1716972821 1

EL PROPÓSITO DE LA AAA
Giovanny Díaz
([email protected])

el mercado son los denominados TACACS+, RADIUS y
Resumen -El perfeccionamiento de una nueva estructura de DIAMETER utilizados como base para el control de acceso y
privacidad y resguardo de los datos, en las redes de administración de dispositivos[4], por lo que se hace necesario
telecomunicaciones a generado grandes avances, que involucran el estudio y análisis de las características y funcionamiento de
toda una jerarquía de protocolos con el único fin de satisfacer los mismos, para asegurar el éxito de las existentes y futuras
cada una de las necesidades de seguridad. El presenta articulo
analiza y evalúa el desempeño, cumplimiento y propósito de la implementaciones que los administradores de redes de
seguridad en redes por medio de AAA (Authentication, telecomunicaciones puedan tener a cargo.
Authorization, Accounting) con los protocolos TACACS+,
RADIUS y DIAMETER Esta investigación tiene como objetivo hacer una
comparación específica de estos dos protocolos, detallando
inicialmente sus características de funcionamiento, ventajas,
Índice de Términos – AAA, Authentication, Authorization,
desventajas y aplicaciones, para de esta forma contar con
Accounting, jerarquía, TACACS+, RADIUS
criterios suficientes y emitir una referencia propósito de la
seguridad en redes por medio de AAA.
I. INTRODUCCION

D ebido al desarrollo de las tecnologías, la tendencia hacia

II. DESARROLLO

la interconectividad e interoperabilidad de redes y el auge de PROTOCOLOS DE SEGURIDAD AAA

aplicaciones orientadas al manejo de almacenamiento,
procesamiento y distribución de información[1] confidencial Los servicios AAA son protocolos de comunicación de
en las redes de telecomunicaciones locales y públicas redes que se caracterizan explícitamente por la prestación de
(internet), se ha convertido en campo primordial para los los siguientes servicios en términos de seguridad:
administradores de las redes asegurar que la información no
pueda ser vista, analizada, o robada y se ponga en riesgo la Autenticación. La autenticación busca corroborar que el
integridad y confidencialidad exigida por parte de usuarios y usuario corresponda con el registrado en la red. Se define
clientes finales. como un proceso entre dos entidades, una de ellas da a
conocer su identidad y la otra lo verifica.
Teniendo en cuenta lo anterior, los fabricantes y empresas
desarrolladoras han creado y actualizado esquemas y flujos de Autorización. Una vez el usuario se ha autenticado por parte
seguridad de la información que tienen como objetivo de una de las entidades, se pasa a delimitar a que sitios este
garantizar la disponibilidad y accesibilidad de los datos, su puede acceder y a cuáles no. Las aplicaciones o permisos de
integridad, confidencialidad y confiabilidad[2]. autorización lo determina el servidor del servicio y varía de
acuerdo a políticas propias de las entidades.
Como otra premisa importante se debe garantizar un estricto
control de acceso a la información en donde se controla de la Auditoria. En este punto se realiza un estudio de los recursos
interacción entre los usuarios y los recursos del sistema[3]; usados por el usuario.
razón por la cual se implementan soluciones AAA en donde se Existen múltiples protocolos propios de los servicios AAA;
asegura un estricto proceso de autenticación, autorización y aparte de ello existen otros que combinan las características de
los mismos con otros para convertirlos en sistemas más
control para el usuarios que quieran disponer y/o acceder a la
robustos[5].
información.

Para este tipo de soluciones AAA, durante el transcurso de

los años, se han desarrollado diferentes protocolos que se
integran al esquema de seguridad en las implementaciones de DIAMETER
soluciones finales, permitiendo cumplir con las premisas Protocolos
RADIUS
descritas anteriormente. AAA
TACACS+
Los protocolos AAA con mayor desarrollo y utilización en Tabla 1. Protocolos de Seguridad AAA

 1716972821 2

A. Protocolo TACACS+ el nivel de privilegios que determina el nivel de acceso del

administrador durante la sesión.
TACACS+ (Terminal Access Controller Access Control
System) emplea una gestión de red simplificada
incrementando su seguridad al permitir centralizar la B. Protocolo RADIUS
administración de los usuarios en la red a través de políticas de
acceso de usuarios, grupos, comandos, ubicación, subred o RADIUS es un protocolo que funciona sobre un equipo que
tipo de dispositivo, ademas de proporcionar un registro hace las veces de servidor de acceso a través de autorización,
completo de todos los usuarios que se registraron y los autenticación y accounting.
comandos que utilizaron, reflejando de forma clara que es un
protocolo orientado a la administración donde se puede tener Básicamente RADIUS está pensado para distribución de
de forma detallada toda aquella información sobre los usuarios acceso remoto seguro a redes y servicios que no posee control
y dispositivos de red que interactuaron en determinado de acceso a los usuarios. Este protocolo funciona bajo UDP/IP
momento y, además, proporcionar un registro detallado de y cuenta con un servidor y usuarios [8].
cada acción realizada.
El servidor del protocolo RADIUS debe ser implementado
TACACS + mejora las versiones anteriores (TACACS y en un ordenador central robusto que soporte de forma eficiente
XTACACS) debido principalmente a la separación de la la cantidad de servicios y usuarios que se desean manejar en
Autenticación, Autorización y Accounting, y con el uso de un determinada red. Para el funcionamiento de RADIUS se hace
cifrado de la información entre NAS y el demonio. Además de uso de un NAS (Network Access Server) que opera a modo de
estas ventajas TACACS +, permite la personalización del cliente del protocolo. El NAS se encarga de entregar la
entorno de trabajo y proporciona escalabilidad, sumado al uso información del cliente al equipo que haga las veces de
del protocolo TCP que cuenta con la ventaja de una entrega servidor RADIUS, quien responde basado en la información y
más confiable de la información. solicitud requerida; finalmente el NAS actúa con base en la
respuesta que dio el servidor. La importancia del servidor
Una de las características más importantes de TACACS + RADIUS radica en las labores que debe hacer, pues al ser
es la separación entre autenticación, autorización y RADIUS un protocolo centralizado, todas las actividades van
accounting, sin embargo, es importante tener en cuenta que a a estar dirigidas al servidor y es este quien debe decidir e
pesar de que el protocolo cuente con las tres posibilidades informar de la acción siguiente a realizase. Es allí donde se
(AAA) de configuración, su uso e implementación depende de reciben las peticiones de conexión de los clientes, su
respectiva autenticación y se resuelven y devuelven las
la necesidades del usuario y no es de carácter impositivo su
respuestas con los parámetros necesarios para ofrecer los
uso ya que cada uno es independiente del otro, aunque estas
servicios y privilegios a los clientes.
tres características juntas pueden ser muy efectivas en control
y cuidado de la información. Dentro las múltiples ventajas de Cuando se hace uso del protocolo RADIUS debe realizarse
separar autenticación, autorización y accounting, es que el proceso de autenticación entre el usuario y el servidor con el
permite adaptar el protocolo de forma más sencilla y eficiente uso de una contraseña compartida, conocida únicamente por el
a las necesidades propias de cada cliente, puede integrarse con usuario y el servidor, la cual nunca es enviada a través de la
otros procesos de negociación tales como PPP, el proceso de red. La clave del usuario es transportada de forma cifrada y
autorización puede convertirse en un proceso dinámico, en únicamente entre el servidor y el usuario para proveer al
lugar, de depender directamente de la autenticación.[6].
sistema una mayor seguridad y evitar que un tercero tenga
acceso a la contraseña del usuario.

En la configuración de los servidores, el protocolo RADIUS

soporta un gran número de métodos de autenticación para
proveer a los clientes una mejor seguridad, proceso que es
válido cuando previamente se ha creado un usuario y una
Figura1 Flujo de administración de dispositivos[7]
contraseña. Bajo estas condiciones el protocolo soporta: PPP,
1. Un administrador inicia sesión en un dispositivo de red. Protocolo de Autenticación por Contraseña (PAP), Protocolo
de Autenticación por Desafío (CHAP), Login UNIX, entre
2. El dispositivo de red envía una solicitud de acceso otros.
TACACS + a ACS.
3. ACS utiliza un almacén de identidad para validar las
credenciales del usuario.

4. ACS envía una respuesta TACACS + al dispositivo de red

que aplica la decisión. La respuesta incluye parámetros, como Figura 2 Flujo basado en RADIUS con autenticación EAP [9]
 1716972821 3

1. Un host se conecta a un dispositivo de red. lineamientos de privacidad y resguardo de los datos y unificar
el control del acceso y gestión de la infraestructura.
2. El dispositivo de red envía una solicitud EAP al host.
Tomando en cuanto lo detallado, la evolución de los
3. El anfitrión responde con una respuesta EAP al dispositivo protocolos AAA ha sido fundamental, ofreciendo una
de red. integración de soluciones que proporcionar los servicios de
control de acceso y administración de una manera fiable. De
4. El dispositivo de red encapsula la respuesta EAP que tal manera que los protocolos más utilizados en el mercado
recibió del host en una solicitud de acceso RADIUS son RADIUS y TACACS+.
(utilizando el atributo RADIUS de mensaje EAP) y envía la
solicitud de acceso RADIUS al ACS.
No obstante la relevancia en la puesta en practica de los
servicios AAA, es el levantamiento de definiciones previas
5. ACS extrae la respuesta EAP del paquete RADIUS y crea
una nueva solicitud EAP, la encapsula en un desafío de acceso con el objetivo de implementar la infraestructura que mas se
RADIUS (nuevamente, usando el atributo RADIUS de adecué a sus requerimientos, ademas de protocolo requerido.
mensaje EAP) y la envía al dispositivo de red. Por lo que es imprescindible conocer las funcionalidad de cada
uno de ellos y discernir bajo que escenarios prestara los
6. El dispositivo de red extrae la solicitud EAP y la envía al servicios el protocolo seleccionado.
host.
Establecer la factibilidad de la utilización de un protocolo
C. Protocolo DIAMETER para los servicios de autenticación, autorización o auditoria,
obedece no sólo al aplicación de los parámetros AAA, sino
DIAMETER es un protocolo que proporciona autenticación, también al comportamiento demostrado desde el inicio hasta
autorización y contabilidad, para aplicaciones de acceso a la finalización de aquellos procesos de mayor relevancia para
la red o de movilidad IP (roaming), también extiende su el usuario.
uso para situaciones de roaming, es decir está diseñado para
trabajar localmente como en estado de alerta, sondeo y captura III. CONCLUSIÓN
con la finalidad de ofrecer servicios dinámicos. Una
de las principales características de este protocolo es su Los protocolos AAA detallados proveen de cualidades
flexibilidad y extensión mediante la adición de nuevos cuenta con las características apropiadas que abarcan los
comandos y atributos, por ejemplo para el uso del EAP, lo que esquemas de seguridad de las redes de comunicaciones
facilita entrega confiable de los pares atributos-valores actuales con sus capacidad de autenticación, autorización y
(AVPs), capacidad de negociación, notificación de errores,
auditoria.
posibilidad de expansión al poder agregar nuevos
comandos y AVPs y servicios básicos de aplicaciones
comopor ejemplo manejo de sesiones y contabilidad [10]. RADIUS, presenta limitaciones orientadas a la seguridad de
los paquetes de solicitud generados por un usuario ya que no
Las AVPs constituyen lo más importante de este cifra la totalidad de la información, y no separa la
protocolo, se usan para enviar información, algunas son autenticación de las funciones orientadas a la autorización.
empleadas para el funcionamiento propio de DIAMETER y
otras para transmitir los datos de las aplicaciones que usan TACACS+ muestra mejores en cuanto a control de acceso y
DIAMETER.Dado que DIAMETER no es un protocolo administración de equipos de telecomunicaciones teniendo en
completo en sí mismo, sino que requiere de extensiones cuenta la posibilidad de brindar un cifrado de la totalidad de la
específicas para cada aplicación referentes a la tecnología información enviada en el paquete de solicitud y contando con
o arquitectura de acceso a la red; el mismo sólo provee todos los beneficios asociados a la comunicación orientada a
requisitos mínimos paraser protocolo AAA, por tanto para conexión.
su implementación es necesario garantizar la
interoperabilidad, esto significa que todos los nodos deben
estar preparados para recibir mensajes DIAMETER y evitar el
bloqueo, lo que significa que todos los nodos DIAMETER
deberían usar SCTP.Los mensajes DIAMETER están
formados por una cabecera DIAMETER y un número variable
de pares Atributos-Valores (AVPs)[11].

PLANTEAMIENTO

Los protocolos AAA en la actualidad son indispensables

dentro de los parámetros de seguridad de las redes de
telecomunicaciones con el objeto de cumplir con los
 1716972821 4

REFERENCIAS

[1] - [3] Areitio, Javier, “Seguridad de la información: Redes Infomática y

sistemas de Información”, 1er ed Madrid: Paraninfo, 2008, (p.2. and
3.and 108), (p.3.), (p.108.)
[4] Cisco System “AAA Protocols” [Publicado August 6ᵗʰ, 2019] disponible
https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/www.cisco.
com/content/en/us/td/docs/net_mgmt
/cisco_secure_access_control_system/5-3/user/guide/acsuserguide/rad_ta
c_phase.html.xml&platform=Cisco%20Secure%20Access%20Control
%20System
[5] UNIVERSIDAD MILITAR NUEVA GRANADA. Análisis de
Desempeño y Evaluación de Requerimientos AAA en protocolos de
Seguridad sobre Redes Inalámbricas IEEE 802.11. Bogotá : Chaparro
Ramiro, Mejía Marcela, 2006. Vol 16.
[6] IETF. "The TACACS+ API Definition" [en línea]. Sine Loco: D. Carrel
[citado 4 de Marzo, 2013]. Disponible
https://datatracker.ietf.org/doc/html/draft-grant-tacacs-02#ref-2
[7] Cisco System “AAA Protocols” [Publicado August 6ᵗʰ, 2019] disponible
https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/www.cisco.
com/content/en/us/td/docs/net_mgmt
/cisco_secure_access_control_system/5-3/user/guide/acsuserguide/rad_ta
c_phase.html.xml&platform=Cisco%20Secure%20Access%20Control
%20System
[8] CISCO SYSTEM. TACACS+ and RADIUS Comparison [en línea].
California: La empresa [citado 21 febrero, 2013]. Disponible
https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-
authentication-dial-user-service-radius/13838-10.html
[9] Cisco System “AAA Protocols” [Publicado August 6ᵗʰ, 2019] disponible
https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/www.cisco.
com/content/en/us/td/docs/net_mgmt
/cisco_secure_access_control_system/5-3/user/guide/acsuserguide/rad_ta
c_phase.html.xml&platform=Cisco%20Secure%20Access%20Control
%20System
[10] Palacios, Erick, “Redes Inalambricas de 2G, 2.5G y 3G”, Capitulo 6
Perspectiva de la Interconexión p.8-9, disponible:
http://catarina.udlap.mx/u_dl_a/tales/documentos/lem/mayoral_p_e/capit
ulo6.pdf
[11] “The Internet NG Project DIAMETER” disponible en:
http://ing.ctit.utwente.nl/WU5/D5.1/Technology/diameter/