Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre l’accès au réseau central à l’aide de RADIUS et TACACS+

RADIUS (Remote Access Dial In User Service) et TACACS+ (Terminal Access Controller Access-système de contrôle Plus) sont deux protocoles de sécurité couramment utilisés pour fournir un accès centralisé aux réseaux. RADIUS a été conçu pour authentifier et enregistrer les utilisateurs distants du réseau, tandis que TACACS+ est le plus souvent utilisé pour l’accès administrateur aux périphériques réseau tels que les routeurs et les commutateurs. Les deux protocoles fournissent une gestion centralisée de l’authentification, des autorisations et de la comptabilité (AAA) pour les ordinateurs qui se connectent et utilisent un service réseau.

  • Authentification - Qui est autorisé à accéder au réseau ? Les utilisateurs traditionnellement autorisés fournissent un nom d’utilisateur et un mot de passe pour vérifier leur identité pour RADIUS et TACACS+.

  • Autorisation : à quels services un utilisateur peut-il accéder une fois qu’il est authentifié ? Il est peu probable que vous souhaitiez que votre personnel financier ait accès à la base de données des développeurs. Les visiteurs peuvent n’avoir accès qu’à Internet, tandis que seul le personnel informatique peut accéder à l’ensemble de la base de données de mots de passe.

  • Comptabilité - À quels services chaque utilisateur a-t-il accédé et pendant combien de temps ? Les enregistrements comptables enregistrent l’identification de l’utilisateur, l’adresse réseau, le point de rattachement et un identifiant de session unique : ces statistiques sont suivies et ajoutées à l’enregistrement de l’utilisateur. Ceci est utile lorsque le temps passé dans le système est facturé à des personnes ou à des départements.

Pourquoi est-ce que je veux l’authentification à distance ?

L’authentification à distance vous permet de conserver votre nom d’utilisateur et vos mots de passe en un seul endroit, sur un serveur central. L’avantage de l’utilisation de RADIUS ou TACACS+ sur ce serveur central est que vous ne configurez pas les modifications sur chaque périphérique réseau distinct lorsqu’un utilisateur est ajouté ou supprimé, ou lorsqu’un utilisateur modifie un mot de passe. Vous n’apportez qu’une seule modification à la configuration sur le serveur, puis les périphériques continuent d’accéder au serveur pour s’authentifier. Bien que l’authentification soit la fonction la plus connue de RADIUS et TACACS+, deux fonctions supplémentaires sont fournies, l’autorisation et la comptabilité.

Note:

Au lieu d’utiliser une base de données plate sur le serveur RADIUS, vous pouvez vous référer à des sources externes telles que des serveurs SQL, Kerberos, LDAP ou Active Directory pour vérifier les informations d’identification de l’utilisateur.

Pourquoi ne pas simplement s’appuyer sur des pare-feu et des filtres pour le contrôle d’accès ?

Les routeurs et les pare-feu contrôlent généralement l’accès aux services à l’aide de filtres basés sur les adresses IP et les ports source et/ou de destination. Cela signifie que les restrictions s’appliquent aux appareils et non aux clients individuels. Par exemple, si j’active le trafic à partir de 10.1.0.255 pour accéder à un serveur Web particulier, alors toute personne assise sur la machine avec l’adresse 10.1.0.255 a automatiquement accès à ce serveur. En utilisant RADIUS ou TACACS+, cette même personne assise devant la machine avec l’adresse 10.1.0.255 doit également fournir un nom d’utilisateur et un mot de passe pour accéder à un service.

Qu’en est-il de l’utilisation de LDAP pour l’authentification ?

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole client/serveur utilisé pour accéder aux informations d’annuaire et les gérer. Il lit et édite les répertoires sur les réseaux IP et s’exécute directement sur TCP/IP en utilisant des formats de chaîne simples pour le transfert de données. Les serveurs d’annuaire contiennent des informations sur diverses entités de votre réseau, telles que les noms d’utilisateur, les mots de passe, les droits associés aux noms d’utilisateur, les métadonnées associées aux noms d’utilisateur, les appareils connectés au réseau et la configuration des appareils.

Utilisez LDAP pour obtenir des informations d’annuaire, telles que des adresses e-mail et des clés publiques. Si vous souhaitez rendre les informations de l’annuaire disponibles sur Internet, c’est la façon de le faire. LDAP fonctionne bien pour l’authentification des portails captifs. Cependant, LDAP n’implémente pas facilement la sécurité 802.1X. La norme 802.1X a été essentiellement conçue avec RADIUS à l’esprit, de sorte que les protocoles de défi/réponse 802.1X tels que MSCHAPv2 fonctionnent bien avec RADIUS.

Où RADIUS est-il installé sur le réseau ?

RADIUS comprend trois composants : un serveur d’authentification, des protocoles clients et un serveur de comptabilité. La partie serveur RADIUS du protocole est généralement un processus d’arrière-plan exécuté sur un serveur UNIX ou Microsoft Windows.

Avec RADIUS, le terme client fait référence à un périphérique d’accès réseau (NAD) qui fournit la partie client du service RADIUS : un pool de modems, un commutateur, un pare-feu réseau ou tout autre périphérique devant authentifier les utilisateurs peut être configuré en tant que NAD pour reconnaître et traiter les demandes de connexion provenant de l’extérieur de la périphérie du réseau. Lorsqu’un NAD reçoit la demande de connexion d’un utilisateur, il peut effectuer une négociation d’accès initiale avec l’utilisateur pour obtenir des informations d’identité/mot de passe. Ensuite, le NAD transmet ces informations au serveur RADIUS dans le cadre d’une demande d’authentification/autorisation.

Note:

RADIUS nécessite que chaque périphérique client réseau soit configuré.

Comment TACACS+ est-il installé sur le réseau ?

Le protocole d’authentification d’ouverture de session TACACS+ utilise un logiciel s’exécutant sur un serveur central pour contrôler l’accès des appareils compatibles TACACS sur le réseau. Le serveur communique automatiquement avec les commutateurs ou d’autres périphériques compatibles TACACS : ces périphériques ne nécessitent pas de configuration supplémentaire s’ils sont compatibles TACACS. Le protocole TACACS+ est pris en charge par la plupart des appareils d’entreprise et de classe opérateur.

Installez le service TACACS+ le plus près possible de la base de données des utilisateurs, de préférence sur le même serveur. TACACS+ doit être étroitement synchronisé avec votre domaine, et tout problème de connexion réseau, de DNS ou même de décalage horaire peut entraîner une panne de service critique. L’installation de TACACS+ sur le même serveur que la base de données utilisateur peut également améliorer les performances.

Les serveurs TACACS+ doivent être déployés sur un réseau interne entièrement fiable. Si vous conservez votre service TACACS+ au sein de votre réseau de confiance, vous n’avez besoin d’ouvrir qu’un seul port, TCP 49. Il ne doit pas y avoir d’accès direct à partir de réseaux non approuvés ou semi-approuvés.

Note:

RADIUS est généralement déployé sur un réseau semi-sécurisé et TACACS+ utilise des identifiants d’administration internes. La combinaison de ces services sur le même serveur peut donc compromettre la sécurité de votre réseau.

Comparaison entre RADIUS et TACACS+

Tableau 1 : RADIUS et TACACS+
 

RAYON

TACACS+

Utilisation principale

Authentifier et consigner les utilisateurs d’un réseau distant

Fournir un accès administrateur aux périphériques réseau tels que les routeurs et les commutateurs

Authentification et autorisation

La vérification de l’authentification et de l’autorisation sont regroupées. Lorsque l’appareil client demande l’authentification au serveur, celui-ci répond avec les attributs d’authentification et les attributs d’autorisation. Ces fonctions ne peuvent pas être exécutées séparément.

Les trois fonctions AAA (authentification, autorisation et comptabilité) peuvent être utilisées indépendamment. Par conséquent, une méthode telle que kerberos peut être utilisée pour l’authentification et une méthode distincte telle que TACACS+ peut être utilisée pour l’autorisation.

Comptabilité

Les fonctionnalités comptables du protocole RADIUS peuvent être utilisées indépendamment de l’authentification ou de l’autorisation RADIUS.

Protocole

Le protocole UDP (User Datagram Protocol)/IP dans la mesure du possible est utilisé pour la livraison sur les ports 1645/1646, 1812/1813

TCP utilisé pour la livraison sur le port 49. Dispose également d’une prise en charge multiprotocole pour le protocole ARA (AppleTalk Remote Access), le protocole NetBIOS Frame Protocol Control, Novell Asynchronous Services Interface (NASI) et la connexion X.25 PAD.

Chiffrement appliqué à

Mot de passe

Nom d’utilisateur et mot de passe

Sécurité 802.1X

Si vous souhaitez utiliser le contrôle d’accès réseau basé sur les ports 802.1x, vous devez utiliser le client RADIUS, car le client TACACS+ ne prend pas en charge cette fonctionnalité.

Modèle

Client/Serveur

  

Environnement recommandé

Semi-fiable

Confiance

Documentation connexe