AAA (Authentication, Authorization and Accounting) es un modelo de seguridad fundamental que permite controlar el acceso a dispositivos y recursos de red de forma centralizada y segura.
Este enfoque se basa en tres pilares clave:
Autenticación (¿Quién eres?)
La autenticación verifica la identidad del usuario antes de permitir el acceso al sistema.
Se realiza mediante credenciales como:
- Usuario y contraseña
- Tokens o autenticación multifactor (MFA)
- Certificados digitales
Ejemplo: un ingeniero accediendo a un router mediante SSH con su usuario y contraseña.
Autorización (¿Qué puedes hacer?)
Una vez autenticado, el sistema determina qué acciones puede realizar el usuario.
Esto se define mediante roles o niveles de privilegio.
Ejemplo típico:
- Administrador: acceso completo (configuración, cambios, monitoreo)
- Usuario: acceso limitado (solo consulta o comandos básicos)
Contabilidad (¿Qué hiciste?)
La contabilidad registra todas las actividades del usuario dentro del sistema.
Incluye:
- Comandos ejecutados
- Tiempo de inicio y cierre de sesión
- Cambios realizados
Esto es clave para auditoría, cumplimiento y análisis de seguridad.
Protocolos AAA: TACACS+ vs RADIUS
Los protocolos AAA permiten que los dispositivos de red se comuniquen con un servidor central de autenticación.
Los dos más utilizados son:
TACACS+ (ideal para administración de red)
- Utiliza TCP (puerto 49)
- Encripta todo el contenido del paquete
- Separa completamente autenticación, autorización y contabilidad
- Ofrece mayor control y flexibilidad
Uso recomendado:
Administración de dispositivos de red como routers y switches.
Ejemplo: ingenieros accediendo a equipos Cisco para configuración.
RADIUS (ideal para acceso de usuarios)
- Utiliza UDP (puertos 1812 y 1813)
- Solo encripta la contraseña
- Combina autenticación y autorización
- Más ligero y ampliamente soportado
Uso recomendado:
Acceso de usuarios a servicios como WiFi o VPN.
Ejemplo: empleados conectándose a la red inalámbrica corporativa.
Comparación rápida: TACACS+ vs RADIUS
| Característica | TACACS+ | RADIUS |
|---|---|---|
| Protocolo | TCP | UDP |
| Encriptación | Todo el paquete | Solo la contraseña |
| Separación AAA | Sí | No |
| Caso de uso ideal | Administración de red | Acceso de usuarios |
Caso de uso en un entorno empresarial
En una empresa típica:
- Los administradores acceden a routers/switches mediante TACACS+
- Los usuarios se conectan a WiFi o VPN mediante RADIUS
- Toda la actividad se registra en un servidor AAA centralizado
- Los dispositivos cliente (PCs) acceden a la red según sus permisos
¿Cómo funciona AAA? (Flujo básico)
- El usuario inicia conexión (por ejemplo, SSH desde un PC hacia un router).
- El dispositivo de red envía la solicitud al servidor AAA.
- El servidor valida las credenciales (autenticación).
- Se asignan permisos según el perfil (autorización).
- Se registra toda la actividad (contabilidad).
- El usuario accede al sistema según sus privilegios.
Conclusión
El modelo AAA es esencial para cualquier infraestructura moderna porque permite:
- Controlar quién accede a la red
- Definir qué acciones puede realizar cada usuario
- Auditar toda la actividad
Implementar AAA correctamente mejora la seguridad, el control y la trazabilidad en entornos empresariales.
Preguntas frecuentes (FAQ)
¿Qué significa AAA en redes?
AAA significa Autenticación, Autorización y Contabilidad, un modelo de seguridad para controlar acceso y registrar actividad en redes.
¿Para qué sirve AAA?
Sirve para validar usuarios, definir permisos y registrar acciones dentro de la red.
¿Cuál es la diferencia entre TACACS+ y RADIUS?
TACACS+ separa los procesos AAA y encripta todo el tráfico, mientras que RADIUS combina funciones y solo encripta la contraseña.
¿Dónde se usa AAA?
En routers, switches, redes WiFi, VPN y entornos empresariales.
¿AAA mejora la segurida
Sí, porque permite control centralizado, auditoría y gestión de accesos.
Acerca del autor
