Что такое RADIUS и TACACS

от

«Выбор между RADIUS и TACACS+ — это не просто выбор технологий, а выбор философии управления доступом. Один протокол вырос из необходимости пускать пользователей в сеть, другой — из необходимости не пускать администраторов туда, где им не положено. В российской практике, особенно с учётом требований регуляторов к аудиту и разграничению прав, этот выбор становится стратегическим».

RADIUS и TACACS+: Протоколы централизованной аутентификации

Управление доступом в распределённой инфраструктуре — от пользовательских VPN до административных сессий на коммутаторах — требует единого центра принятия решений. Именно эту роль выполняют серверы аутентификации, а RADIUS и TACACS+ — два ключевых протокола, которые задают правила диалога между сетевым оборудованием и таким центром. Их реализация напрямую влияет на безопасность, учёт и соответствие требованиям, таким как 152-ФЗ.

Концепция AAA: аутентификация, авторизация, учёт

Оба протокола работают в рамках модели AAA, но интерпретируют её по-разному. Понимание этих трёх компонентов — основа:

  • Аутентификация (Authentication) — проверка предъявленных учётных данных. Сервер подтверждает, что пользователь или устройство — это тот, за кого себя выдают.
  • Авторизация (Authorization) — определение набора разрешений: к каким ресурсам можно подключиться, какие команды выполнить, на какой срок предоставлен доступ.
  • Учёт (Accounting) — регистрация событий: начало и конец сессии, потреблённые ресурсы, выполненные привилегированные команды. Критически важен для аудита и анализа инцидентов.

Главное различие в подходе: RADIUS часто объединяет аутентификацию и авторизацию в едином ответе, в то время как TACACS+ трактует их как абсолютно независимые этапы.

RADIUS: протокол для пользовательского доступа

Разработанный в эпоху dial-up модемов, RADIUS (Remote Authentication Dial-in User Service) эволюционировал в универсальный стандарт для аутентификации доступа в сеть. Его сфера — контроль входа конечных пользователей.

Принцип работы: Устройство доступа (коммутатор, точка Wi-Fi, VPN-шлюз) выступает в роли RADIUS-клиента (NAS). При попытке подключения оно пересылает учётные данные пользователя на центральный RADIUS-сервер. Тот проверяет их, принимает решение о доступе и возвращает клиенту ответ с параметрами авторизации (например, VLAN, ACL, время сессии).

Архитектура и ключевые особенности RADIUS

Компонент Описание
RADIUS-клиент (NAS) Сетевое устройство (VPN-концентратор, точка доступа, коммутатор), которое запрашивает аутентификацию от имени пользователя.
RADIUS-сервер Центральный сервер, хранящий базу учётных записей и политик. Принимает решение и возвращает результат клиенту.
  • Транспорт: По умолчанию использует UDP (порты 1812 для аутентификации, 1813 для учёта). Это обеспечивает низкие накладные расходы, но не гарантирует доставку. Потеря пакета — задача для вышележащих таймаутов и повторов со стороны клиента.
  • Безопасность передачи: Шифруется только поле пароля в запросе. Остальные атрибуты (имя пользователя, параметры авторизации) передаются в открытом виде, защищаясь лишь общим секретом (shared secret) между клиентом и сервером для проверки целостности. Это уязвимость для анализа трафика.
  • RADIUS over TLS (RFC 6614): Решение проблемы безопасности. Весь трафик RADIUS инкапсулируется в защищённое TLS-соединение поверх TCP 2083. Это становится обязательным требованием в сегментированных или чувствительных сетях.

Типовой обмен сообщениями в RADIUS

Сообщение Направление Назначение
Access-Request Клиент → Сервер Запрос на аутентификацию, содержит логин, зашифрованный пароль, ID клиента.
Access-Accept Сервер → Клиент Успешная аутентификация и авторизация. Может включать атрибуты (VLAN, фильтры).
Access-Reject Сервер → Клиент Отказ в доступе (неверные данные, блокировка).
Accounting-Request (Start/Stop) Клиент → Сервер Информирование о начале и завершении сессии пользователя для учёта.

TACACS+: протокол для административного контроля

TACACS+ (Terminal Access Controller Access Control System Plus), разработанный Cisco и ставший открытым стандартом, заточен под другую задачу — контроль доступа к самим сетевым устройствам. Его логика отражает парадигму «наименьших привилегий».

Ключевое отличие: TACACS+ жёстко разделяет AAA на три независимых процесса. Сервер может сначала аутентифицировать пользователя, затем отдельным запросом запросить список разрешённых команд (авторизация), и после выполнения каждой команды — отправить запись в лог (учёт). Это позволяет реализовать детальный пооперационный контроль.

Ключевые особенности TACACS+

  • Разделение функций AAA: Аутентификация, авторизация и учёт — это разные сессии. Можно использовать разные серверы для каждой функции, что повышает отказоустойчивость и позволяет строить сложные схемы делегирования.
  • Полное шифрование: В отличие от RADIUS, TACACS+ шифрует весь тело пакета (заголовок остаётся открытым для маршрутизации). Это защищает не только пароли, но и имена пользователей, команды, параметры авторизации.
  • Транспорт: Использует TCP 49. Гарантированная доставка и управление потоком критичны для сессионного протокола управления, где важна каждая команда.
  • Детальный учёт: Можно логировать каждую введённую привилегированную команду с timestamp. Для соответствия требованиям регуляторов по аудиту действий администраторов — это часто необходимость.

Сравнение RADIUS и TACACS+: практический выбор

Критерий RADIUS TACACS+
Основное назначение Аутентификация доступа в сеть (пользователи). Аутентификация доступа к сетевым устройствам (администраторы).
Транспортный протокол UDP (1812, 1813). Быстро, но без гарантий. TCP (49). Надёжно, с установкой соединения.
Шифрование передаваемых данных Только пароль. Остальные атрибуты — открытый текст. Полное шифрование тела пакета.
Модель AAA Интегрированная. Access-Accept содержит и факт успеха, и параметры авторизации. Модульная. Аутентификация, авторизация и учёт — независимые транзакции.
Поддержка протоколов аутентификации Широкий спектр (PAP, CHAP, EAP для Wi-Fi). Чаще используется для логин/пароль или аутентификации по токенам.
Гранулярность учёта Сессионный уровень (начало/конец сессии). Командный уровень (каждая выполненная команда).
Типичная сфера применения в РФ Корпоративный Wi-Fi (с WPA2/3-Enterprise), клиентские VPN, доступ к порталам. Управление парком сетевого оборудования (Cisco, Juniper и др.), требующее пооперационного аудита для ФСТЭК.

Что и когда выбирать: рекомендации для российской инфраструктуры

Выбирайте RADIUS, если:

  • Требуется централизованная аутентификация для большого числа конечных пользователей (сотрудников) через Wi-Fi или VPN.
  • Инфраструктура разнородная, включает оборудование разных вендоров, и нужен максимально совместимый стандарт.
  • Работаете с протоколами расширенной аутентификации (EAP) для защищённых беспроводных сетей.
  • Учёт нужен на уровне факта подключения, а не отдельных действий внутри сессии.

Важно: В современных реалиях для RADIUS следует сразу рассматривать RADIUS over TLS (TCP 2083), чтобы исключить риски перехвата атрибутов.

Выбирайте TACACS+, если:

  • Основная задача — управление доступом администраторов и инженеров к коммутаторам, маршрутизаторам, межсетевым экранам.
  • Требования регуляторов (152-ФЗ, приказы ФСТЭК) обязывают вести детальный пооперационный журнал всех привилегированных действий.
  • Необходимо реализовать сложную модель ролевого доступа (RBAC): разные группы администраторов имеют право на разные наборы команд.
  • Безопасность трафика между устройствами и сервером аутентификации является абсолютным приоритетом.

Итог: не конкуренция, а дополнение

В рамках одной организации часто сосуществуют оба протокола. RADIUS обслуживает поток сотрудников, подключающихся к корпоративным ресурсам. TACACS+ контролирует узкий круг инженеров, которые эти ресурсы настраивают и поддерживают. Понимание их глубинных отличий — не в портах или шифровании, а в заложенной логике разделения ответственности — позволяет строить отказоустойчивые и соответствующие требованиям системы управления доступом, где безопасность не является компромиссом между удобством и контролем.

Загрузка…

Оставьте комментарий