1. Introduzione (Introduction)
"Il protocollo Terminal Access Controller Access-Control System Plus (TACACS+)" [RFC8907] fornisce l'amministrazione dei dispositivi per router, server di accesso di rete e altri dispositivi informatici in rete tramite uno o più server TACACS+ centralizzati. Il protocollo fornisce servizi di autenticazione, autorizzazione e contabilità (AAA, Authentication, Authorization, and Accounting) per i client TACACS+ nel caso d'uso dell'amministrazione dei dispositivi.
Il contenuto del protocollo è altamente sensibile e richiede un trasporto sicuro per proteggere un'implementazione. Tuttavia, TACACS+ manca di riservatezza, integrità e autenticazione efficaci della connessione e del traffico di rete tra il server e il client TACACS+. I meccanismi di sicurezza descritti nella Sezione 4.5 di [RFC8907] sono estremamente deboli.
Per affrontare queste carenze, questo documento aggiorna il protocollo TACACS+ per utilizzare l'autenticazione e la crittografia TLS 1.3 [RFC8446], e rende obsoleto l'uso dei meccanismi di offuscamento TACACS+. La maturità di TLS nella versione 1.3 e successive lo rende una scelta adatta per il protocollo TACACS+.
2. Definizioni tecniche (Technical Definitions)
I termini definiti nella Sezione 3 di [RFC8907] sono completamente applicabili qui e non verranno ripetuti. I seguenti termini sono anche utilizzati in questo documento.
Offuscamento (Obfuscation): TACACS+ era originariamente destinato ad incorporare un meccanismo per proteggere il corpo dei suoi pacchetti. L'algoritmo è categorizzato come offuscamento nella Sezione 10.5.2 di [RFC8907]. Il termine è utilizzato per garantire che l'algoritmo non venga confuso con la crittografia. Non deve essere considerato sicuro.
Connessione non-TLS (Non-TLS connection): Questo termine si riferisce alla connessione definita in [RFC8907]. È una connessione senza TLS, che utilizza l'autenticazione e l'offuscamento TACACS+ non sicuri (o l'opzione non offuscata per i test). L'uso del numero di porta host TCP/IP ben noto 49 è specificato come predefinito per le connessioni non-TLS.
Connessione TLS (TLS connection): Una connessione TLS è una connessione TCP/IP con autenticazione e crittografia TLS utilizzata da TACACS+ per il trasporto. Una connessione TLS per TACACS+ è sempre tra un client TACACS+ e un server TACACS+.
Server TLS TACACS+: Questo documento descrive una variante del server TACACS+, introdotta nella Sezione 3.2 di [RFC8907], che utilizza TLS per il trasporto e apporta alcune ottimizzazioni del protocollo associate. Entrambe le varianti del server rispondono al traffico TACACS+, ma questo documento definisce specificamente un server TACACS+ (sia TLS che non-TLS) come legato a un numero di porta specifico su un indirizzo IP o nome host particolare. Questa definizione è importante nel contesto della configurazione dei client TACACS+ per garantire che indirizzino il loro traffico ai server TACACS+ corretti.
Peer (Peer): Il peer di un client TACACS+ (o server) nel contesto di una connessione TACACS+, è un server TACACS+ (o client). Insieme, le estremità di una connessione TACACS+ sono chiamate peer.
2.1. Linguaggio dei requisiti (Requirements Language)
Le parole chiave "deve (MUST)", "non deve (MUST NOT)", "richiesto (REQUIRED)", "deve (SHALL)", "non deve (SHALL NOT)", "dovrebbe (SHOULD)", "non dovrebbe (SHOULD NOT)", "raccomandato (RECOMMENDED)", "non raccomandato (NOT RECOMMENDED)", "può (MAY)" e "opzionale (OPTIONAL)" in questo documento devono essere interpretate come descritto nel BCP 14 [RFC2119] [RFC8174] quando, e solo quando, appaiono in maiuscolo, come mostrato qui.