Protección del acceso administrativo con AAA

Para evitar que usuarios malintencionados obtengan acceso a equipos de red y servicios sensibles, los administradores deben habilitar el control de acceso. El control de acceso limita a las personas o los dispositivos que pueden utilizar recursos específicos. También limita los servicios o las opciones que están disponibles después de que se concede el acceso.

Existen diferentes métodos para implementar la autenticación en un dispositivo Cisco, y cada método ofrece varios niveles de seguridad. El marco de trabajo de autenticación, autorización y auditoría (AAA) se usa para proteger el acceso de los dispositivos. La autenticación de AAA puede usarse para autenticar a los usuarios para el acceso administrativo o puede usarse para autenticar a los usuarios para el acceso remoto a la red.

Cisco ofrece dos métodos comunes de implementar servicios de AAA:

  • Autenticación de AAA local: AAA local usa una base de datos local para la autenticación. Este método se conoce a veces como autenticación autónoma. Este método almacena los nombres de usuario y las contraseñas a nivel local en el router de Cisco, y los usuarios se autentican con la base de datos local. AAA local es ideal para las redes pequeñas.

  • Autenticación de AAA basada en servidor: la autenticación de AAA basada en servidor es una solución mucho más escalable. Con el método basado en servidor, el router accede a un servidor central de AAA. El servidor de AAA tiene los nombres de usuario y las contraseñas para todos los usuarios y actúa como sistema de autenticación centralizado para todos los dispositivos de la infraestructura.

En la figura 1 se muestra cómo funciona la autenticación de AAA local:

  • El cliente establece una conexión con el router.

  • El router AAA pide al usuario un nombre de usuario y una contraseña.

  • El router autentica el nombre de usuario y la contraseña con la base de datos local, y el usuario obtiene acceso a la red en función de la información de la base de datos local.

En la figura 2 se muestra el funcionamiento de la autenticación de AAA basada en servidor:

  • El cliente establece una conexión con el router.

  • El router AAA pide al usuario un nombre de usuario y una contraseña.

  • El router autentica el nombre de usuario y la contraseña mediante un servidor de AAA remoto.

Como se muestra en la figura 3, el router habilitado por AAA usa el protocolo de sistema de control de acceso del controlador de acceso a terminales (TACACS+) o el protocolo de servicio de autenticación remota para usuarios de entrada telefónica (RADIUS) para comunicarse con el servidor de AAA. Mientras ambos protocolos pueden usarse para la comunicación entre un router y los servidores AAA, TACACS+ se considera el protocolo más seguro. Esto se debe a que se cifran todos los intercambios de protocolos TACACS+, mientras que RADIUS solo cifra la contraseña del usuario. RADIUS no cifra nombres de usuario, información de la cuenta, o cualquier otra información que contenga el mensaje de RADIUS.

Nota: Para obtener más información sobre AAA, consulte el curso de Seguridad CCNA (CCNA Security).