Descripción del acceso a la red central mediante RADIUS y TACACS+
El Servicio de usuario de marcado de acceso remoto (RADIUS) y el Sistema de control de acceso Plus del controlador de acceso a terminal (TACACS+) son dos protocolos de seguridad comunes que se utilizan para proporcionar acceso centralizado a las redes. RADIUS se diseñó para autenticar y registrar usuarios remotos de la red, mientras que TACACS+ se usa más comúnmente para el acceso de administrador a dispositivos de red como enrutadores y conmutadores. Ambos protocolos proporcionan administración centralizada de autenticación, autorización y contabilidad (AAA) para los equipos que se conectan y usan un servicio de red.
Autenticación : ¿Quién puede acceder a la red? Los usuarios tradicionalmente autorizados proporcionan un nombre de usuario y una contraseña para verificar su identidad tanto para RADIUS como para TACACS+.
Autorización : ¿a qué servicios puede acceder un usuario una vez que está autenticado? Es poco probable que desee que su personal de finanzas tenga acceso a la base de datos de desarrolladores. Los visitantes pueden tener acceso solo a Internet, mientras que solo el personal de TI puede acceder a toda la base de datos de contraseñas.
Contabilidad - ¿A qué servicios accedió cada usuario y por cuánto tiempo? Los registros contables registran la identificación del usuario, la dirección de red, el punto de conexión y un identificador de sesión único; estas estadísticas se rastrean y se agregan al registro del usuario. Esto es útil cuando el tiempo en el sistema se factura a individuos o departamentos.
¿Por qué quiero la autenticación remota?
La autenticación remota le permite mantener su nombre de usuario y contraseñas en un solo lugar, en un servidor central. La ventaja de usar RADIUS o TACACS+ en este servidor central es que no se configuran los cambios en cada dispositivo de red independiente cuando se agrega o elimina un usuario, o cuando un usuario cambia una contraseña. Solo realiza un cambio en la configuración del servidor y, a continuación, los dispositivos siguen teniendo acceso al servidor para la autenticación. Aunque la autenticación es la función más conocida de RADIUS y TACACS+, se proporcionan dos funciones adicionales, autorización y contabilidad.
En lugar de utilizar una base de datos plana en el servidor RADIUS, puede hacer referencia a orígenes externos como servidores SQL, Kerberos, LDAP o Active Directory para comprobar las credenciales de usuario.
- ¿Por qué no confiar solo en firewalls y filtros para el control de acceso?
- ¿Qué ocurre con el uso de LDAP para la autenticación?
¿Por qué no confiar solo en firewalls y filtros para el control de acceso?
Los enrutadores y firewalls suelen controlar el acceso a los servicios mediante filtros basados en direcciones IP y puertos de origen o destino. Esto significa que las restricciones se aplican a los dispositivos y no a clientes individuales. Por ejemplo, si habilito el tráfico de 10.1.0.255 para acceder a un servidor web en particular, entonces cualquier persona que esté sentada en la máquina con la dirección de 10.1.0.255 automáticamente tiene acceso a este servidor. Usando RADIUS o TACACS+, esa misma persona sentada en la máquina con la dirección de 10.1.0.255 también tiene que proporcionar un nombre de usuario y contraseña para acceder a un servicio.
¿Qué ocurre con el uso de LDAP para la autenticación?
El Protocolo ligero de acceso a directorios (LDAP) es un protocolo cliente/servidor que se utiliza para acceder y administrar la información del directorio. Lee y edita directorios a través de redes IP y se ejecuta directamente sobre TCP/IP utilizando formatos de cadena simples para la transferencia de datos. Los servidores de directorio incluyen información sobre varias entidades de la red, como nombres de usuario, contraseñas, derechos asociados con nombres de usuario, metadatos asociados con nombres de usuario, dispositivos conectados a la red y configuración de dispositivos.
Utilice LDAP para obtener información de directorio, como direcciones de correo electrónico y claves públicas. Si desea que la información del directorio esté disponible a través de Internet, esta es la forma de hacerlo. LDAP funciona bien para la autenticación de portal cautivo. Sin embargo, LDAP no implementa la seguridad 802.1X fácilmente. 802.1X se diseñó esencialmente teniendo en cuenta RADIUS, por lo que los protocolos de desafío/respuesta 802.1X como MSCHAPv2 funcionan bien con RADIUS.
¿Dónde está instalado RADIUS en la red?
RADIUS incluye tres componentes: un servidor de autenticación, protocolos de cliente y un servidor de contabilidad. La parte del servidor RADIUS del protocolo suele ser un proceso en segundo plano que se ejecuta en un servidor UNIX o Microsoft Windows.
Con RADIUS, el término cliente se refiere a un dispositivo de acceso a la red (NAD) que proporciona al cliente una parte del servicio RADIUS: un grupo de módems, un conmutador, un firewall de red o cualquier otro dispositivo que necesite autenticar a los usuarios se puede configurar como un NAD para reconocer y procesar solicitudes de conexión desde fuera del borde de la red. Cuando un NAD recibe la solicitud de conexión de un usuario, puede realizar una negociación de acceso inicial con el usuario para obtener información de identidad o contraseña. A continuación, el NAD pasa esta información al servidor RADIUS como parte de una solicitud de autenticación/autorización.
RADIUS requiere que se configure cada dispositivo cliente de red.
¿Cómo se instala TACACS+ en la red?
El protocolo de autenticación de inicio de sesión TACACS+ utiliza software que se ejecuta en un servidor central para controlar el acceso de los dispositivos compatibles con TACACS en la red. El servidor se comunica con conmutadores u otros dispositivos compatibles con TACACS automáticamente; estos dispositivos no requieren configuración adicional si son compatibles con TACACS. El protocolo TACACS+ es compatible con la mayoría de los dispositivos empresariales y de nivel de operador.
Instale el Servicio TACACS+ lo más cerca posible de la base de datos de usuarios, preferiblemente en el mismo servidor. TACACS+ debe estar estrechamente sincronizado con su dominio, y cualquier problema de conexión de red, problema de DNS o incluso discrepancias de tiempo puede causar una falla crítica del servicio. La instalación de TACACS+ en el mismo servidor que la base de datos de usuarios también puede mejorar el rendimiento.
Los servidores TACACS+ deben desplegarse en una red interna de plena confianza. Si mantiene su servicio TACACS+ dentro de su red de confianza, solo necesita abrir un puerto, TCP 49. No debe haber ningún acceso directo desde redes que no sean de confianza o semi-confiables.
RADIUS se implementa normalmente en una red de confianza y TACACS+ utiliza inicios de sesión administrativos internos, por lo que combinar estos servicios en el mismo servidor podría comprometer la seguridad de su red.
Una comparación de RADIUS y TACACS+
RADIO |
TACACS+ |
|
Uso principal |
Autenticar y registrar usuarios remotos de la red |
Proporcionar acceso de administrador a dispositivos de red como enrutadores y conmutadores |
Autenticación y autorización |
La comprobación de autenticación y autorización se agrupan. Cuando el dispositivo cliente solicita autenticación al servidor, el servidor responde con atributos de autenticación y atributos de autorización. Estas funciones no se pueden realizar por separado. |
Las tres funciones AAA (autenticación, autorización y contabilidad) se pueden utilizar de forma independiente. Por lo tanto, se puede usar un método como kerberos para la autenticación y un método independiente como TACACS+ para la autorización. |
Contabilidad |
Las características de contabilidad del protocolo RADIUS se pueden utilizar independientemente de la autenticación o autorización RADIUS. |
|
Protocolo |
El protocolo de datagramas de usuario (UDP)/IP con el mejor esfuerzo se utiliza para la entrega en los puertos 1645/1646, 1812/1813 |
TCP utilizado para la entrega en el puerto 49. También tiene soporte multiprotocolo para el protocolo de acceso remoto (ARA) de AppleTalk, el protocolo de control de protocolo de marco NetBIOS, la interfaz de servicios asíncronos de Novell (NASI) y la conexión X.25 PAD. |
Cifrado aplicado a |
Contraseña |
Nombre de usuario y contraseña |
Seguridad 802.1X |
Si desea utilizar el control de acceso a la red basado en puertos 802.1x, debe usar el cliente RADIUS porque el cliente TACACS+ no admite esa característica. |
|
Modelo |
cliente/servidor |
|
Entorno recomendado |
Semi-confiable |
Confianza |