¿Cómo funciona exactamente el cifrado TACACS +?

1

Estoy tratando de entender cómo funciona el cifrado TACACS +. He leído el borrador de Cisco TACACS + RFC pero es demasiado técnico y no es muy fácil de entender. Mis preguntas son:

  1. ¿El dispositivo TACACS + (cliente) se autentica ante el servidor antes de enviar alguna solicitud? ¿Está utilizando alguna técnica de desafío-respuesta y qué algoritmos se utilizan para cifrar los paquetes de desafío / respuesta?

  2. ¿Qué sucede cuando un usuario intenta iniciar sesión en un dispositivo con TACACS +? ¿Cómo se envían las solicitudes? ¿Está todo el paquete incluido el nombre de usuario + contraseña cifrado y qué algoritmo de cifrado se utiliza?

pregunta ConnectingPeople 14.11.2017 - 09:29
fuente

1 respuesta

1

TACACS + requiere que se configure una clave precompartida (la longitud de la clave está restringida a 63 caracteres). Así es como el dispositivo se autentica en el servidor. Esto no es 'desafío-respuesta'.

Esta clave precompartida se usa para configurar el cifrado que cifra todo el paquete, lo que significa que los nombres de usuario y las contraseñas están protegidos desde el principio.

Se explica cómo se encripta en la RFC en la sección "Cifrado del cuerpo". Es una versión de One Time Pad.

  

En este caso, el cuerpo del paquete está cifrado mediante XOR, lo que se hace por bytes.   con un pad pseudo aleatorio.

     

ENCRYPTED {data} == data ^ pseudo_pad

     

El pad se genera concatenando una serie de hashes MD5 (cada uno   16 bytes de largo) y truncándolo a la longitud de los datos de entrada.

     

Siempre que se utilice en este documento, MD5 se refiere a los "Datos RSA"   Security, Inc. MD5 Message-Digest Algorithm "como se especifica en [3].

     

pseudo_pad = {MD5_1 [ MD5_2 [..., MD5_n]]} truncado a len (datos)

     

El primer hash MD5 se genera concatenando el session_id,   La clave secreta, el número de versión y el número de secuencia y luego   ejecutando MD5 sobre esa corriente. Todos esos valores de entrada son   disponible en el encabezado del paquete, excepto por la clave secreta que está   un secreto compartido entre el cliente TACACS + y el demonio.

     

El número de versión es la combinación de un byte de los principales y   números de versión menores.

     

El identificador de sesión se usa en el orden de bytes en el que aparece en el   TACACS + cabecera. (es decir, en orden de bytes de red, no en orden de bytes de host).

     

Los hashes posteriores se generan usando el mismo flujo de entrada, pero   concatenando el valor de hash anterior al final del flujo de entrada.

     

MD5_1 = MD5 {session_id, clave, versión, seq_no}

     

MD5_2 = MD5 {session_id, clave, versión, seq_no, MD5_1}

     

....

     

MD5_n = MD5 {session_id, clave, versión, seq_no, MD5_n-1}

El proceso de autenticación del usuario se describe aquí:

enlace

Actualización 01.03.2018:

Parece que Cisco ha actualizado TACACS + y los usuarios ahora pueden encrypse de los objetos de trabajo en el mundo. Hasta ahora esto solo encripta las contraseñas. No cambia el cifrado de la carga útil del protocolo TACACS + . Pero es algo Tenga en cuenta que no todos los productos pueden hacer uso de esto.

    
respondido por el schroeder 14.11.2017 - 09:46
fuente

Lea otras preguntas en las etiquetas