RADIUS (Remote Authentication Dial-In User Service)

Was ist RADIUS?

RADIUS steht für Remote Authentication Dial-In User Service. Es handelt sich um ein Client-Server-Protokoll und eine Software, die es Remotezugriffsservern ermöglicht, mit einem zentralen Server zu kommunizieren, um Einwählbenutzer zu authentifizieren und ihren Zugriff auf das angeforderte System oder den angeforderten Dienst zu autorisieren.

RADIUS ermöglicht es einem Unternehmen, Benutzerprofile in einer zentralen Datenbank zu verwalten, auf die alle Remote-Server zugreifen können. Eine zentrale Datenbank bietet mehr Sicherheit und versetzt Unternehmen in die Lage, eine Richtlinie einzurichten, die an einem einzelnen verwalteten Netzwerkpunkt angewendet werden kann. Eine zentrale Datenbank erleichtert auch die Nachverfolgung der Nutzung für die Abrechnung des Netzwerkzugriffs oder des Internet Service Providers (ISP) und für die Führung von Netzwerkstatistiken. RADIUS wurde 1991 vom ehemaligen Netzwerkausrüster Livingston Enterprises entwickelt und ist ein De-facto-Industriestandard, der von führenden Unternehmen für Netzwerkprodukte verwendet wird. Die Internet Engineering Task Force (IETF) nahm das RADIUS-Protokoll im Jahr 2000 als Standardentwurf an, wie in RFC 2865 dokumentiert.

RADIUS wurde ursprünglich entwickelt, um eine große Anzahl von Benutzern zu unterstützen, die über Modem-Pools oder andere serielle Punkt-zu-Punkt-Verbindungen eine Remote-Verbindung zu Internet Service Providern oder Unternehmensnetzwerken herstellen. Heute wird RADIUS häufig für den Fernzugriff über verschiedene Arten von Netzwerken verwendet, darunter drahtlose Netzwerke, Ethernet-Netzwerke und andere Arten des Remote-Benutzerzugriffs über das Internet.

Wie funktioniert die RADIUS-Authentifizierung?

Beim RADIUS-Protokoll stellen Benutzer von entfernten Netzwerken über einen Netzwerkzugriffsserver (Network Access Server, NAS) eine Verbindung zu ihren Netzwerken her. Der NAS fragt den Authentifizierungsserver ab, um Authentifizierungs-, Autorisierungs- und Konfigurationsinformationen über den entfernten Benutzer zu erhalten.

Im Gegensatz zu anderen Client-Server-Anwendungen, bei denen der Client oft ein einzelner Benutzer ist, sind RADIUS-Clients die NAS-Systeme, die für den Zugriff auf ein Netzwerk verwendet werden, und der Authentifizierungsserver ist der RADIUS-Server.

Das RADIUS-Protokoll bietet zentralisierte Authentifizierungsdienste für die Server, über die sich externe Benutzer mit dem Netzwerk verbinden. Zu den Arten von Authentifizierungsservern für den Fernzugriff gehören:

• Einwahlserver, die den Zugriff auf Unternehmens- oder ISP-Netzwerke über Modem-Pools vermitteln.
• Server für virtuelle private Netzwerke (VPN), die Anfragen von Remote-Benutzern zum Einrichten sicherer Verbindungen zu einem privaten Netzwerk akzeptieren.
• Wireless Access Points, die Anfragen von Wireless Clients zum Herstellen einer Verbindung zu einem Netzwerk akzeptieren.
• Managed Network Access Switches, die das 802.1x-Protokoll für authentifizierten Zugriff implementieren, um den Zugriff auf Netzwerke durch Remote-Benutzer zu vermitteln.

Wenn ein Endanwender eine Verbindung mit einem Remote-Netzwerk herstellt, initiiert der NAS einen RADIUS-Austausch mit dem Authentifizierungsserver.

Wenn ein entfernter Benutzer eine Verbindung über einen NAS herstellt, kann die Anfrage die entfernte Benutzerkennung, das Kennwort und die IP-Adresse enthalten. Der NAS sendet dann eine Authentifizierungsanfrage an den RADIUS-Server.

Wie werden RADIUS-Server verwendet?

RADIUS nutzt zwei Ansätze zur Authentifizierung:

• Password Authentication Protocol (PAP): Der RADIUS-Client leitet die Benutzer-ID und das Kennwort des Remote-Benutzers an den RADIUS-Authentifizierungsserver weiter. Wenn die Anmeldedaten korrekt sind, authentifiziert der Server den Benutzer und der RADIUS-Client ermöglicht dem Remote-Benutzer die Verbindung mit dem Netzwerk.
• Challenge Handshake Authentication Protocol (CHAP): Auch als Drei-Wege-Handshake bekannt, beruht die CHAP-Authentifizierung darauf, dass Client und Server ein verschlüsseltes gemeinsames Geheimnis verwenden. Im Vergleich zu PAP gilt die CHAP-Authentifizierung als sicherer, da sie den Authentifizierungsaustausch verschlüsselt und so konfiguriert werden kann, dass sie wiederholte Authentifizierungen während der Sitzung durchführt.

Ein RADIUS-Proxy-Client lässt sich so konfigurieren, dass er RADIUS-Authentifizierungsanfragen an andere RADIUS-Server weiterleitet. RADIUS-Proxys ermöglichen eine zentralisierte Authentifizierung in großen oder geografisch verteilten Netzwerken.

Das RADIUS-Protokoll ist ein ausgereiftes Authentifizierungsprotokoll, das in vielen Netzwerkprodukten enthalten ist und in Verzeichnisdienstsoftware für Autorisierung und Accounting integriert ist. RADIUS ist zum Beispiel in Microsofts Network Policy Server implementiert, der in Microsoft Active Directory integriert ist.

Erfahren Sie mehr darüber, wie RADIUS in wichtige Netzwerk-Authentifizierungsprotokolle integriert ist, zum Beispiel in das Extensible Authentication Protocol, das zum Schutz von drahtlosen Netzwerken eingesetzt wird. Und lesen Sie, wie Multifaktor-Authentifizierung zur Verbesserung der RADIUS-Sicherheit eingesetzt werden kann.