Protocolo TACACS+

Si un solo administrador desea acceder a 100 enrutadores y la base de datos local del dispositivo se usa para el nombre de usuario y la contraseña (autenticación), entonces el administrador debe crear la misma cuenta de usuario en diferentes momentos. Además, si desea mantener un nombre de usuario y una contraseña diferentes para los dispositivos, debe cambiar manualmente la autenticación de los dispositivos. Por supuesto, es una tarea agitada. 

Para facilitar esta tarea hasta cierto punto, se utiliza Cisco ACS (servidor de control de acceso). ACS proporciona un sistema de gestión centralizado en el que se guarda la base de datos de usuario y contraseña. Además, se puede configurar la autorización (lo que el usuario está autorizado a hacer). Pero para esto, tenemos que decirle al enrutador que se refiera a ACS para su decisión sobre autenticación y autorización. 

Se utilizan dos protocolos entre el servidor ACS y el cliente para cumplir este propósito: 

1. TACACS+ 
2. RADIO 

Aquí discutiremos TACACS+ solamente. 

TACACS+: 
TACACS+, que significa Terminal Access Controller Access Control Server, es un protocolo de seguridad utilizado en el marco AAA para proporcionar autenticación centralizada a los usuarios que desean obtener acceso a la red. 

Características: algunas de las características de TACACS+ son: 

1. Cisco desarrolló un protocolo para el marco AAA, es decir, puede usarse entre el dispositivo Cisco y el servidor Cisco ACS. 
2. Utiliza TCP como protocolo de transmisión. 
3. Utiliza el puerto TCP número 49. 
4. Si el dispositivo y el servidor ACS usan TACACS+, todos los paquetes AAA intercambiados entre ellos están encriptados. 
5. Separa AAA en elementos distintos, es decir, autenticación, autorización y contabilidad están separados. 
6. Proporciona un mayor control granular (que RADIUS) ya que se pueden especificar los comandos autorizados para ser utilizados por el usuario. 
7. Proporciona soporte de contabilidad pero es menos extenso que RADIUS. 
    

En funcionamiento: 
el cliente del TACACS+ se llama Dispositivo de acceso a la red (Nad) o Servidor de acceso a la red (NAS). El dispositivo de acceso a la red se comunicará con el servidor TACACS+ para obtener un aviso de nombre de usuario a través del mensaje CONTINUAR . Luego, el usuario ingresa un nombre de usuario y el dispositivo de acceso a la red nuevamente se comunica con el servidor TACACS+ para obtener una solicitud de contraseña (mensaje Continuar) que muestra la solicitud de contraseña al usuario, el usuario ingresa una contraseña y luego la contraseña se envía al servidor TACACS+. 

El servidor puede responder con uno de los siguientes mensajes de respuesta: 

• Si las credenciales ingresadas son válidas, el servidor TACACS+ responderá con un mensaje ACEPTAR. 
• Si las credenciales ingresadas no son válidas, el servidor TACACS+ responderá con un mensaje de RECHAZO. 
• Si el enlace entre el servidor TACACS+ y el servidor NAS o TACACS+ no funciona correctamente, responderá con un mensaje de ERROR. 
• Si se requiere autorización TACACS+, se vuelve a contactar con el servidor TACACS+ y este devuelve una respuesta de autorización ACEPTAR o RECHAZAR. Si se devuelve el mensaje ACCEPT, contiene atributos que se utilizan para determinar los servicios que un usuario puede realizar. 
   

Para la contabilidad, el cliente enviará un mensaje de SOLICITUD al servidor TACACS+ para lo cual el servidor responde con un mensaje de RESPUESTA indicando que se recibió el registro. 

Ventaja – 

1. Proporciona un mayor control granular que RADIUS. TACACS+ permite que un administrador de red defina qué comandos puede ejecutar un usuario. 
2. Todos los paquetes AAA están encriptados en lugar de solo contraseñas (en el caso de Radius). 
3. TACACS+ usa TCP en lugar de UDP. TCP garantiza la comunicación entre el cliente y el servidor. 
    

Desventaja – 

1. Como es propiedad de Cisco, solo se puede usar entre los dispositivos de Cisco. TACAS+ es un estándar abierto RFC8907 
2. Soporte menos extenso para contabilidad que RADIUS.