1. Einführung (Introduction)
"Das Terminal Access Controller Access-Control System Plus (TACACS+) Protokoll" [RFC8907] bietet Geräteverwaltung für Router, Netzwerkzugangsserver und andere vernetzte Computergeräte über einen oder mehrere zentralisierte TACACS+-Server. Das Protokoll bietet Authentifizierungs-, Autorisierungs- und Abrechnungsdienste (AAA, Authentication, Authorization, and Accounting) für TACACS+-Clients im Anwendungsfall der Geräteverwaltung.
Der Inhalt des Protokolls ist hochsensibel und erfordert einen sicheren Transport, um eine Bereitstellung zu schützen. Allerdings fehlt TACACS+ eine effektive Vertraulichkeit, Integrität und Authentifizierung der Verbindung und des Netzwerkverkehrs zwischen dem TACACS+-Server und -Client. Die in Abschnitt 4.5 von [RFC8907] beschriebenen Sicherheitsmechanismen sind äußerst schwach.
Um diese Mängel zu beheben, aktualisiert dieses Dokument das TACACS+-Protokoll zur Verwendung von TLS 1.3-Authentifizierung und -Verschlüsselung [RFC8446] und erklärt die Verwendung von TACACS+-Verschleierungsmechanismen für veraltet. Die Reife von TLS in Version 1.3 und höher macht es zu einer geeigneten Wahl für das TACACS+-Protokoll.
2. Technische Definitionen (Technical Definitions)
Die in Abschnitt 3 von [RFC8907] definierten Begriffe sind hier vollständig anwendbar und werden nicht wiederholt. Die folgenden Begriffe werden auch in diesem Dokument verwendet.
Verschleierung (Obfuscation): TACACS+ war ursprünglich dazu gedacht, einen Mechanismus zur Sicherung des Körpers seiner Pakete zu integrieren. Der Algorithmus wird in Abschnitt 10.5.2 von [RFC8907] als Verschleierung kategorisiert. Der Begriff wird verwendet, um sicherzustellen, dass der Algorithmus nicht mit Verschlüsselung verwechselt wird. Er sollte nicht als sicher betrachtet werden.
Nicht-TLS-Verbindung (Non-TLS connection): Dieser Begriff bezieht sich auf die in [RFC8907] definierte Verbindung. Es handelt sich um eine Verbindung ohne TLS, die die unsichere TACACS+-Authentifizierung und -Verschleierung (oder die unverschleierte Option zum Testen) verwendet. Die Verwendung der bekannten TCP/IP-Hostportnummer 49 ist als Standard für Nicht-TLS-Verbindungen festgelegt.
TLS-Verbindung (TLS connection): Eine TLS-Verbindung ist eine TCP/IP-Verbindung mit TLS-Authentifizierung und -Verschlüsselung, die von TACACS+ für den Transport verwendet wird. Eine TLS-Verbindung für TACACS+ besteht immer zwischen einem TACACS+-Client und einem TACACS+-Server.
TLS-TACACS+-Server: Dieses Dokument beschreibt eine Variante des TACACS+-Servers, die in Abschnitt 3.2 von [RFC8907] eingeführt wurde, die TLS für den Transport nutzt und einige damit verbundene Protokolloptimierungen vornimmt. Beide Servervarianten reagieren auf TACACS+-Verkehr, aber dieses Dokument definiert einen TACACS+-Server (ob TLS oder Nicht-TLS) speziell als an eine bestimmte Portnummer auf einer bestimmten IP-Adresse oder einem Hostnamen gebunden. Diese Definition ist im Kontext der Konfiguration von TACACS+-Clients wichtig, um sicherzustellen, dass sie ihren Verkehr an die richtigen TACACS+-Server leiten.
Peer (Peer): Der Peer eines TACACS+-Clients (oder Servers) im Kontext einer TACACS+-Verbindung ist ein TACACS+-Server (oder Client). Zusammen werden die Enden einer TACACS+-Verbindung als Peers bezeichnet.
2.1. Anforderungssprache (Requirements Language)
Die Schlüsselwörter "muss (MUST)", "darf nicht (MUST NOT)", "erforderlich (REQUIRED)", "muss (SHALL)", "darf nicht (SHALL NOT)", "sollte (SHOULD)", "sollte nicht (SHOULD NOT)", "empfohlen (RECOMMENDED)", "nicht empfohlen (NOT RECOMMENDED)", "kann (MAY)" und "optional (OPTIONAL)" in diesem Dokument sind wie in BCP 14 [RFC2119] [RFC8174] beschrieben zu interpretieren, wenn und nur wenn sie in Großbuchstaben erscheinen, wie hier gezeigt.