بررسی و مقایسه تفاوت پروتکل های TACACS+ و RADIUS به درک بهتر این مفاهیم کمک می کند و در انتخاب گزینه بهتر شما را یاری می کند، در ادامه این مقاله همراه داتیس نتورک باشید.
تفاوت پروتکل TACACS+ و RADIUS چیست؟ کدام بهتر است؟
پروتکل RADIUS، اولین بار در سال 1991 توسط شرکت Livingston Enterprises Inc توسعه داده شد که بعد ها با Alcatel Lucent ادغام شد.
سپس با تبدیل RADIUS به یک استاندارد IETF، تمامی Vendor ها از RADIUS پشتیبانی می کنند.
+TACACS دیگر پروتکل AAA است که توسط سیسکو در سال 1984 برای وزارت دفاع ایالات متحده توسعه داده شد. شایان ذکر است در سال های اخیر این پروتکل نیز به یک استاندارد IETF تبدیل شده است.
در RADIUS فرایند Authentication و Authorization با هم ادغام شده است و فرایند Accounting آن به صورت مستقل صورت می گیرد در +TACACS هر سه فرایند Authentication، Authorization و Accounting به صورت مستقل از هم انجام می شود.
RADIUS بر بستر UDP و +TACACS بر بستر TCP می باشد.
RADIUS به صورت پیش فرض برای فرایند Authentication و Authorization خود که هم زمان انجام می شوند، از پورت های 1812 و یا 1645 و برای فرایند Accounting خود از پورت های 1813 و یا 1646 استفاده می کند.
+TACACS برای هر سه فرایند خود یعنی Authentication، Authorization و Accounting به صورت پیش فرض از پورت 49 استفاده می کند.
RADIUS تنها رمز عبور (Password) را رمز گذاری (Encrypt) می کند و سایر اطلاعات نظیر نام کاربری، اطلاعات Accounting و… رمز گذاری نمی شوند و به صورت Clear-Text ارسال می شوند.
+TACACS تمامی بسته ها را رمزگذاری می کند.
RADIUS برای Network Access و +TACACS برای Device Admin طراحی شده است.
مزیت های +TACACS نسبت به RADIUS
از آن جا که +TACACS از TCP استفاده می کند، بنابراین از RADIUS قابل اطمینان تر است.
در +TACACS، دو فرایند Authentication و Authorization از یکدیگر مستقل هستند، لذا +TACACS کنترل بیشتری را در مورد مجوز دستورات انجام می دهد و امکان تعیین سطح دسترسی به صورت Command-By-Command در سوئیچ ها و روتر ها، وجود خواهد داشت.
به همین دلیل است که از +TACACS برای کاربرد های Device Admin استفاده می شود.
اما در RADIUS فرایند های Authentication و Authorization ادغام شده است و Authorization تنها در ابتدای برقراری ارتباط به همراه Authentication صورت می گیرد، لذا RADIUS، به صورت پیش فرض در فرایند Authorization خود هیچ گونه مجوز برای تعیین سطح دسترسی به صورت Command-By-Command را پشتیبانی نمی کند.
شایان ذکر است، بعضی از Vendor ها با افزودن برخی Attribute های اختصاصی (VSA) خود، تا حد کمی مجوز تعیین سطح دسترسی برای اجرای بعضی دستورات را فراهم می کنند.
همچنین با توجه به اینکه تمامی محتوای بسته های AAA در +TACACS رمزگذاری می شوند، این پروتکل از امنیت بیشتری نسبت به RADIUS برخوردار است.
مزیت های RADIUS نسبت به +TACACS
از آن جا که RADIUS یک پروتکل مبتنی بر UDP است و همچنین Authorization همزمان با Authentication ارسال می شود، این پروتکل سربار کمتری در شبکه و بر روی Resource دستگاه ها خواهد داشت.
اما به دلیل آنکه +TACACS یک پروتکل مبتنی بر TCP بوده و همچنین امکان برخورداری از یک Authentication و چندین Authorization در یک Session را دارد، سربار بیشتری در شبکه خواهد داشت.
RADIUS از مکانیزم های Authentication مبتنی بر EAP Extensible Authentication Protocol پشتیبانی می کند در نتیجه می توان از Dot1x در RADIUS استفاده کرد در حالی که +TACACS از مکانیزم های Authentication مبتنی بر EAP Extensible Authentication Protocol پشتیبانی نمی کند و نمی توان از Dot1x در +TACACS استفاده کرد.
جدول مقایسه تفاوت ها
در جدول زیر مقایسه این دو پروتکل به صورت مختصر آورده شده است :
RADIUS | +TACACS |
یک پروتکل استاندارد می باشد | در ابتدا توسط شرکت سیسکو توسعه داده شد و تنها روی تجهیزات سیسکو پشتیبانی می شد، اما در حال حاضر یک پروتکل استاندارد می باشد |
فرایند هایAuthentication و Authorization با هم ادغام شده اند و هم زمان صورت می گیرند | فرایند های Authentication ،Authorization و Accountability مستقل از هم صورت می گیرند |
از UDP به عنوان پروتکل لایه Transport استفاده می کند | از TCP به عنوان پروتکل لایه Transport استفاده می کند |
از پورت های UDP، 1812 و 1813 / 1645 و 1646 استفاده می کند | از پورت TCP شماره 49 استفاده می کند |
فقط رمز عبور رمزگذاری می شود ولی اطلاعات دیگر مانند نام کاربری، اطلاعات Accounting و … رمزگذاری نمی شوند | تمام محتوای بسته های AAA رمزگذاری می شوند. در نتیجه امن تر است |
برای کاربرد Network Access مناسب می باشد | برای کاربرد Device Administration استفاده می شود |
در فرایند Authorization خود هیچگونه مجوز برای تعیین سطح دسترسی به صورت Command-By-Command را پشتیبانی نمی کند | امکان تعیین سطح دسترسی به صورت Command-By-Command در سوئیچ ها و روتر ها، وجود خواهد داشت |
یک پروتکل Light-weight است که منابع کمتری مصرف می کند | یک پروتکل Heavy-weight است که منابع بیشتری را مصرف می کند |
از مکانیزم های Authentication مبتنی برEAP پشتیبانی می کند در نتیجه می توان از Dot1x در RADIUS استفاده کرد | از مکانیزم های Authentication مبتنی برEAP پشتیبانی نمی کند و نمی توان از Dot1x در +TACACS استفاده کرد |
امیدواریم مقاله آشنایی با تفاوت پروتکل TACACS+ و RADIUS مفید بوده باشد.
داتیس نتورک را در شبکه های اجتماعی خصوصا تلگرام و توییتر دنبال کنید.