AAA
Este protocolo
tiene 3 funciones principales;]
- Autenticación
- Autorización
- Contabilización
Esto quiere decir
que se convierte en una familia de tres servicios citados.
1.
Autenticación: en si este es un
proceso muy redundada puesto que se trata de que una identidad pruebe su
identidad ante otra.
Principalmente
la autenticación se consigue en la presentación de una propuesta de identidad y
que pueda ser comprobada con la muestra de posesión de las credenciales.
¿A
qué se refiere con las credenciales? Son simplificados como las contraseñas,
certificados digitales o números de teléfonos en la identificación de llamadas.
Sin
embargo actualmente, ya se permiten mostrar la posesión de credenciales sin
necesidad de que se trasmitan por la red.
1.
AUTORIZACION: Son los privilegios
que una identidad o usuario tienen basándose en su identidad, sus privilegios y
estado actual del sistema. También se pueden basar en restricciones como la
prohibición de logins multiples simultaneos.
2.
CONTABILIZACION: Esta se basa principalmente
al consumo de los recursos de red por los usuarios. La información se puede
usar después por la administración, planificación o en cualquier caso que se le
requiere.
Entonces
la contabilización de tiempo real es aquella en la que los datos generados se
entregan al mismo tiempo en la que los recursos se producen.
EMPRESAS: Las empresas garantizan el control
de quién se conecta a la red y qué están autorizados a hacer los usuarios
conectados, al tiempo que permite mantener una pista de auditoría de la
actividad de los usuarios.
AUTENTICACION: Es la autenticación
remota más conocida. Utiliza el puerto UDP 1812 UDP y funciona como
cliente-servidor.
Estas conexiones se
encuentran tanto inalámbricas como con cablemodems. RADIUS recibe la
información de credenciales de acceso por medio del protocoloPPP a través
de un servidor conocido como Network Access Server, que redirige el pedido
a un servidor RADIUS con el propio protocolo RADIUS. Este comprueba que la
información sea correcta mediante otros mecanismos de autenticación (PAP, CHAP o EAP)
y, en caso de ser aceptada, autoriza al cliente a acceder al sistema y le
provee los recursos necesarios, como una dirección IP. RADIUS permite manejar
sesiones, lo cual es útil para la medición de tiempo para facturación, como en
hoteles o ISPs.
RADIUS
Componentes
de la infraestructura RADIUS
Los siguientes
componentes forman parte de la infraestructura de autenticación, autorización y
cuentas RADIUS:
·
Clientes de acceso
·
Servidores de acceso (clientes
RADIUS)
·
Proxy RADIUS
·
Servidores RADIUS
·
Bases de datos de cuentas de usuario
Estos componentes
se muestran en la ilustración siguiente.
TACACS
Es un sistema
terminal de control de acceo, además de ser un conjunto de protocolo creado con
la intención de controlar el acceso a los terminales UNIX. Cisco ha creado un
nuevo protocolo llamado TACACS +, que fue lanzado como un estándar abierto en
la década de 1990.
Un ejemplo es un
switch Cisco autenticar y autorizar el acceso administrativo al del interruptor
de IOS CLI. El interruptor es el cliente de TACACS + y Cisco Secure ACS es el
servidor.
Uno de los
diferenciadores clave de TACACS + es su capacidad para separar la
autenticación, autorización y contabilidad como funciones separadas e
independientes. Esta es la razón por TACACS + se utiliza tan comúnmente para la
administración del dispositivo, a pesar de que todavía RADIUS es sin duda capaz
de proporcionar AAA administración del dispositivo.
RADIUS vs TACACS
RADIUS está
diseñado para el acceso a la red de AAA y TACACS + está diseñado para la
administración del dispositivo.
REFERENCIAS:
