere Konfiguration, wenn sie TACACS-fähig sind. Das TACACS+-Protokoll wird von den meisten Geräten der Unternehmens- und Carrier-Klasse unterstützt.

Installieren Sie den TACACS+-Service so nah wie möglich an der Benutzerdatenbank, vorzugsweise auf demselben Server. TACACS+ muss eng mit Ihrer Domain synchronisiert werden, und alle Netzwerkverbindungsprobleme, DNS-Probleme oder sogar Zeitabweichungen können zu einem kritischen Serviceausfall führen. Die Installation von TACACS+ auf demselben Server wie die Benutzerdatenbank kann auch die Leistung verbessern.

TACACS+-Server sollten in einem vollständig vertrauenswürdigen internen Netzwerk bereitgestellt werden. Wenn Sie Ihren TACACS+-Service in Ihrem vertrauenswürdigen Netzwerk behalten, müssen Sie nur einen Port öffnen, TCP 49. Es sollte keinen direkten Zugriff über nicht vertrauenswürdige oder halb vertrauenswürdige Netzwerke geben.

Hinweis:

RADIUS wird in der Regel in einem semi-vertrauenswürdigen Netzwerk bereitgestellt, und TACACS+ verwendet interne administrative Anmeldungen, sodass die Kombination dieser Services auf demselben Server möglicherweise Ihre Netzwerksicherheit gefährden kann.

Ein Vergleich von RADIUS und TACACS+

Tabelle 1: RADIUS und TACACS+
 

RADIUS

TACACS+

Primäre Verwendung

Authentifizieren und Protokollieren von Remote-Netzwerkbenutzern

Bereitstellung von Administratorzugriff auf Netzwerkgeräte wie Router und Switches

Authentifizierung und Autorisierung

Authentifizierung und Autorisierungsprüfung sind gebündelt. Wenn das Clientgerät eine Authentifizierung vom Server anfordert, antwortet der Server mit Authentifizierungs- und Autorisierungsattributen. Diese Funktionen können nicht separat ausgeführt werden.

Alle drei AAA-Funktionen (Authentifizierung, Autorisierung und Buchhaltung) können unabhängig voneinander verwendet werden. Daher kann für die Authentifizierung eine Methode wie Kerberos und eine separate Methode wie TACACS+ für die Autorisierung verwendet werden.

Rechnungswesen

Die Buchhaltungsfunktionen des RADIUS-Protokolls können unabhängig von DER RADIUS-Authentifizierung oder -Autorisierung verwendet werden.

Protokoll

User Datagram Protocol (UDP)/IP wird mit best-effort für die Bereitstellung auf Ports 1645/1646, 1812/1813 verwendet

TCP wird für die Bereitstellung an Port 49 verwendet. Bietet außerdem Multiprotocol-Unterstützung für Das ARA-Protokoll (AppleTalk Remote Access), das NetBIOS Frame Protocol Control-Protokoll, Novell Asynchronous Services Interface (NASI) und X.25 PAD-Verbindung.

Verschlüsselung, die auf

Passwort

Benutzername und Passwort

802.1X-Sicherheit

Wenn Sie 802.1x portbasierte Netzwerkzugriffskontrolle verwenden möchten, müssen Sie den RADIUS-Client verwenden, da der TACACS+-Client diese Funktion nicht unterstützt.

Modell

Client/Server

  

Empfohlene Umgebung

semi-vertrauenswürdig

Vertrauenswürdigen

Ähnliche Dokumentation