TACACS + requiere que se configure una clave precompartida (la longitud de la clave está restringida a 63 caracteres). Así es como el dispositivo se autentica en el servidor. Esto no es 'desafío-respuesta'.
Esta clave precompartida se usa para configurar el cifrado que cifra todo el paquete, lo que significa que los nombres de usuario y las contraseñas están protegidos desde el principio.
Se explica cómo se encripta en la RFC en la sección "Cifrado del cuerpo". Es una versión de One Time Pad.
En este caso, el cuerpo del paquete está cifrado mediante XOR, lo que se hace por bytes.
con un pad pseudo aleatorio.
ENCRYPTED {data} == data ^ pseudo_pad
El pad se genera concatenando una serie de hashes MD5 (cada uno
16 bytes de largo) y truncándolo a la longitud de los datos de entrada.
Siempre que se utilice en este documento, MD5 se refiere a los "Datos RSA"
Security, Inc. MD5 Message-Digest Algorithm "como se especifica en [3].
pseudo_pad = {MD5_1 [ MD5_2 [..., MD5_n]]} truncado a len (datos)
El primer hash MD5 se genera concatenando el session_id,
La clave secreta, el número de versión y el número de secuencia y luego
ejecutando MD5 sobre esa corriente. Todos esos valores de entrada son
disponible en el encabezado del paquete, excepto por la clave secreta que está
un secreto compartido entre el cliente TACACS + y el demonio.
El número de versión es la combinación de un byte de los principales y
números de versión menores.
El identificador de sesión se usa en el orden de bytes en el que aparece en el
TACACS + cabecera. (es decir, en orden de bytes de red, no en orden de bytes de host).
Los hashes posteriores se generan usando el mismo flujo de entrada, pero
concatenando el valor de hash anterior al final del flujo de entrada.
MD5_1 = MD5 {session_id, clave, versión, seq_no}
MD5_2 = MD5 {session_id, clave, versión, seq_no, MD5_1}
....
MD5_n = MD5 {session_id, clave, versión, seq_no, MD5_n-1}
El proceso de autenticación del usuario se describe aquí:
enlace
Actualización 01.03.2018:
Parece que Cisco ha actualizado TACACS + y los usuarios ahora pueden encrypse de los objetos de trabajo en el mundo. Hasta ahora esto solo encripta las contraseñas. No cambia el cifrado de la carga útil del protocolo TACACS + . Pero es algo Tenga en cuenta que no todos los productos pueden hacer uso de esto.