TACACS là giao thức được chuẩn hóa sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49.Bản thân TACACS+ là một giao thức non-standard, hay chính xác hơn, proprietary protocol, phát triển dựa trên hai giao thức TACACS và enhance TACACS.
TACACS có các ưu điểm sau :
•Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền.
•TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi. Nó có thể tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại.
•Toàn bộ payload được mã hóa với TACACS+ bằng cách sử dụng một khóa bí mật chung (shared secret key). TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hóa hay không.
•TACACS+ mã hóa toàn bộ gói bằng việc sử dụng khóa bí mật chung nhưng bỏ qua header TACACS chuẩn. Cùng với header là một trường xác định body có được mã hóa hay không.
•TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting). Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cước.
•TACACS+ hỗ trợ nhiều giao thức.
•Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user :
+Phương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi thì sẽ được cấp cho mức đặc quyền xác định nói trên.
+Phương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng.
Tương tự như một cơ sở dữ liệu bảo mật nội bộ, trợ TACACS+ hỗ trợ ba tính năng yêu cầu của một hệ thống bảo mật tốt:
Chứng thực.
Các giao thức TACACS+ chuyển tiếp nhiều loại tên người dùng và thông tin mật khẩu.Thông tin này được mã hóa trên mạng với MD5.
Cấp quyền.
TACACS cung cấp một cơ chế một máy chủ truy cập mà danh sách người dùng được truy cập được kết nối đến 1 cổng để sử dụng.TACACS server và vị trí của các tên người dùng và thông tin mật khẩu xác định danh sách truy cập thông qua đó người dùng sẽ được lọc.Danh sách truy cập nằm trên máy chủ truy cập.Các máy chủ TACACS sẽ đáp ứng cho tên người dùng với một thông báo chấp nhận và số danh sách truy cập với lý do mà danh sách đó được áp dụng.
Tính cước.
TACACS cung cấp thông tin tính cước cho cơ sở dữ liệu thông qua giao thức TCP để đảm bảo một bản ghi tính cước an toàn hơn và đầy đủ.Phần tính cước của giao thức TACACS+ chứa các địa chỉ mạng của người sử dụng, tên người sử dụng, các dịch vụ đính kèm, giao thức được sử dụng, thời gian và ngày tháng.Các thông tin thanh toán bao gồm thời gian kết nối, ID người sử dụng, vị trí kết nối, thời gian bắt đầu, và kết thúc.Nó xác định các giao thức mà người dùng đang sử dụng và có thể chứa các lệnh được chạy nếu người sử dụng được kết nối thông qua Telnet.Các thông tin kiểm toán mà nó bao gồm các lệnh và đối số được sử dụng và các kết nối, các lệnh đến từ đâu.Giao thức này cung cấp đủ thông tin để có một máy chủ có thểphát hiện kẻ đột nhập, báo cáo thống kê, số lượng các gói dữ liệu, và số lượng byte.
Cấu trúc gói tin Tacacs+ :
Version number (1 bit): bao gồm major_version và minor_version
- major_version: số phiên bản của Tacacs+
- minor_version: số phiên bản phụ của Tacacs+ trường này được thiết kế để cho phép sửa đổi các giao thức TACACS + trong khi duy trì tính tương thích ngược. Type (1 bit): cho biết loại gói tin, có các giá trị sau
Seq-no(1 bit): số thứ tự của các gói tin hiện tại trong phiên làm việc
Flags:(1 bit):
TAC_PLUS_UNENCRYPTED_FLAG: nếu cờ này được thiết lập, gói tin sẽ không được mã hoá, ngược lại gói tin sẽ được mã hoá từ phần data trở đi
TAC_PLUS_SINGLE_CONNECT_FLAG: nếu NAS bật cờ này, nó sẽ hỗ trợ đa phiên Tacacs+ trên 1 kết nối TCP duy nhất
Session_ID: ID của phiên làm việc, nó được cấp ngẫu nhiên và không thay đổi trong suốt phiên làm việc.
Length: chiều dài gói tin Tacacs+ (không bao gồm phần header)
Data: chứa thông tin liên lạc giữa Tacacs+ client (Network Access Server) và Tacacs+ Server(AAA server)
Cơ chế hoạt động:
Hình bên dưới mô tả quá trình hoạt động của Tacacs+ khi người dùng truy cập vào mạng thông qua NAS
1. NAS (Network Access Server) có được thông tin về username/pass từ người dùngvà gởi gói tin'Authentication(start)' đến Tacacs+ server
2. Khi user và pass hợp lệ và Server không cần biết thêm thông tin gì nữa thì nó sẽ trả lời với gói tin 'Reply(finnished)'
3. NAS yêu cầu một số thông tin xác thực từ người dùng và gỏi tiếp gói tin 'Authorization(request)' đến Server
4. Server sẽ trả lời với gói tin 'Response(Pass)' mà nó bao gồm các thông tin yêu cầu phân quyền (timeout, allowed idletime, etc)
5. NAS gởi gói tin 'Accounting(start)' để báo cho biết người dùng được bắt đầu đăng nhập vào mạng.
6. TACACS+ server gởi tiếp gói tin 'Reply(Success)’ cho biết quá trình tính cước được ghi nhận thành công
7. Khi người dùng logoff thì NAS sẽ gỏi gói tin ‘Accounting(Stop)' với các thông tin sau :
1. Thời gian bắt đầu
2. Thời gian kết thúc
3. Thời gian đã qua, thời gian hoàn thành phiên làm việc
4. Múi giờ
5. Tổng số byte mà người dùng đã gởi và nhận
6. Số byte người dùng đã nhận
7. Số byte người dùng đã gởi
8. Tổng số gói tin mà người dùng gởi và nhận
9. Số gói tin người dùng đã nhận
10. Số gói tin người dùng đã gởi
11. Lý do người dùng ngắt kết nối
8. TACACS+ server sẽ gởi gói tin 'Reply(Success) cho biết quá trình tính cước được ghi nhận thành công
Sản phẩm tham khảo:
 |
EKI-9312 |
ADVANTECH Industrial-Class 12 Port Full Gigabit Managed DIN Rail Switch
- - All Gigabit connections support dual-ring protection and non-blocking traffic forwarding
- - X-Ring+: recovery time within 20ms for 250 node connections
- - STP, RSTP, MSTP for better redundancy
- - Super security mechanism includes SSL,SSH, 802.1X, MAC, IP filtering,RADIUS, TACACS+, VLAN for access protection
- - Dual power input, dual image for system reliability
- - Operating temperature: -40 ~ 75° C
Hình ảnh _ Cấu trúc kết nối Switch mạng công nghiệp trong hệ thống giám sát giao thông
Không có nhận xét nào:
Đăng nhận xét