본문 바로가기
Network Know-how 기록하기

[Cisco]TACACS+

by 네트워크 엔지니어 환영 2022. 3. 5.
반응형

TACACS+

  • TACACS는 본래 유닉스 시스템에서 시스템에 접근하는 사용자에 대한 인증 서비스를 제공하고자 탄생한 프로토콜
  • 이를 Cisco가 좀더 강화된 버전으로 내놓은 프로토콜이 TACACS+
  • 보안 관련 기능이 더욱 추가됨(모든 패킷을 암호화함)
  • 인증 서비스를 받으려는 사용자와 인증 서비스를 제공하는 서버(TACACS Server)로 나뉨
  • AAA(Authentication, Authorization, Accounting) 서비스를 제공하여 네트워크/서버 장비 등에 사용자가 접근할 때 이를 인증하고 허가하기 위한 프로토콜
  • TCP 49번 포트 사용(UDP 49번 또한 예약이 되어있음)

 

AAA

  • Authentication, Authorzation, Accounting의 준말
  • 사용자가 어떤 시스템에 접속하기 위해 필요한 인증, 인가, 기록을 의미함
  • Authentication(인증)
    • 사용자가 시스템에 접근할 자격이 있는가를 검토
    • 주로 Username과 Password를 이용해 사용자를 인증
  • Authorization(인가)
    • 인증 받은 사용자가 어느정도의 권한을 가질 수 있는가를 검토
    • 인증 받은 사용자에게 알맞은 권한을 부여
  • Accounting(기록, 과금)
    • 접속 인증 / 권한 인가를 받은 사용자가 어느 명령을 사용하였는지를 기록
    • 주로 과금이나 보안상의 이유로 사용

 

TACACS+ Message

  • TACACS+에서 AAA 서비스를 제공하기 위해 서버와 사용자가 주고 받는 메시지
  • Authentication
    • 사용자가 인증 서비스를 받기 위해 START 메시지를 사용하면 TACACS 서버가 이에 대한 응답으로 REPLY 메시지를 보내며, 과정의 지속을 위해 사용자가 CONTINUE 메시지를 보냄
  • Authorization / Accouting
    • 요청과 응답에 해당하는 REQUEST, RESPONSE 메시지를 주로 사용

인증/인가/기록 과정(출처 : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=ijoos&logNo=221615649446)

 

Cisco TACACS+ Configuration

  • Authentication
(config)# aaa authenticaion login default group tacacs+ local none
-- > 로그인을 위한 인증 절차, tacacs+ / local 순으로 인증 과정을 실시
-- > default의 의미 : console, vty, aux 모두에게 적용
(config)# aaa authentication login enable group tacacs+ local none
-- > enable mode 접속을 위한 인증 절차, tacacs+ / local 순으로 인증 과정 실시
-- > 이 명령어가 없으면 enable mode 접속시 인증 절차를 밟지 않음
  • Authorization
(config)# aaa authorization exec default group tacacs+ local
-- > 사용자 로그인시 exec shell을 곧바로 시작할 수 있는 권한을 부여, tacacs + / local 순으로 인가 실시 
(config)# aaa authorization config-commands
-- > 사용자가 config command를 사용할 권한 인가
(config)# aaa authorization commands 1 default group tacacs+ local
-- > Privilege level 1 사용자에게 command 권한 인가
(config)# aaa authorization commands 15 default group tacacs+ local
-- > Privilege level 15 사용자에게 command 권한 인가
  • Accounting
(config)# aaa accounting exec default start-stop group tacacs+
-- > 사용자가 exec shell에 login한 시각과 logout한 시각을 기록
(config)# aaa accounting commands 1 default start-stop group tacacs+
-- > Privilege level 1 command를 인가 받은 사용자가 입력한 명령어, 시각, 프로세스 기록
(config)# aaa accounting commands 15 default start-stop group tacacs+
-- > Privilege level 15 command를 인가 받은 사용자가 입력한 명령어, 시각, 프로세스 기록
(config)# aaa accounting system default start-stop group tacacs+
-- > System Event에 대한 기록 전송(ex. Rebooting)

 

* 참고 링크

https://m.blog.naver.com/ijoos/221694317394

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=ijoos&logNo=221615649446 

https://wiki.wikisecurity.net/identification:%EC%9E%A5%EB%B9%84%EC%9D%B8%EC%A6%9D

저작자표시 비영리 변경금지

'Network Know-how 기록하기' 카테고리의 다른 글

[Cisco]Catalyst 9K License(with EIGRP)  (0) 2022.12.11
[Cisco]BGP Null Routing 활용  (0) 2022.05.05
[Cisco]Netflow  (0) 2021.12.07
[Aruba]802.1x 인증 & MAB  (0) 2021.11.25
[Aruba]Wi-Fi 암호화  (0) 2021.11.24

댓글

티스토리툴바