¿En qué circunstancias o escenario se puede usar el modelo de triple AAA para

controles de acceso?
Las grandes empresas normalmente despliegan sistemas de seguridad distribuidos que
protegen redes y servicios de red frente a accesos no autorizados. Esto garantiza el control
de quién se conecta a la red y qué están autorizados a hacer los usuarios conectados, al
tiempo que permite mantener una pista de auditoría de la actividad de los usuarios.

Los protocolos AAA (Authentication, Authorization, Accounting), como RADIUS (RFC 2865)
y TACACS+ (desarrollado por Cisco), fueron concebidos para resolver estos problemas. La
arquitectura AAA permite el acceso de los usuarios legítimos a los activos conectados a la
red e impide el acceso no autorizado.

La aplicación Secure ACS de Cisco, por ejemplo, permite disponer de protección AAA en el
acceso a red mediante el uso del protocolo TACACS+ en muchas de las grandes
corporaciones.

Autenticación

Los esquemas de ID de usuario / contraseña para redes proporcionan un nivel de seguridad

primitivo. Sólo se configura un número limitado de ID de cuentas y es preciso administrarlas
en cada hardware. Cada vez que se añade, se elimina o se modifica una cuenta, es preciso
acceder individualmente a cada sistema, lo que resulta costoso y aumenta las posibilidades
de cometer errores. Asimismo, cada usuario tiene que recordar su ID y contraseña para
obtener acceso. Si tenemos en cuenta el gran número de ID y contraseñas que los usuarios
deben recordar para distintos fines, esto puede suponer un problema cuando el usuario
necesita obtener acceso en un momento crítico. Dado que las ID y contraseñas se envían a
través de red, cualquier equipo de seguimiento sencillo es capaz de capturar esta
información con facilidad y exponer su red a un riesgo de seguridad.

Al utilizar un sistema AAA se eliminan estos problemas. Todas las ID y contraseñas están
centralizadas y se pueden utilizar las cuentas existentes para acceder a nuevos equipos a
medida que la red cambia o crece. Los procesos de actualización de cuentas ya existentes
eliminan los errores y la frustración de los usuarios. Las ID y contraseñas se cifran mediante
un algoritmo de hash de eficacia contrastada. En consecuencia, sus cuentas estarán a salvo
de intrusiones.

También es posible configurar servidores de autenticación principal y secundaria

redundantes para garantizar el acceso. Dichos servidores pueden ser de tipos diferentes.

Autorización

Tras la autenticación del usuario, la autorización determina los recursos a los que puede
acceder el usuario y las operaciones que puede realizar. Usuario de “Administración” con
acceso de lectura/escritura completa, así como un perfil de usuario “Operador” de solo
lectura, los perfiles pueden configurarse y controlarse desde el servidor de autenticación.
Como proceso centralizado, esto elimina los inconvenientes que plantea la edición en cada
equipo individualmente.

Contabilización

La faceta de contabilización de los servidores AAA proporciona una pista de auditoría de

cómo establecieron los usuarios la conexión, de qué dirección IP procedían y cuánto tiempo
han permanecido conectados. Esto permite a los administradores revisar fácilmente
problemas de seguridad y de acceso operativo que hayan tenido lugar en el pasado.