Definition Remote Authentication Dial-In User Service

Wie funktioniert RADIUS?

| Redakteur: Peter Schmitz

Die zentrale Aufgabe des RADIUS-Protokolls ist die Authentifizierung und Autorisierung von Benutzern und bei Bedarf das Accounting eines Dienstes.
Die zentrale Aufgabe des RADIUS-Protokolls ist die Authentifizierung und Autorisierung von Benutzern und bei Bedarf das Accounting eines Dienstes. (Bild: Pixabay / CC0)

RADIUS steht für den englischen Begriff Remote Authentication Dial-In User Service und bezeichnet einen Service, der User in einem Dial-In-Netzwerk authentifiziert und autorisiert. RADIUS lässt sich auch für die Abrechnung (Accounting) von Services nutzen. In Unternehmen wird RADIUS häufig für die Benutzer-Anmeldung in WLAN-Netzwerken eingesetzt.

Bei RADIUS handelt es sich um einen Standard, der in Dial-In-Netzwerken für die so genannten Triple-A-Services (AAA) zum Einsatz kommt. Unter AAA-Services versteht man die Authentifizierung, Autorisierung und das Accounting von Einwahlusern.

RADIUS hat sich für Einwahldienste als eine Art Standard durchgesetzt und basiert auf einer Client-Server-Architektur. Viele Provider nutzen RADIUS für die Einwahl in analoge, ISDN-, DSL- oder auch WLAN-Netzwerke. Die exakte Funktionsweise und die Abläufe des RADIUS Protokolls sind in den RFCs 2865, 2866, 2867, 2868 und 2869 definiert und beschrieben.

Die grundsätzlichen Aufgaben des RADIUS-Protokolls

Wie bereits erläutert, sind die zentralen Aufgaben des RADIUS-Protokolls die Authentifizierung, die Autorisierung und das Accounting, die unter dem Kürzel AAA zusammengefasst sind.

Bei der Authentifizierung stellt der Service fest, um wen es sich bei dem sich einwählenden Benutzer handelt. Zur Überprüfung, ob der User tatsächlich derjenige ist, für den er sich ausgibt, kommen beispielsweise eindeutige Benutzernamen und Passwörter zum Einsatz. Zusätzlich können aber auch Security-Token oder andere physische Komponenten verwendet werden.

Ist der Nutzer eindeutig identifiziert, übernimmt die Autorisierung die Zuteilung von Benutzerrechten. User erhalten bestimmte Zugriffsrechte auf Daten, Leistungen oder Services. Unter anderem lässt sich über die Autorisierung dem Einwählenden eine feste IP-Adresse zuteilen.

Das Accounting schließlich zählt die Nutzung der verschiedenen Services durch den User. Dies können beispielsweise Einwahlminuten, übertragene Datenvolumen oder Zugriffshäufigkeiten sein. Diese Daten dienen den Leistungserbringern zur Erstellung von Abrechnungen. Hierfür werden die Accounting-Daten nach dem jeweiligen Tarifmodell ausgewertet.

Wichtige Komponenten und Funktionsweise des RADIUS Protokolls

Damit eine Einwahl über das RADIUS-Protokoll erfolgen kann, sind in der Regel drei verschiedene Komponenten beteiligt. Diese Komponenten sind:

  • der RADIUS-Client
  • der Authenticator (alternativ auch Network Access Server (NAS) genannt)
  • der RADIUS-Server

Der RADIUS-Client ist auf dem sich einwählenden Gerät installiert und initiiert den Einwahlwunsch. Dieser Einwahlwunsch wird in Form eines Access-Request-Pakets an einen Authenticator (zum Beispiel ein Access Point) geschickt. Der Authenticator besitzt keine eigenen Informationen über die Einwahluser und leitet das Paket über das Netzwerk an den eigentlichen RADIUS-Server weiter.

Der RADIUS-Server hat eine Verbindung zur Benutzerdatenbank mit den Userkennungen, Passwörtern und Benutzerrechten. Er beantwortet den Einwahlwunsch mit einem Access-Accept (Erlaubnis für die Einwahl) oder mit einem Access-Reject (Ablehnung der Einwahl) und leitet die eigentliche Herstellung der Verbindung zum Netzwerk mit allen für den Benutzer benötigten Parametern ein. Der RADIUS-Server führt die Überprüfung des Benutzernamens und des Kennworts durch.

Da es sich bei diesem Server um eine sicherheitskritische Komponente handelt, ist er in der Regel besonders geschützt und befindet sich hinter speziellen Firewallservices, die nur die eigentlichen Einwahlanfragen zum Server durchlassen.

Die Verwaltung des RADIUS-Servers erfolgt meist über ein speziell abgeschottetes Administrationsnetzwerk. Die Benutzerdaten können in einer RADIUS-eigenen Datenbank hinterlegt sein oder werden vom RADIUS über Anfragen bei weiteren Verzeichnisdiensten oder Datenbanken ermittelt. In diesen Datenbanken sind neben den Zugangsdaten benutzerspezifische Daten hinterlegt wie die Up- und Downloadbandbreiten von DSL-Zugängen, IP-Adressen, Servicekennungen oder die Anzahl von B-Kanälen für die ISDN-Einwahl.

RADIUS-Server im Synology NAS

Security-Pakete für Synology DSM

RADIUS-Server im Synology NAS

23.08.16 - Ein RADIUS-Server im LAN bietet auch kleinen Unternehmen eine ausgefeilte Nutzerkontrolle beim Zugriff auf das eigene WLAN. Ein Synology-NAS bietet die richtige Grundlage um eine Authentifizierung mittels RADIUS ressourceneffizient im LAN zu betreiben. lesen

Vor- und Nachteile des RADIUS-Protokolls

Das RADIUS-Protokoll bietet den Vorteil, dass trotz verteilter Netzwerkinfrastruktur sich die Zugangsdaten für die Einwahl-User an einer zentralen Stelle verwalten und bereithalten lassen. Sie stehen für die Einwahl jederzeit zur Verfügung. Der User selbst benötigt keinerlei Informationen über den Standort des RADIUS-Servers, da Network Access Server die Aufgabe der Weiterleitung der Einwahlanforderungen übernehmen. Für den User genügt es, sich gegenüber dem Netzwerk mit einer eindeutigen Userkennung und dem passenden Kennwort oder einem Security-Token zu erkennen zu geben. Da auch alle Accountigdaten an zentraler Stelle gesammelt werden, wird die Abrechnung der in Anspruch genommenen Leistungen stark vereinfacht.

Als Nachteil lässt sich anführen, dass eine Störung des zentralen RADIUS-Servers Auswirkungen auf das komplette Einwahlnetz hat. Provider versuchen dieses Risiko zu minimieren, indem sie auf verteilte RADIUS-Services mit Hard- und Software-Backup-Mechanismen setzen.

Der bisher wenig verbreitete und nicht ganz abwärtskompatible Nachfolger von RADIUS heißt Diameter.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist WPA2?

Definition WPA2 (Wi-Fi Protected Access 2)

Was ist WPA2?

WPA2 (Wi-Fi Protected Access 2) ist seit 2004 der Nachfolger von WPA. Zu den wichtigsten Veränderungen im Vergleich zu WPA gehört die Verwendung der Verschlüsselungsmethode AES. WPA2 beseitigt die aufgedeckten Schwachstellen von WPA und gilt bei Verwendung eines starken Passworts, trotz bekannter Angriffe, bis heute als sehr sicher. lesen

Was ist WPA?

Definition Wi-Fi Protected Access (WPA)

Was ist WPA?

WPA steht für Wi-Fi Protected Access und bezeichnet den 2003 verabschiedeten Nachfolgestandard von WEP zur Verschlüsselung und Authentifizierung im WLAN. WPA sollte die bekannt gewordenen Sicherheitslücken und Schwachstellen von WEP beseitigen und wieder für Sicherheit in Funknetzwerken sorgen. Wie WEP gilt auch WPA heute als nicht mehr ausreichend sicher und sollte für drahtlose Netzwerke nicht mehr verwendet werden. lesen

Authentifizierungslösung mit Self-Service-Funktionen

Im Test: Airlock IAM 6

Authentifizierungslösung mit Self-Service-Funktionen

Airlock Identity and Access Management (IAM) 6 ist eine zentrale Authentifizierungs­plattform mit Enterprise-Funktionen. Die Lösung unterstützt eine Vielzahl an Authentifizierungs­verfahren, arbeitet mit Standardprotokollen und automatisiert die Benutzer­administration. Viele Unternehmen verwenden die IAM-Lösung zusammen mit der Web Application Firewall (WAF) aus dem gleichem Haus. lesen

Flexiblere Zwei-Faktor-Authentifizierung an VPNs

privacyIDEA 2.22

Flexiblere Zwei-Faktor-Authentifizierung an VPNs

Die neue Version 2.22 der Open-Source-Authentifizierungslösung privacyIDEA kann Informationen flexibler über das RADIUS-Protokoll an Firewalls oder VPNs zurückliefern als bisher. Administratoren können außerdem spezifische Rückgabe-Werte zu definieren. Zudem unterstützt privacyIDEA 2.22 proprietäre VASCO-Token, bietet einen Counter Handler und weitere Erweiterungen. lesen

Wir fragen nach – wie viel verdient man in der IT & Industrie?

Gehaltsreport IT & Industrie

Wir fragen nach – wie viel verdient man in der IT & Industrie?

Die wirtschaftliche Lage boomt, die Auftragsbücher sind voll – doch schlägt sich das auch auf die Gehälter der Arbeitnehmer nieder? Um das zu erfahren, starten wir unseren großen Gehaltsreport IT & Industrie. Jetzt an der Umfrage teilnehmen und vom Ergebnis profitieren! lesen

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Im Gespräch mit luckycloud-Gründer Luc Mader

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Cloud-Storage-Dienste gibt es mittlerweile wie Sand am Meer. Wer abseits der großen Anbieter wie Dropbox, Google oder Microsoft nach Alternativen sucht, stößt mitunter auf deutsche, regional angesiedelte Unternehmen wie luckycloud. Das in Berlin beheimatete Startup hat sich insbesondere das Thema Verschlüsselung auf die Fahnen geschrieben. lesen

Sicherheit dank Synology NAS

RADIUS, VPN und Syslog kostengünstig einrichten

Sicherheit dank Synology NAS

NAS-Systeme von Synology können mehr als nur Backups und Daten speichern. Dank kostenloser Zusatzpakete für das DSM Betriebssystem übernehmen sie Funktionen wie VPN, RADIUS-Anmeldung oder Syslog. lesen

Ende-zu-Ende-Verschlüsselung für Dokumente in der Cloud

Fabasoft Secomo as a Service

Ende-zu-Ende-Verschlüsselung für Dokumente in der Cloud

Unternehmen können mit „Secomo as a Service“ Dokumente in der Fabasoft Cloud kontrolliert Ende-zu-Ende verschlüsseln und externe Partner auf Basis dieses Verschlüsselungsstandards miteinbeziehen. lesen

Zertifikatsbasierte IoT-Gerätesicherung

Ruckus Cloudpath ES 5.1

Zertifikatsbasierte IoT-Gerätesicherung

Version 5.1 der Cloudpath ES Sicherheits- und Policy-Management-Software ermöglicht es Unternehmen, ihre Internet-of-Things- (IoT) Geräte mittels Zertifikat automatisch und sicher zu verbinden. Es erlaubt den IT-Abteilungen, Richtlinien einzuführen, die das Verhalten dieser Geräte steuern. In Verbindung mit der Cloudpath-Sofware-Zertifizierungsstelle (ZS) lässt sich einfach und automatisch eine große Anzahl an verbundenen IoT-Geräten sichern, ohne die existierende Sicherheitsinfrastruktur zu verändern. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44720104 / Definitionen)