El acrónimo AAA, por Autenticación, autorización y auditoríaen inglés Autenticación, autorización, contabilidad, es un marco de seguridad que controla el acceso a los recursos informáticos, aplica las políticas de seguridad y audita su uso.
🎯 ¿Para qué sirve la AAA?
El AAA y sus procesos combinados desempeñan un papel fundamental en la gestión de redes y la ciberseguridad al seleccionar a los usuarios y supervisar su actividad mientras están conectados.
El marco AAA y la seguridad AAA resultante se aplican a varios conceptos:
- Marco AAA (Marco AAA): es el conjunto de mecanismos y procesos que implementan las funciones de Autenticación, Autorización y Auditoría. Define la arquitectura y los componentes necesarios para controlar el acceso a los recursos y garantizar la trazabilidad de las acciones.
- Servidor AAA (Servidor AAA): un servidor dedicado que centraliza las funciones AAA. Como herramienta de gestión de identidades y accesos (IAM), un servidor AAA recibe solicitudes de autenticación, verifica las credenciales, autoriza el acceso según las políticas definidas y registra los eventos con fines de auditoría. RADIUS y TACACS+ son ejemplos de protocolos utilizados por los servidores AAA.
- Protocolo AAA (Protocolo AAA): protocolo de comunicación utilizado para transportar información de autenticación, autorización y auditoría entre los clientes (por ejemplo, un router o un punto de acceso Wi-Fi) y el servidor AAA. Los ejemplos más comunes son RADIUS, TACACS+ y Diameter.
- Cliente AAA (Cliente AAA): equipo de red (enrutador, conmutador, punto de acceso, etc.) o una aplicación que inicia solicitudes de autenticación al servidor AAA.
- Servicio AAA (Servicio AAA): servicio global que proporciona funciones de autenticación, autorización y auditoría. Abarca la infraestructura, los protocolos y las políticas vigentes.
Cómo funciona
Cómo funciona1. Autenticación (¿Quién es usted?)
- Definición: La autenticación es el proceso de verificación de la identidad de un usuario, dispositivo o proceso que intenta acceder a un sistema. Consiste en demostrar que la entidad es quien dice ser.
- Cómo funciona : autenticación se basa en el uso de diferentes factores :
- Contraseña : información secreta conocida por el usuario. (Factor de conocimiento)
- Tarjeta inteligente, ficha, tarjeta de identificación : objeto físico que posee el usuario (factor de posesión)
- Datos biométricos (huella dactilar, reconocimiento facial, escáner de retina) : características físicas propias del usuario. (Factor inherente)
- Autenticación multifactor (AMF) : combinación de al menos dos de estos factores para aumentar la seguridad.
👉 Ejemplos: introducir una contraseña para acceder a una cuenta de correo electrónico, utilizar un código recibido por SMS además de la contraseña (MFA), utilizar una huella dactilar para desbloquear un teléfono.
2. Autorización (¿Qué puede hacer?)
- Definición: La autorización determina las acciones que un usuario autenticado puede realizar una vez conectado al sistema. Define los permisos y las restricciones de acceso a los recursos.
- Cómo funciona : La autorización se basa en políticas y normas que definen los derechos de acceso en función de la función del usuario, su grupo de pertenencia u otros atributos.
👉 Ejemplos: un usuario con rol de "administrador" tendrá plenos derechos de acceso al sistema, mientras que un usuario con rol de "invitado" tendrá derechos limitados. Acceso de sólo lectura a un archivo, pero no de escritura.
3. Auditoría (¿Quién hizo qué?) :
- Definición: La auditoría consiste en registrar y controlar las actividades de los usuarios y los sistemas. Permite llevar un registro de los eventos, accesos, modificaciones y acciones realizadas.
- Cómo funciona : La auditoría se basa en la recopilación de logs (registros de eventos) que registran información relevante. Estos registros pueden analizarse para detectar anomalías, intrusiones o comportamientos sospechosos.
👉 Ejemplos: registro de las conexiones y desconexiones de los usuarios, registro de los cambios realizados en los archivos, supervisión del acceso a las bases de datos.
✔ Ventajas del marco AAA
- Mayor seguridad : Combinando autenticación, autorización y auditoría, podemos implantar un control de acceso más sólido y una mejor trazabilidad de las acciones.
- Gestión centralizada de accesos : facilita la administración de los derechos de acceso y la aplicación de políticas de seguridad.
- Mayor responsabilidad : la auditoría ayuda a identificar a los autores de las acciones y a exigir responsabilidades a los usuarios.
- Detección de intrusos : El análisis de los registros de auditoría puede revelar intentos de intrusión o actividades maliciosas.
- Cumplimiento de la normativa : numerosas normativas (RGPDHIPAA, etc.) exigen la implantación de mecanismos de autenticación, autorización y auditoría.
Protocolos AAA
Existen varios protocolos AAA utilizados en redes informáticas para implementar las funciones de Autenticación, Autorización y Auditoría. He aquí los principales tipos:
1. RADIUS (Servicio de autenticación remota por marcación de usuario) :
- Descripción : RADIUS es un protocolo cliente/servidor estandarizado y ampliamente utilizado para autenticar y autorizar el acceso a redes. Se utiliza a menudo para el acceso remoto (VPNWi-Fi, etc.).
- Cómo funciona : un cliente RADIUS (generalmente un dispositivo de red como un router o un punto de acceso Wi-Fi) transmite la información de autenticación del usuario a un servidor RADIUS. El servidor comprueba la información y devuelve una respuesta autorizando o denegando el acceso. RADIUS utiliza UDP como protocolo de transporte.
Beneficios : estándar abierto, ampliamente soportado, escalable.
Desventajas : menos seguro que TACACS+ porque sólo cifra la contraseña y no toda la comunicación.
2. TACACS+ (Terminal Access Controller Access-Control System Plus) :
- Descripción : TACACS+ es un protocolo propietario de Cisco, pero se ha convertido en un estándar de facto. Ofrece mayor seguridad y flexibilidad que RADIUS.
- Cómo funciona : TACACS+ separa las funciones de autenticación, autorización y auditoría, lo que permite una gestión de accesos más detallada. Utiliza TCP como protocolo de transporte y cifra toda la comunicación.
Beneficios : más seguro que RADIUS (codificación más flexible para gestionar las autorizaciones.
Desventajas : que históricamente ha sido propiedad de Cisco, aunque existen implementaciones de código abierto.
RADIUS frente a TACACS+ :
| Características | RADIUS | TACACS |
| Protocolo de transporte | UDP | TCP |
| Cifrado | Sólo con contraseña | Comunicación global |
| Funciones AAA | Combinado | Separe |
| Ayuda | Norma abierta, amplio apoyo | Principalmente Cisco, pero existen implementaciones de código abierto |
| Uso típico | Acceso a la red (VPN, Wi-Fi), acceso a Internet | Administración de equipos de red (enrutadores, conmutadores) |
3. Diámetro
- Descripción : Diameter es un protocolo AAA más reciente, diseñado para sustituir a RADIUS. Ofrece características más avanzadas, sobre todo en términos de fiabilidad, seguridad y extensibilidad.
- Cómo funciona : Diameter utiliza TCP y ofrece mecanismos de transporte más robustos que RADIUS. También admite funciones avanzadas como la gestión de sesiones y la contabilidad en tiempo real.
Beneficios : es más potente y fiable que RADIUS, y admite funciones avanzadas.
Desventajas : más complejo de implementar que RADIUS.
Otros protocolos y tecnologías relacionados con AAA :
- Kerberos : Protocolo de autenticación de red que utiliza "tickets" para autenticar usuarios y servicios. Se utiliza a menudo en Microsoft Directorio Activo.
- LDAP (Protocolo ligero de acceso a directorios) : protocolo de directorio que proporciona acceso a servicios de directorio para autenticación y autorización.
- SAML (Lenguaje de marcado de aserción de seguridad) : Norma abierta para el intercambio de datos de autenticación y autorización entre distintos dominios de seguridad. Se utiliza para el inicio de sesión único (SSO).
- OAuth (Open Authorization) y OpenID Connect (OIDC): Marcos modernos de autorización y autenticación utilizados para delegar el acceso a recursos sin compartir credenciales. Se utilizan habitualmente en aplicaciones web y móviles.
Elección del protocolo
La elección del protocolo AAA depende de las necesidades específicas de la organización:
- RADIUS : Solución sencilla y ampliamente compatible para el acceso básico a la red.
- TACACS+ : Una solución más segura y flexible para gestionar los equipos de red.
- Diámetro : Una solución escalable y de alto rendimiento para entornos complejos.
