<div>:)</div>
<div> </div>
<div>Wasn't suggesting I'd use TACACS+.  I am in the process of replacing my customers existing TACACS+ architecture however they keep coming back to the ability of TACACS+ over Radius to secure, or rather, not send accounting data across the network in the clear.  (I assume this is the case)  I think I'm going to have to address this over and over again.</div>

<div> </div>
<div>N<br><br></div>
<div class="gmail_quote">On Mon, Aug 9, 2010 at 12:52 PM, Michael Lecuyer <span dir="ltr"><<a href="mailto:mjl@iterpacis.org">mjl@iterpacis.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">We would be stuck with static weak security built in to RADIUS just like TACACS uses.<br><br>There are options for securely tunneling RADIUS packets that weren't available in the early years. Secure tunneling doesn't require changes to the RADIUS protocol. The EAP-TLS extension alone has made most of RADIUS secure.<br>
<br>For TACACS changing the encoding means re-writing every client and server. Tunneling TCP through SSL takes way too many packets to efficiently perform a large number of each separate authentication, authorization and accounting transaction.<br>
<br>Built in transport security is a bad idea. For TACACS it is the only way since PAP/ASCII authentication and password changes really are sent in plain text.<br><br>Please, no more talk of TACACS. Its not a good example of anything.<br>
<br>Natr Brazell wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div class="im">Curious why we're fortunate?  Could you elaborate some? <br></div>
<div class="im">On Sun, Aug 8, 2010 at 10:01 PM, Michael Lecuyer <<a href="mailto:mjl@iterpacis.org" target="_blank">mjl@iterpacis.org</a> <mailto:<a href="mailto:mjl@iterpacis.org" target="_blank">mjl@iterpacis.org</a>>> wrote:<br>
<br>   TACACS+ uses an MD5 pad based on the session ID, shared secret,<br>   TACACS+ version, and packet sequence number. This is XOR'd over the<br>   packet.  The pad is in multiples of the MD5 hash length.<br><br>   The header is sent plain text and includes the sequence number, the<br>
   session ID and version number.<br><br>   Encoding and decoding are symmetrical. It is not considered strong<br>   encoding.<br><br>   We're all fortunate RADIUS doesn't use this to encode packets.<br><br>   Natr Brazell wrote:<br>
</div></blockquote>
<div>
<div></div>
<div class="h5"><br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br></div></div></blockquote></div><br>