Warum TACACS+ heute unverzichtbar ist
Wer Netzwerkgeräte – Switches, Router, Firewalls – in einer professionellen Infrastruktur betreibt, braucht eine klare Antwort auf die Frage: Wer darf was konfigurieren, und wie wird das lückenlos protokolliert?
Die Antwort lautet TACACS+ – das Protokoll für Authentication, Authorization und Accounting (AAA), das Cisco-Geräte und viele andere Netzwerkkomponenten nativ beherrschen. Mit RFC 8907 wurde es 2020 sauber standardisiert; RFC 9887 ergänzt nun eine moderne TLS-1.3-Absicherung.
TACACS+ setzt konsequent auf Least Privilege – ein Prinzip, das im Kontext moderner Zero-Trust-Architekturen wichtiger ist denn je: Die richtigen Personen erhalten exakt die Berechtigungen, die sie benötigen – nicht mehr. Im Gegensatz zu RADIUS ermöglicht TACACS+ diese feingranulare Steuerung auf Befehls- und Geräteebene direkt im Protokoll. Management-Sessions werden sauber getrennt, jede Aktion wird vollständig protokolliert. Für Umgebungen unter NIS2 und KRITIS-Anforderungen ist das kein Nice-to-have, sondern Pflicht.
Open Source – entwickelt von inducio, integriert von extocode
inducio entwickelt einen vollständig RFC-konformen TACACS+-Server als Open-Source-Projekt. Der Quellcode wird öffentlich auf GitHub bereitgestellt – transparent, prüfbar und frei nutzbar. Wer den Server eigenständig betreiben möchte, kann das unabhängig von jeder weiteren Plattform tun.
Für Kunden, die eine vollständige Netzwerksicherheitsplattform suchen, wird der Server zusätzlich als natives Modul in die COD-Plattform integriert – gemeinsam mit COD-NAC, COD-Firewall und COD-Network für eine nahtlose, zentrale Verwaltung.
Aktueller Entwicklungsstand
Fertig: Management-API
Die REST-API für die vollständige Konfigurationsverwaltung steht – Benutzer, Gruppen, Geräte, ACLs und Regeln sind programmatisch verwaltbar.
Fast fertig: Web-UI
Die Administrationsoberfläche ist weitgehend abgeschlossen. Noch ausstehend: Drag & Drop für Regelreihenfolgen – steht kurz vor der Fertigstellung.
In Entwicklung: TACACS+-Server-Kern
Der eigentliche Daemon, der Verbindungen von Netzwerkgeräten entgegennimmt und permit / deny antwortet, befindet sich in aktiver Entwicklung.
Geplant: TACACS+ over TLS (RFC 9887)
Als Erweiterung folgt die Implementierung von TACACS+ over TLS – mit TLS 1.3 als Pflichtanforderung. Für Management-Traffic über WAN-Strecken oder untrusted Segmente ist das in regulierten Umgebungen zunehmend unerlässlich.
Fazit
Mit dem inducio TACACS+-Server entsteht ein offener, RFC-konformer Baustein für sichere Netzwerkinfrastrukturen – frei nutzbar als Standalone-Lösung und als COD-Modul für Organisationen, die eine vollständige Netzwerksicherheitsplattform suchen.