TACACS

TACACS

Terminal Access Controller Access-Control System(TACACS, /tékéks/)은 집중형 서버를 통한 네트워크접근 제어를 위한 원격인증 및 관련 서비스를 처리하는 관련 프로토콜 패밀리입니다.1984년으로 거슬러 올라가는 원래의 TACACS 프로토콜은 ARPANET, MILNET 및 BBNET을 포함한 오래된 UNIX 네트워크에서 일반적으로 사용되는 인증 서버와의 통신에 사용되었습니다.이 프로토콜에 의해 다음과 같은 프로토콜이 생성되었습니다.

  • Extended TACACS(XTACACS; 확장 TACACS)는 시스코 시스템즈가 1990년에 도입한 TACACS에 대한 독자적인 확장으로 원래 프로토콜과의 하위 호환성이 없습니다.TACACS와 XTACACS는 모두 리모트액세스 서버와 인증 서버와의 통신을 허가하고, 유저가 네트워크에 액세스 할 수 있는지를 판단합니다.
  • Terminal Access Controller Access-Control System Plus(TACACS+)는 시스코가 개발한 프로토콜로 1993년부터 오픈 표준으로 출시되었습니다.TACACS+는 TACACS에서 파생되지만 Authentication, Authorization, and Accounting(AAA; 인증, 인가, 계정) 서비스를 처리하는 별도의 프로토콜입니다.TACACS+는 이전 버전을 대부분 대체했습니다.

역사

TACACS는 1984년 BBNARPANETMILNET을 관리하기 위해 개발한 것입니다.BBN Technologies는 당시 DARPA의 기밀 네트워크트래픽을 실행하고 나중에 미국 국방부NIPRNet으로 발전했습니다.당초, 인증의 자동화를 목적으로 설계되어 네트워크내의 어느 호스트에 이미 로그인하고 있던 사람이 같은 네트워크상의 다른 호스트에 재인증할 필요 없이 접속할 수 있게 되었습니다.BBN의 Brian Anderson TAC Access Control System Protocols(BBN Tech Memo CC-0045, 마이너 TELN 탑재)에 의해 정식으로 기술되었습니다.1984년 12월 IETF RFC [1][2]927에서의 변경 회피.시스코 시스템즈는 1980년대 후반에 네트워킹 제품에서 TACACS를 지원하기 시작했고, 최종적으로 프로토콜에 몇 가지 확장을 추가했습니다.1990년에 TACACS 상단의 시스코의 확장은 Extended TACACS(XTACACS)라고 불리는 독자적인 프로토콜이 되었습니다.TACACS와 XTACACS는 오픈 스탠다드는 아니지만 미네소타 대학의 Craig Finseth는 시스코의 지원을 받아 1993년 [1][3][4]정보 제공을 위해 IETF RFC 1492에 프로토콜에 대한 설명을 발표했습니다.

기술 설명

TACACS

TACACS는 RFC 8907(구 RFC 1492)에 정의되어 있으며 기본적으로는 (TCP 또는 UDP) 포트 49를 사용합니다.TACACS 를 사용하면, 클라이언트는 유저명과 패스워드를 받아 들여, TACACS 인증 서버(TACACS 데몬, 또는 단순히 TACACSD라고도 불린다)에 쿼리를 송신할 수 있습니다.인증 요구를 받아들일지 거부할지가 결정되어 응답이 반환됩니다.TIP(통상은 사용자가 로그인하고 싶은 다이얼 업 회선 접속을 받아들이는 라우팅 노드)는, 응답에 근거해 액세스를 허가하거나 허가하지 않습니다.이와 같이 결정 프로세스는 "개방"되어 결정에 사용되는 알고리즘과 데이터는 TACACS 데몬을 실행하는 모든 사용자의 완전한 제어 하에 있습니다.

XTACACS

XTACACS는 Extended TACACS의 약자로 TACACS 프로토콜의 추가 기능을 제공합니다.또한 Authentication, Authorization, and Accounting(AAA; 인증, 인가, 계정) 기능을 별도의 프로세스로 분리하여 별도의 서버 및 기술로 처리할 수도 있습니다.[5]

TACACS+

TACACS+ 와 RADIUS 는, 일반적으로, 최신의 구축 또는 갱신된 네트워크에서는, TACACS 와 XTACACS 를 대체하고 있습니다.TACACS+는 완전히 새로운 프로토콜이며 이전 프로토콜인 TACACS 및 XTACACS와 호환되지 않습니다.TACACS+ 는 TCP 를 사용합니다(RADIUS 는 [6]UDP 를 사용해 동작합니다).

TCP는 접속 지향 프로토콜이기 때문에 TACACS+는 전송 제어를 구현해야 합니다.다만, RADIUS 는, 무접속 UDP 를 이용하기 때문에, 패킷 손실이나 타임 아웃등의 송신 에러를 검출해 수정할 필요는 없습니다.RADIUS 는, RADIUS 클라이언트에서 RADIUS 서버에의 전송시에 유저의 패스워드만을 암호화합니다.사용자 이름, 인가, 계정 등의 기타 모든 정보는 클리어 텍스트로 전송됩니다.따라서 다양한 유형의 공격에 취약합니다.TACACS+는 위의 모든 정보를 암호화하기 때문에 RADIUS 프로토콜에는 취약성이 없습니다.

TACACS+ 는, TACACS 에 대한 시스코 설계의 확장 기능으로, 각 패킷의 풀 컨텐츠를 암호화합니다.또한 세분화된 제어(명령어 권한 부여에 의한 명령어)도 제공합니다.

실장

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b Dooley, Kevin; Brown, Ian (2003). Cisco Cookbook. O'Reilly Media. p. 137. ISBN 9781449390952. Archived from the original on 2016-06-24.
  2. ^ Anderson, Brian (December 1984). "TACACS User Identification Telnet Option". Internet Engineering Task Force. Archived from the original on 12 August 2014. Retrieved 22 February 2014.
  3. ^ Ballad, Bill; Ballad, Tricia; Banks, Erin (2011). Access Control, Authentication, and Public Key Infrastructure. Jones & Bartlett Learning. pp. 278–280. ISBN 9780763791285.
  4. ^ Finseth, Craig (July 1993). "An Access Control Protocol, Sometimes Called TACACS". Internet Engineering Task Force. Archived from the original on 22 February 2014. Retrieved 22 February 2014.
  5. ^ "Mike Meyers' CompTIA Security+ Certification Passport, Second Edition - PDF Free Download". epdf.pub. Retrieved 2019-08-03.
  6. ^ "TACACS+ and RADIUS Comparison". Cisco. 14 January 2008. Archived from the original on 7 September 2014. Retrieved 9 September 2014.

외부 링크

RFC

  • RFC 927 - TACACS 사용자 ID Telnet 옵션
  • RFC 1492 - 접근컨트롤 프로토콜(TACACS라고도 함)
  • RFC 8907 - Terminal Access Controller Access-Control System Plus(TACACS+) 프로토콜