RADIUS versus TACACS+
Sarah Kolberg | Juli 4, 2024
RADIUS oder TACACS+? Beide Protokolle dienen zur Verwaltung von Benutzerzugriffen in Netzwerken. Sie werden auch als AAA-Protokolle bezeichnet, da sie für die Authentifizierung, Autorisierung und das Accounting von Nutzern im Netzwerk eingesetzt werden. Es ist möglich, sie mit verschiedenen Verzeichnisdiensten zu verknüpfen und eine zentralisierte Verwaltung der Benutzerzugriffskontrolle umzusetzen, was die Verwaltung von Zugriffsrichtlinien sowie Sicherheitsüberprüfungen erleichtert. RADIUS und TACACS+ verfolgen verschiedene Ansätze und Architekturen und bringen unterschiedliche Funktionen mit sich. Erfahren Sie mehr darüber, welches Sicherheitsprotokoll besser für Ihr Unternehmen geeignet ist.
RADIUS
RADIUS= Remote Authentication Dial-In User Service
RADIUS ist ein etablierter Standard und wird in zahlreichen Unternehmen für die Benutzeranmeldung im WLAN-Netzwerk verwendet. Auch bei verteilten Netzwerkstrukturen wird eine zentrale Administration ermöglicht, was RADIUS für große Unternehmen attraktiv macht.
Wie funktioniert RADIUS?
RADIUS basiert auf einer Client-Server-Architektur. Für die Einwahl via RADIUS-Protokoll wird ein RADIUS-Client, ein Network Access Server (NAS) bzw. Authenticator sowie ein RADIUS-Server benötigt. Der RADIUS-Client ist auf den Endgeräten installiert und startet den Einwahlwunsch. Dieser wird als Access-Request-Paket an den NAS übermittelt, der die Informationen über den User an den RADIUS-Server weiterleitet. Dieser gleicht die Daten aus dem Paket mit der Benutzerdatenbank ab, erteilt oder verwehrt die Einwahlerlaubnis und stellt die entsprechende Verbindung mit dem Netzwerk her.
RADIUS nutzt das User Datagram Protocol (UDP) als Transportprotokoll. Die Authentifizierung und die Autorisierung werden in einer einzelnen Anfrage gebündelt.
Wie sicher ist RADIUS?
RADIUS verschlüsselt ausschließlich das Passwort im Paket. Andere Paketbestandteile wie Benutzernamen oder Abrechnungsinformationen sind nur durch das Protokoll selbst geschützt. Da RADIUS auf UDP basiert, stehen weniger Kontrollmechanismen für die Paketübertragung zur Verfügung. Daher ist es für bestimmte Arten von Netzwerkangriffen anfälliger als TACACS+.
TACACS+
TACACS+ = Terminal Access Controller Access-Control System Plus
TACACS+ ist insbesondere für Umgebungen geeignet, die eine höhere Kontrolle und detaillierte Administration von Benutzerberechtigungen und -aktivitäten erfordern. Zudem überzeugt es durch die Möglichkeit der Skalierung bei wachsenden Netzwerken.
Wie funktioniert TACACS+?
Die Anfrage zur Authentifizierung wird vom Netzwerkgerät an den TACACS+ Server übermittelt. Dieser gleicht die Anmeldeinformationen mir einer Datenbank bzw. einen Verzeichnisdienst ab und verifiziert sie. Der TACACS+ Server sendet eine Antwort an das Netzwerkgerät mit einer Erlaubnis oder Ablehnung des Netzwerkzugriffs.
Nach der erfolgreichen Authentifizierung sendet das Netzwerkgerät eine Autorisierungsanfrage an den TACACS+ Server. Der Server führt eine Überprüfung darüber durch, welche Befehle und Aktionen der Benutzer ausführen darf. Das Netzwerkgerät erhält eine Liste der autorisierten Befehle und Aktionen zurück. TACACS+ nutzt das Transmission Control Protocol (TCP) als Transportprotokoll. Authentifizierungs-, Autorisierungs- und Abrechnungsprozesse sind in separate Funktionen und Anfragen aufgeteilt. Dies ermöglicht, separate Authentifizierungslösungen einzuführen.
Wie sicher ist TACACS+?
TACACS+ ist auf die neuen Anforderungen von Sicherheitslösungen zugeschnitten. Im Gegensatz zu RADIUS verschlüsselt TACACS+ den gesamten Inhalt der Pakete, was die Cybersecurity erhöht. Zudem nutzt es TCP, welches eine zuverlässigere Übertragung bietet. Außerdem ermöglicht TCP eine bessere Fehlerkontrolle, denn falls ein Server abstürzt oder angehalten wurde, wird sofort darauf hingewiesen.
RADIUS & TACACS+ im Vergleich
RADIUS ist weit verbreitet. Der Standard ist mit einer Vielzahl von Netzwerkgeräten nutzbar und daher vergleichsweise einfach zu implementieren. TACACS+ wird bisher ausschließlich von einigen großen Netzwerkgeräteherstellern unterstützt. Die Umstellung einer auf RADIUS basierenden Netzwerkstruktur zu TACACS+ kann mit Herausforderungen in der Interoperabilität einhergehen, da sie sich stark unterscheiden. RADIUS eignet sich für Einsatzszenarien, in denen einfache Zugriffskontrolle ausreicht. TACACS+ hat detailliertere und flexiblere Autorisierungsfunktionen. Es ist möglich, damit komplexe Sicherheitsrichtlinien und Anweisungen umzusetzen. Die Bündelung der Authentifizierung und Autorisierung in einer Anfrage beim RADIUS-Protokoll kann bei weitreichenden Sicherheitsanforderungen unerwünscht sein. TACACS+ trennt die Dienste völlig voneinander und ermöglicht daher eine detaillierte Verwaltung und Kontrolle.
Mit der Trennung der AAA-Services bei TACACS+ und den umfassenden Funktionen geht jedoch auch ein hoher Konfigurations- sowie Verwaltungsaufwand einher. TACACS+ bietet eine zuverlässige Datenübertragung. Um dies sicherzustellen, erfordert das Protokoll mehr Netzwerk- und Serverressourcen. TACACS+ bietet mehr Sicherheitsmaßnahmen. Ein Beispiel dafür ist die Paketverschlüsselung. Während RADIUS ausschließlich das Kennwort verschlüsselt, wird bei TACACS+ der gesamte Inhalt der Pakete chiffriert. Beide Protokolle tragen zu besserer Netzwerksicherheit bei. RADIUS ist für die meisten Szenarien ausreichend und überzeugt durch einfachere Implementierung und überschaubaren administrativen Aufwand. TACACS+ bietet mehr Funktionen sowie Sicherheitsmaßnahmen und bietet daher besseren Netzwerkschutz – für sicherheitskritische Bereiche entsprechend attraktiv.
macmon NAC bietet bereits RADIUS (802.1X) an. Die Implementierung von TACACS + ist aktuell in der Entwicklung.