两极人生,八度空间

Fight for my CISSP and PMP

首页 新随笔 联系 聚合 管理
  156 Posts :: 22 Stories :: 67 Comments :: 0 Trackbacks
 安全控管的協定-TACACS+
本篇作者:陳宏陽 (Vincent_Chen)
刊登日期:2003/02/27

在 建置遠端存取網路(Remote Access Network)時,通常為了安全性的考量,企業會使用遠端存取伺服器(Remote Access Server,RAS;或者稱之為Network Access Server,NAS)來提供更嚴密的防護:在遠端的使用者要藉由網路使用公司內部的資源時,必須先登入至RAS,經過RAS使用者帳號的檢查,確認無誤 後才可存取公司的網路。一般而言,這是最起碼的防護,可是並不夠安全,一旦使用者的帳號被有心人士竊取,公司網路上所有的資料與機密就曝光了。


因此,為擁有更安全的網路防護機制,我們可以在公司的網路上設置專門負責安全控制的伺服器-Security Server,以供企業網路管控所有進出的存取行為,達到嚴密安全防護的目的。

藉 由安全伺服器(Security Server)來針對遠端使用者進行帳號的驗證(Authentication)、授權資源的使用(Authorization)以及帳號的管控與稽核 (Accounting),不但確保網路資源存取上的安全性,也增加了網路管理的方便性;當我們提到這種存取控制的機制時,就會經常看到一個名詞: TACACS+。
 
什麼是TACACS+?這是一個什麼樣的東西呢?為何要使用它?我想許多人心中;都會有這樣的疑問,就讓我們來看看TACACS+到底賣的是什麼樣的膏藥吧。
 
TACACS +(Terminal Access Controller Access Control System)是一種安全控管的協定,使用在負責控管安全的伺服器與網路設備間溝通存取控制的資訊。當遠端使用者想要透過網路使用公司內部的資源時,必須 先經過安全伺服器的檢查與放行後,才能夠在網路上取得被授權的資源。
 
TACACS +最早期的前身是TACACS,是屬於RFC 1492的標準規範。TACACS一開始的設計就是採集中式的管理,欲登入網路的使用者帳號與密碼被遠端存取伺服器(NAS)轉送至安全伺服器進行身分驗 證,而TACACS便扮演著NAS與安全伺服器溝通時所使用的協定;後來Cisco將TACACS加以改良,加入了許多延伸性的功能,這個新的協定被稱為 XTACACS(Extended TACACS);Cisco持續不斷的改良這個協定,到後來,發展出具有AAA(Authentication、Authorization、 Accounting)架構的TACACS協定,而這個協定就是TACACS+。
 
TACACS+已是一個全新的協定,它與既有的XTACACS是不相容的,加上許多新的功能都比舊有的TACACS與XTACACS要來的好,因此現在我們能夠見到的通常都是TACACS+,在Cisco許多相關的網路安全產品裡,主要也都是支援TACACS+的協定。
 
說了這麼多,那TACACS+是如何運作的?接下來我們來看看:
  1. 首先,當在遠端的使用者想要使用公司網路上資源時,必須先連線至公司內部網路。一般是藉由撥接的方式(透過數據機撥接或ISDN)連至公司的遠端存取伺服器(NAS)。
  2. 當公司的遠端存取伺服器接到來自使用者連線的需求時,會將使用者的驗證資料(帳號、密碼)透過TACACS+協定轉送至安全伺服器,這台伺服器即是TACACS+伺服器。
  3. 安全伺服器在經過驗證使用者資料後,會將驗證結果回傳至遠端存取伺服器(當然也是用TACACS+協定),若使用者驗證成功,還會提供授權給使用者可使用的資源與權限,並且進行使用者存取網路的控管與稽核。
  4. 遠端存取伺服器會將收到來自安全伺服器的結果回應給遠端的使用者,以及相關的授權。
  5. 若使用者在驗證通過後,便可以開始使用網路上的資源,存取經過授權的資料,當然,該使用者的所作所為,也會被安全伺服器逐一的記錄下來。
這 樣,各位瞭解TACACS+協定在網路上的安全控管扮演著什麼樣的角色了嗎?簡單的說,為了便於管理,我們可以把網路上所有使用者的帳號驗證、授權與稽核 管控,全部集中化,交由一台伺服器專門來負責這些工作;這樣一來,我們就不需要煩惱公司的員工在遠地進行連線時要做一次帳號驗證,等連線後又要在公司內的 伺服器上登入一次來做帳號驗證與授權的取得。集中式的安全控管,不只可以簡化管理工作,還可以避免因多次登入而造成安全漏洞的產生,這是許多企業在做網路 規劃時,經常會採用的一種做法。而TACACS+協定在其中就是負責安全伺服器與遠端存取伺服器溝通的語言,對於安全伺服器而言,它是TACACS+伺服 器端;對於遠端存取伺服器而言,它是TACACS+用戶端。伺服器端與用戶端在溝通的時候,會將資料進行加密以確保其安全性,因此企業不需擔心使用者的帳 號驗證資料會有遭受竊取的風險。
 
目前我們可以看到的網路相關產品裡,大多數是有支援TACACS+的。當然,常見的協定不只有TACACS+,像是RADIUS、Kerberos等都是安全控管上常見的協定,有機會再為大家介紹。
posted on 2007-03-19 10:43 Jerome 阅读(4092) 评论(0)  编辑 收藏 引用 所属分类: Telecommunication and Network Security
只有注册用户登录后才能发表评论。