TACACS+
Főnév
TACACS+ (tsz. TACACS+s)
- (informatika) TACACS+ (Terminal Access Controller Access-Control System Plus) egy biztonsági protokoll, amelyet a felhasználói hitelesítésre, engedélyezésre és naplózásra (AAA) használnak számítógépes hálózatokon, főként a hálózati eszközök – például routerek, switchek, tűzfalak – adminisztratív hozzáférésének védelmére. A protokollt a Cisco Systems fejlesztette ki, és a mai napig széles körben alkalmazzák, különösen Cisco-alapú hálózatokban.
🎯 Mi az a TACACS+?
A TACACS+ egy AAA (Authentication, Authorization, Accounting) protokoll, amely lehetővé teszi a felhasználók részletes, központosított hitelesítését és hozzáférés-kezelését hálózati eszközökhöz, különösen CLI-alapú (parancssoros) adminisztrációhoz.
Alkalmazási példák:
- Routerhez vagy switchhez való belépés (pl. Telnet, SSH).
- Felhasználók különböző jogosultsági szintre való beosztása (pl. csak olvasás vs konfigurálás).
- Minden adminisztrációs művelet naplózása.
🔧 Hogyan működik a TACACS+?
A működés három szakaszra bontható, az AAA alapján:
1. Authentication – hitelesítés
- A felhasználó bejelentkezik (pl. router CLI-n).
- Az eszköz (NAS – Network Access Server) a megadott felhasználónevet/jelszót továbbítja a TACACS+ szerverhez.
- A szerver ellenőrzi az adatokat (pl. LDAP, Active Directory, belső adatbázis alapján).
- Válasz: „accept” (engedélyezve), „reject” (elutasítva), „error”.
2. Authorization – engedélyezés
- Meghatározza, mit tehet a felhasználó: mely parancsokat, mely interfészekhez férhet hozzá.
- Folyamatos kontroll a session során (parancsonként).
3. Accounting – naplózás
- Minden tevékenységet rögzít:
- Mikor jelentkezett be?
- Mit csinált?
- Milyen parancsokat futtatott?
📚 TACACS+ vs RADIUS
| Tulajdonság | TACACS+ | RADIUS |
|---|---|---|
| Protokoll | TCP (port 49) | UDP (1812/1813) |
| AAA funkciók kezelése | AAA szétválasztva, külön kezelhető | AAA együtt kezelve |
| Parancsszintű vezérlés | ✔ Igen (parancsok engedélyezése) | ✖ Nem támogatott |
| Titkosítás | A teljes üzenet titkosított | Csak a jelszó |
| Tipikus felhasználás | Hálózati eszközök CLI hozzáférésének kezelése | Hálózati hozzáférés (VPN, Wi-Fi, ISP) |
| Cisco támogatás | Natív, ajánlott | Támogatott, de kevésbé részletes |
🧱 TACACS+ jellemzői
- TCP protokollt használ: stabilabb, megbízhatóbb mint az UDP (pl. újraküldés, kapcsolatellenőrzés).
- Teljes üzenet titkosítása: nemcsak a jelszót, hanem a teljes kommunikációs tartalmat.
- Moduláris AAA támogatás: mindhárom funkció külön is vezérelhető.
- Parancsszintű jogosultság: pl. „show running-config” engedélyezhető, „configure terminal” nem.
- Kiválóan integrálható Active Directory-val vagy más LDAP címtárral.
🛠️ Hol használjuk a TACACS+-t?
📡 Hálózati eszközök védelme
- Cisco routerek, switchek, tűzfalak.
- SSH, Telnet, konzolos hozzáférés hitelesítése.
- Több adminisztrátor jogosultságainak differenciálása.
🏢 Nagyvállalati IT infrastruktúra
- Központi felhasználókezelés, audit.
- Megfelelőségi (compliance) követelmények teljesítése.
- Admin tevékenységek naplózása forensics célokra.
🧰 TACACS+ szerver szoftverek
| Név | Jellemzők |
|---|---|
| Cisco ISE (Identity Services Engine) | Cisco vállalati biztonsági platform, teljes AAA rendszer |
| Free TACACS+ (nyílt forráskód) | Könnyű telepítés, Linuxra ajánlott |
| Tacacs.net (Windows) | Kisebb környezetekhez alkalmas, GUI-s |
| Radiator | Több protokollt is támogat (TACACS+, RADIUS) |
🔐 Példa működésre
Forgatókönyv:
- Admin bejelentkezik SSH-n keresztül egy switch-re.
- A switch továbbítja a hitelesítési kérelmet a TACACS+ szervernek.
- Sikeres hitelesítés után:
- A felhasználó csak az „interface” és „show” parancsokat hajthatja végre.
- Minden parancs naplózásra kerül.
🧠 TACACS+ előnyei
| Előny | Leírás |
|---|---|
| Teljes titkosítás | Biztonságos kommunikáció (beleértve a parancsokat is). |
| Parancsszintű kontroll | Finomhangolt engedélyezés, parancsok alapján. |
| Központi menedzsment | Minden felhasználó és jogosultság egy helyen. |
| Több szintű hozzáférés | Olvasó, konfiguráló, admin – külön szabályozható. |
| Részletes auditálás | Teljesen naplózott tevékenység: ki, mit, mikor. |
⚠️ TACACS+ kihívások
| Kihívás | Megoldás |
|---|---|
| Komplex konfiguráció | Dokumentált sablonok használata, GUI-s rendszerek |
| Független kliens/szerver kell | Telepíteni és karbantartani kell a TACACS+ szervert |
| Felhő-támogatás korlátozottabb | Sok felhős rendszer csak RADIUS-t támogat |
| Erőforrásigény | Nagy számú hitelesítésnél komolyabb gépigény lehet |
🧠 Best practice-ek
- Titkosított kapcsolat (SSH) használata a CLI eléréshez.
- Különböző admin szerepkörök kialakítása (pl. helpdesk vs senior admin).
- Kétfaktoros azonosítás integrálása (pl. Duo, TOTP).
- Rendszeres audit a naplók alapján.
- Backup TACACS+ szerver beállítása hibatűréshez.
✅ Összefoglalás
| Fogalom | Leírás |
|---|---|
| TACACS+ | AAA protokoll TCP-n, főként hálózati eszközök adminisztrációjához |
| Funkciói | Hitelesítés, engedélyezés, naplózás |
| Előnyei | Teljes titkosítás, parancsszintű kontroll, auditálás |
| Protokoll | TCP 49-es porton |
| Szerverek | Cisco ISE, FreeTACACS+, Tacacs.net |
| Használat | Switch/router belépés szabályozása, admin tevékenységek naplózása |
| Alternatíva | RADIUS (de kevésbé részletes kontrollal) |
A TACACS+ ideális választás ott, ahol fontos a részletes jogosultságkezelés, biztonságos admin hozzáférés és megfelelőség (compliance).