Externer Zugriff dank RADIUS Einwahlbenutzer sicher authentifizieren

Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Remote-Zugänge über das Internet werden aufgrund des steigenden Bandbreitenbedarfs und -angebots sowie verbesserter Verschlüsselung in Unternehmen immer beliebter. Doch vor allem Internet Service Provider und Großfirmen setzen nach wie vor auf den Remote Authentication Dial-In User Service, mit dem sich dezentrale Nutzer über öffentliche Telefonleitungen direkt mit dem Unternehmensnetzwerk verbinden können. Dieser Artikel befasst sich mit den Grundlagen des bisherigen Einwahl-Standardprotokolls.

Firma zum Thema

( Archiv: Vogel Business Media )

„Remote Authentication Dial In User Service“ (RADIUS) bedeutet in etwa „Dienst für die Authentifizierung von Remote-Einwahlbenutzern“. Doch anders, als der Name impliziert, leistet das Standardprotokoll nicht nur die Authentifizierung, sondern auch Autorisierung und Accounting. Zusammengenommen nennt man diese Funktionen AAA, einen Dienst wie RADIUS bezeichnet man daher als AAA-System.

Bei der Authentifizierung werden die Login-Daten des Einwahlbenutzers gegen eine vorhandene Datenbank (z. B. gegen Active Directory oder einen anderen Verzeichnisdienst) geprüft.

Die Autorisierung legt fest, welche Spielregeln für den Benutzer gelten, das heißt welche Rechte er erhält („Benutzer X erhält prinzipiell den Router mit den niedrigsten Privilegien.“ oder: „Alle Nutzer, die aus dem Ausland anrufen, erhalten keinen Zugriff auf bestimmte Unternehmensdatenbanken.“). Auf bestimmte Geräte kann der Zugriff auch komplett verweigert werden.

Das Accounting betrifft die Rechnungsstellung. Bei Firmenanwendungen entfällt dieser Punkt natürlich, bei ISPs (Internet Service Provider) ist er umso wichtiger. Üblicherweise wird nach Zeit abgerechnet – es genügt also, wenn der RADIUS-Server über Beginn und Ende einer Sitzung informiert wird.

Implementierungen

Es gibt zwar einige Open-Source-Implementierungen, die aber größtenteils nicht mehr weiterentwickelt werden, denn FreeRADIUS hat sich als die dominante Open-Source-Version durchgesetzt. Dieses Programm findet auch in vielen kommerziellen Implementierungen seine Verwendung. Die Website von FreeRADIUS und einen Verweis auf die freie Windows-Version finden sie unter den Weblinks.

Eine ähnliche Verbreitung wie FreeRADIUS haben nur zwei proprietäre Produkte: CiscoSecure ACS (Access Control Server) und der Microsoft-Server-Dienst IAS (Internet Authentication Service, in deutschen Server-Versionen als „Internetauthentifizierungsdienst“ lokalisiert).

RADIUS als IAS bei Microsoft-Servern

Die Konfiguration von Microsoft-IAS ist nicht trivial. Dies beginnt schon damit, dass der Dienst nicht per Vorgabe aktiv ist, sondern erst über „Software“ in der „Systemsteuerung“ nachinstalliert werden muss. Die Administration von IAS erfolgt über eine Konsole, die sich über „Verwaltung“ im Start-Menü oder, bequemer, über die Eingabe des Kommandos „ias.msc“ starten lässt.

Um IAS zum Laufen zu bekommen, müssen mehrere Einstellungen modifiziert werden. Erstens muss in der IAS-Konsole im Ordner „RAS-Richtlinien“ die Vorgabe „RAS-Berechtigung verweigern“ auf „erteilen“ umgestellt werden. Zweitens muss der IAS-Server bei Active Directory registriert werden; immerhin will ja der IAS-Server auf die Benutzerkonten in Active Directory für die Authentifizierung zurückgreifen. Schließlich müssen RRAS-Server für die RADIUS-Authentifizierung konfiguriert werden; dies geschieht in der Konsole „Routing und RAS“.

DIAMETER als Nachfolger von RADIUS

Als Nachfolger von RADIUS wird derzeit an DIAMETER gefeilt. Trotz der Schreibweise in Großbuchstaben ist DIAMETER („Durchmesser“) keine Abkürzung, sondern ein sprechender Name. Dieser bezieht sich auf RADIUS, denn bekanntlich bildet der Durchmesser das Doppelte des Radius.

Die wesentlichen Unterschiede sind die zugrunde liegenden Protokolle: RADIUS nutzt UDP (Port 1812 für Authentifizierung, 1813 für Accounting, ältere Implementierungen benutzten 1645 für Authentifizierung und 1646 für Accounting), dagegen setzt DIAMETER auf TCP. Ferner ist Sicherheit auf dem Transport Layer mittels IPSec und TLS möglich. Weitere nützliche Informationen zu DIAMETER finden sich auf den verlinkten Webseiten.

Artikelfiles und Artikellinks

(ID:2004907)