RADIUS 및 TACACS+를 사용한 중앙 네트워크 액세스 이해
원격 액세스 다이얼 인 사용자 서비스(RADIUS) 및 터미널 액세스 컨트롤러 액세스 제어 시스템 Plus(TACACS+)는 네트워크에 중앙 집중식 액세스를 제공하는 데 사용되는 두 가지 공통 보안 프로토콜입니다. RADIUS 원격 네트워크 사용자를 인증하고 기록하도록 설계되었으며, TACACS+는 라우터 및 스위치와 같은 네트워크 디바이스에 대한 관리자 액세스에 가장 일반적으로 사용됩니다. 두 프로토콜 모두 네트워크 서비스를 연결하고 사용하는 컴퓨터에 대해 중앙 집중식 AAA(Authentication, Authorization, And Accounting) 관리를 제공합니다.
인증 - 누가 네트워크에 액세스할 수 있습니까? 전통적으로 승인된 사용자는 RADIUS 및 TACACS+에 대한 ID를 확인하기 위해 사용자 이름과 암호를 제공합니다.
권한 부여 - 사용자가 인증 후에 액세스할 수 있는 서비스는 무엇입니까? 재무 담당자가 개발자 데이터베이스에 액세스하기를 원할 가능성은 거의 없습니다. 방문자는 인터넷에만 액세스할 수 있으며 IT 직원만 전체 암호 데이터베이스에 액세스할 수 있습니다.
어카운팅 - 각 사용자가 액세스한 서비스는 무엇이며 기간은 어떻게 입니까? 어카운팅 기록에는 사용자의 신원, 네트워크 주소, 첨부 지점 및 고유한 세션 식별자가 기록됩니다. 이러한 통계는 추적되어 사용자의 기록에 추가됩니다. 이는 시스템의 시간이 개인 또는 부서에 청구될 때 유용합니다.
원격 인증을 원하는 이유는 무엇입니까?
원격 인증을 사용하면 중앙 서버에서 사용자 이름과 비밀번호를 한 곳에서 유지할 수 있습니다. 이 중앙 서버에서 RADIUS 또는 TACACS+를 사용하는 장점은 사용자가 추가 또는 삭제되거나 사용자가 암호를 변경할 때 별도의 각 네트워크 디바이스에 변경 사항을 구성하지 않는다는 것입니다. 서버에서 구성을 한 번만 변경한 다음 디바이스가 인증을 위해 서버에 계속 액세스합니다. 인증은 RADIUS 및 TACACS+의 가장 잘 알려진 기능이지만, 권한 부여 및 어카운팅이라는 두 가지 추가 기능이 제공됩니다.
RADIUS 서버에서 플랫 데이터베이스를 사용하는 대신 SQL, Kerberos, LDAP 또는 Active Directory 서버와 같은 외부 소스를 참조하여 사용자 자격 증명을 확인할 수 있습니다.
액세스 제어를 위해 방화벽과 필터에만 의존하지 않는 이유는 무엇일까요?
라우터와 방화벽은 일반적으로 소스 및/또는 대상 IP 주소 및 포트를 기반으로 필터를 사용하여 서비스에 대한 액세스를 제어합니다. 즉, 개별 클라이언트가 아닌 디바이스에 제한이 적용됩니다. 예를 들어, 10.1.0.255의 트래픽을 활성화하여 특정 웹 서버에 액세스할 수 있는 경우, 10.1.0.255 주소를 가진 머신에 앉아 있는 모든 사용자가 자동으로 이 서버에 액세스할 수 있습니다. RADIUS 또는 TACACS+를 사용하여 주소가 10.1.0.255인 기계에 앉아 있는 동일한 사람도 서비스에 액세스하기 위해 사용자 이름과 암호를 제공해야 합니다.
인증에 LDAP를 사용하는 것은 어떨까요?
경량 LDAP(Directory Access Protocol)는 디렉터리 정보에 액세스하고 관리하는 데 사용되는 클라이언트/서버 프로토콜입니다. IP 네트워크를 통한 디렉터리를 읽고 편집하며, 데이터 전송을 위해 간단한 문자열 형식을 사용하여 TCP/IP를 통해 직접 실행됩니다. 디렉터리 서버에는 사용자 이름, 암호, 사용자 이름과 관련된 권리, 사용자 이름과 연관된 메타데이터, 네트워크에 연결된 디바이스, 디바이스 구성 등 네트워크의 다양한 엔터티에 대한 정보가 포함됩니다.
LDAP를 사용하여 이메일 주소 및 공개 키와 같은 디렉터리 정보를 얻습니다. 인터넷에서 디렉터리 정보를 사용할 수 있도록 하려는 경우, 이것이 바로 이를 위한 방법입니다. LDAP는 캡티브 포털 인증에 적합합니다. 그러나 LDAP는 802.1X 보안을 쉽게 구현하지 못합니다. 802.1X는 기본적으로 RADIUS 염두에 두고 설계되었기 때문에 MSCHAPv2와 같은 802.1X 도전/응답 프로토콜은 RADIUS 잘 작동합니다.
RADIUS 어디에 설치되어 있습니까?
RADIUS 인증 서버, 클라이언트 프로토콜 및 계정 서버의 세 가지 구성 요소를 포함합니다. 프로토콜의 RADIUS 서버 부분은 일반적으로 UNIX 또는 Microsoft Windows 서버에서 실행되는 배경 프로세스입니다.
RADIUS 경우 클라이언트라는 용어는 RADIUS 서비스의 클라이언트 부분을 제공하는 NAD(Network Access Device)를 의미합니다. 모뎀 풀, 스위치, 네트워크 방화벽 또는 사용자를 인증해야 하는 기타 디바이스를 NAD로 구성하여 네트워크 에지 외부에서 연결 요청을 인식하고 처리할 수 있습니다. NAD가 사용자의 연결 요청을 수신하면 ID/암호 정보를 얻기 위해 사용자와 초기 액세스 협상을 수행할 수 있습니다. 그런 다음 NAD는 인증/권한 부여 요청의 일부로 이 정보를 RADIUS 서버에 전달합니다.
RADIUS 각 네트워크 클라이언트 디바이스를 구성해야 합니다.
TACACS+는 네트워크에 어떻게 설치되어 있습니까?
TACACS+ 로그온 인증 프로토콜은 중앙 서버에서 실행되는 소프트웨어를 사용하여 네트워크에서 TACACS 인식 디바이스의 액세스를 제어합니다. 서버는 스위치 또는 기타 TACACS 인식 디바이스와 자동으로 통신합니다. 이러한 디바이스는 TACACS를 인식하는 경우 추가 구성이 필요하지 않습니다. TACACS+ 프로토콜은 대부분의 엔터프라이즈 및 서비스 프로바이더급 디바이스에서 지원됩니다.
TACACS+ 서비스를 가능한 한 사용자 데이터베이스에 가깝게 설치합니다. 바람직하게는 동일한 서버에 설치합니다. TACACS+는 도메인과 긴밀하게 동기화되어야 하며 네트워크 연결 문제, DNS 문제 또는 시간 불일치로 인해 심각한 서비스 장애가 발생할 수 있습니다. 사용자 데이터베이스와 동일한 서버에 TACACS+를 설치하면 성능도 향상될 수 있습니다.
TACACS+ 서버는 완전히 신뢰할 수 있는 내부 네트워크에 구축되어야 합니다. TACACS+ 서비스를 신뢰할 수 있는 네트워크 내에 유지하면 하나의 포트인 TCP 49만 열 수 있습니다. 신뢰할 수 없거나 반 신뢰할 수 있는 네트워크에서 직접 액세스해서는 안 됩니다.
RADIUS 일반적으로 반 신뢰할 수 있는 네트워크에 구축되며 TACACS+는 내부 관리 로그인을 사용하므로 이러한 서비스를 동일한 서버에 결합하면 잠재적으로 네트워크 보안이 손상될 수 있습니다.
RADIUS 및 TACACS+ 비교
RADIUS |
TACACS+ |
|
주요 사용 |
원격 네트워크 사용자 인증 및 로그 |
라우터 및 스위치와 같은 네트워크 디바이스에 대한 관리자 액세스 제공 |
인증 및 권한 부여 |
인증 및 인증 검사가 함께 번들됩니다. 클라이언트 디바이스가 서버에서 인증을 요청하면 서버는 인증 속성과 권한 부여 속성 모두로 응답합니다. 이러한 기능은 별도로 수행될 수 없습니다. |
세 가지 AAA 기능(인증, 권한 부여 및 계정)을 모두 독립적으로 사용할 수 있습니다. 따라서 kerberos와 같은 한 가지 방법을 인증에 사용할 수 있으며 TACACS+와 같은 별도의 방법을 인증에 사용할 수 있습니다. |
회계 |
RADIUS 프로토콜의 계정 기능은 RADIUS 인증 또는 권한 부여와 독립적으로 사용할 수 있습니다. |
|
프로토콜 |
UDP(User Datagram Protocol)/최선형 IP는 포트 1645/1646, 1812/1813에서 제공에 사용됩니다. |
포트 49에서 전송에 사용되는 TCP입니다. 또한 AppleTalk 원격 액세스(ARA) 프로토콜, NetBIOS 프레임 프로토콜 제어 프로토콜, NASI(Novell Asynchronous Services Interface) 및 X.25 PAD 연결에 대한 멀티프로토콜 지원을 제공합니다. |
에 적용된 암호화 |
암호 |
사용자 이름 및 암호 |
802.1X 보안 |
802.1x 포트 기반 네트워크 액세스 제어를 사용하려면 TACACS+ 클라이언트가 해당 기능을 지원하지 않기 때문에 RADIUS 클라이언트를 사용해야 합니다. |
|
모델 |
클라이언트/서버 |
|
권장 환경 |
반 신뢰할 수 있는 |
신뢰할 수 있는 |