AAA

AAA es una arquitectura de sistema, la cual sirve para configurar un conjunto de tres
funciones de seguridad (Authentication, Authorization and Accountig, por sus siglas en
ingles) de una forma coherente. AAA ofrece una forma modular de proveer los
siguientes servicios:
Autenticacin: Proporciona el mtodo de identificacin de usuarios,
incluyendo nombre de usuario y contrasea, desafo y respuesta, soporte de
mensajera, y, segn el protocolo de seguridad que seleccione, puede ofrecer
cifrado.
La autenticacin es la forma en que un usuario se identifica antes de poder
acceder a la red y los servicios que esta ofrece. Configurar la autenticacin
AAA mediante la definicin de una lista llamada mtodos de autenticacin, y
luego aplicando esa lista a varias interfaces. En la lista de mtodos se definen
los tipos de autenticacin a realizar y la secuencia en la que se llevar a cabo,
esto debe ser aplicado a una interfaz especfica antes de que cualquiera de los
mtodos de autenticacin definidos se utilicen. La nica excepcin es la lista
mtodo por defecto (que se denomina "default"). La lista mtodo por defecto es
aplica automticamente a todas las interfaces si ninguna lista de otro mtodo
est definida. Una lista de mtodo definida reemplaza automticamente la lista
de mtodo por defecto.
Todos los mtodos de autenticacin, excepto local, line de contrasea y
habilitacin de la autenticacin, deben ser definidas a travs de AAA.

Autorizacin: Provee el mtodo de control de acceso remoto, incluyendo
autorizacin total o autorizacin para cada servicio, lista de cuentas y perfil por
usuario, soporte para grupos de usuarios, y soporte para IP, IPX, ARA y Telnet.
AAA Autorizacin trabaja agrupando un grupo de atributos que describen lo
que el usuario est habilitado a usar o acceder. Estos atributos son
comparados con la informacin contenida en una base de datos de un usuario
determinado y el resultado se devuelve a AAA para determinar las capacidades
reales de los usuarios y las restricciones. La base de datos se puede localizar
de forma local en el servidor de acceso o Router o puede ser alojado de forma
remota en un servidor de seguridad RADIUS o TACACS+. Los servidores
remotos de seguridad, tales como RADIUS y TACACS+, autorizan a los
usuarios de los derechos especficos mediante la asociacin de atributos de
valor (AV) pares, que definen los derechos con el usuario apropiado. Todos los
mtodos de autorizacin deben ser definidos a travs de AAA.
As como en la autenticacin, configurar AAA Autorizacin es definida por una
lista llamada mtodos de autorizacin, y luego aplicando esa lista a varias
interfaces.

Contabilizacin: Posee un mtodo de recoleccin y envi de informacin al
servidor de seguridad, el cual es usado para facturar, auditar y reportar:
nombres de usuario, tiempo de inicio y final, comandos ejecutados (como
PPP), cantidad de paquetes enviados, y nmero de bytes.
Contabilidad permite realizar el seguimiento de los usuarios que tienen acceso
a los servicios, as como la cantidad de recursos de red que estn
consumiendo. Cuando AAA contabilidad se activa, el acceso a la red del
servidor informa la actividad del usuario a el servidor de seguridad de RADIUS
o TACACS+(segn el mtodo de seguridad que se haya implementado) en la
forma de los registros contables. Cada registro contable se compone de la
contabilidad de pares AV y se almacena en el servidor de control de acceso.
Estos datos pueden ser analizados para la gestin de la red, la facturacin del
cliente, y / o auditora. Todos los mtodos de contabilidad deben ser definidos
a travs de AAA. Al igual que con la autenticacin y autorizacin, se configura
la contabilidad AAA mediante la definicin de una lista llamada mtodos de
contabilidad, y luego la aplicacin de esa lista a varios interfaces.

AAA provee los siguientes beneficios:
Incrementacin de flexibilidad y control de configuracin de acceso.
Escalabilidad.
Mtodos de autorizacin estandarizados, como RADIUS, TACACS+ o
Kerberos.
Mltiples sistemas de backup.

AAA est diseado para que el administrador de la red pueda configurar
dinmicamente el tipo de autenticacin y autorizacin que se quiera, puede ser por
lnea (por usuario) o por servicio (por ejemplo, IP, IPX, o VPDN) base. Para definir el
tipo de autenticacin y autorizacin que se desee, se hace mediante la creacin de
listas de mtodo, a continuacin, la aplicacin de esas listas de mtodo para
determinados servicios o interfaces.

Una lista de mtodo es una lista secuencial que define los mtodos de autenticacin
usados para autenticar usuarios. Las listas de mtodo le permiten designar uno o
varios protocolos de seguridad que se utilizarn para la autenticacin, lo que garantiza
un sistema de copia de seguridad para la autenticacin en caso de que el mtodo
inicial falla. El software utiliza el primer mtodo la lista para autenticar a los usuarios, y
si ese mtodo no responde, el software selecciona el mtodo de autenticacin
siguiente en la lista de mtodos. Este proceso contina hasta que haya una
comunicacin exitosa con un mtodo de autenticacin de la lista o la lista de mtodo
de autenticacin se ha agotado, en los que la autenticacin caso de falla.

Configurar AAA es relativamente simple despus de comprender el proceso bsico.
Para configurar la seguridad en un servidor de acceso o enrutador usando AAA, se
deben seguir los siguientes pasos:
1. Habilitar AAA utilizando el comando de configuracin global AAA New Model.
2. Si decide utilizar un servidor de seguridad independiente, configurar los
parmetros de protocolo de seguridad, tales como RADIUS, TACACS+, o
Kerberos.
3. Definir las listas mtodo para la autenticacin mediante el uso de un comando
de autenticacin AAA.
4. Aplicar el mtodo de listas para una interfaz especfica o una lnea, si es
necesario.
5. (Opcional) Configure la autorizacin con el comando Autorizacin AAA.
6. (Opcional) Configurar la contabilidad mediante el comando Contabilidad AAA.