¿En qué circunstancias o escenario se puede usar el modelo de triple AAA para controles de

acceso?

Las grandes empresas normalmente despliegan sistemas de seguridad distribuidos que

protegen redes y servicios de rd frnte a accesos no autorizados. Est garantiza el control de quien
se conecta a la red y que están autorizados a hacer los usuarios conectadps, al timpo que
permite mantener una pista de auditoría de la actividad de los usuarios.

Los protocolos AAA (Authentication, Authorization, Accounting), como RADIUS (RFC 2865) y
TACACS+ (DESArrollo Cisco), fueron concebidos para resolver estos problemas. La arquitectura
AAA permite el acceso de los usuarios legítimos a los activos conectados a la red e impide el
acceso no autorizado.

La aplicación Secure ACS de Cisco, por ejemplo, permite disponer de protección AAA en el acceso
a red mediante el uso del protocolo TACACS+ en muchas de las grandes corporaciones.

✓ Autenticacion
Los esquemas de ID de usuario / contraseña para redes proporcionan un nivel de seguridad
primitivo. Sólo se configura un número limitado de ID de cuentas y es preciso administrarlas en
cada hardware. Cada vez que se añade, se elimina o se modifica una cuenta, es preciso acceder
individualmente a cada sistema, lo que resulta costoso y aumenta las posibilidades de cometer
errores. Asimismo, cada usuario tiene que recordar su ID y contraseña para

obtener acceso. Si tenemos en cuenta el gran número de ID y contraseñas que los usuarios
deben recordar para distintos fines, esto puede suponer un problema cuando el usuario necesita
obtener acceso en un momento crítico. Dado que las ID y contraseñas se envían a través de red,
cualquier equipo de seguimiento sencillo es capaz de capturar esta información con facilidad y
exponer su red a un riesgo de seguridad. Al utilizar un sistema AAA se eliminan estos problemas.
Todas las ID y contraseñas están centralizadas y se pueden utilizar las cuentas existentes para
acceder a nuevos equipos a medida que la red cambia o crece. Los procesos de actualización de
cuentas ya existentes eliminan los errores y la frustración de los usuarios. Las ID y contraseñas
se cifran mediante un algoritmo de hash de eficacia contrastada. En consecuencia, sus cuentas
estarán a salvo de intrusiones. También es posible configurar servidores de autenticación
principal y secundaria redundantes para garantizar el acceso. Dichos servidores pueden ser de
tipos diferentes.

✓ Autorización

Tras la autenticación del usuario, la autorización determina los recursos a los que puede acceder
el usuario y las operaciones que puede realizar. Usuario de “Administración” con acceso de
lectura/escritura completa, así como un perfil de usuario “Operador” de solo lectura, los perfiles
pueden configurarse y controlarse desde el servidor de autenticación. Como proceso
centralizado, esto elimina los inconvenientes que plantea la edición en cada equipo
individualmente.

✓ Contabilización

La faceta de contabilización de los servidores AAA proporciona una pista de auditoría de cómo
establecieron los usuarios la conexión, de qué dirección IP procedían y cuánto tiempo han
permanecido conectados. Esto permite a los administradores revisar fácilmente problemas de
seguridad y de acceso operativo que hayan tenido lugar en el pasado.