Definition Remote Authentication Dial-In User Service

Wie funktioniert RADIUS?

| Redakteur: Peter Schmitz

Die zentrale Aufgabe des RADIUS-Protokolls ist die Authentifizierung und Autorisierung von Benutzern und bei Bedarf das Accounting eines Dienstes.
Die zentrale Aufgabe des RADIUS-Protokolls ist die Authentifizierung und Autorisierung von Benutzern und bei Bedarf das Accounting eines Dienstes. (Bild: Pixabay / CC0)

RADIUS steht für den englischen Begriff Remote Authentication Dial-In User Service und bezeichnet einen Service, der User in einem Dial-In-Netzwerk authentifiziert und autorisiert. RADIUS lässt sich auch für die Abrechnung (Accounting) von Services nutzen. In Unternehmen wird RADIUS häufig für die Benutzer-Anmeldung in WLAN-Netzwerken eingesetzt.

Bei RADIUS handelt es sich um einen Standard, der in Dial-In-Netzwerken für die so genannten Triple-A-Services (AAA) zum Einsatz kommt. Unter AAA-Services versteht man die Authentifizierung, Autorisierung und das Accounting von Einwahlusern.

RADIUS hat sich für Einwahldienste als eine Art Standard durchgesetzt und basiert auf einer Client-Server-Architektur. Viele Provider nutzen RADIUS für die Einwahl in analoge, ISDN-, DSL- oder auch WLAN-Netzwerke. Die exakte Funktionsweise und die Abläufe des RADIUS Protokolls sind in den RFCs 2865, 2866, 2867, 2868 und 2869 definiert und beschrieben.

Die grundsätzlichen Aufgaben des RADIUS-Protokolls

Wie bereits erläutert, sind die zentralen Aufgaben des RADIUS-Protokolls die Authentifizierung, die Autorisierung und das Accounting, die unter dem Kürzel AAA zusammengefasst sind.

Bei der Authentifizierung stellt der Service fest, um wen es sich bei dem sich einwählenden Benutzer handelt. Zur Überprüfung, ob der User tatsächlich derjenige ist, für den er sich ausgibt, kommen beispielsweise eindeutige Benutzernamen und Passwörter zum Einsatz. Zusätzlich können aber auch Security-Token oder andere physische Komponenten verwendet werden.

Ist der Nutzer eindeutig identifiziert, übernimmt die Autorisierung die Zuteilung von Benutzerrechten. User erhalten bestimmte Zugriffsrechte auf Daten, Leistungen oder Services. Unter anderem lässt sich über die Autorisierung dem Einwählenden eine feste IP-Adresse zuteilen.

Das Accounting schließlich zählt die Nutzung der verschiedenen Services durch den User. Dies können beispielsweise Einwahlminuten, übertragene Datenvolumen oder Zugriffshäufigkeiten sein. Diese Daten dienen den Leistungserbringern zur Erstellung von Abrechnungen. Hierfür werden die Accounting-Daten nach dem jeweiligen Tarifmodell ausgewertet.

Wichtige Komponenten und Funktionsweise des RADIUS Protokolls

Damit eine Einwahl über das RADIUS-Protokoll erfolgen kann, sind in der Regel drei verschiedene Komponenten beteiligt. Diese Komponenten sind:

  • der RADIUS-Client
  • der Authenticator (alternativ auch Network Access Server (NAS) genannt)
  • der RADIUS-Server

Der RADIUS-Client ist auf dem sich einwählenden Gerät installiert und initiiert den Einwahlwunsch. Dieser Einwahlwunsch wird in Form eines Access-Request-Pakets an einen Authenticator (zum Beispiel ein Access Point) geschickt. Der Authenticator besitzt keine eigenen Informationen über die Einwahluser und leitet das Paket über das Netzwerk an den eigentlichen RADIUS-Server weiter.

Der RADIUS-Server hat eine Verbindung zur Benutzerdatenbank mit den Userkennungen, Passwörtern und Benutzerrechten. Er beantwortet den Einwahlwunsch mit einem Access-Accept (Erlaubnis für die Einwahl) oder mit einem Access-Reject (Ablehnung der Einwahl) und leitet die eigentliche Herstellung der Verbindung zum Netzwerk mit allen für den Benutzer benötigten Parametern ein. Der RADIUS-Server führt die Überprüfung des Benutzernamens und des Kennworts durch.

Da es sich bei diesem Server um eine sicherheitskritische Komponente handelt, ist er in der Regel besonders geschützt und befindet sich hinter speziellen Firewallservices, die nur die eigentlichen Einwahlanfragen zum Server durchlassen.

Die Verwaltung des RADIUS-Servers erfolgt meist über ein speziell abgeschottetes Administrationsnetzwerk. Die Benutzerdaten können in einer RADIUS-eigenen Datenbank hinterlegt sein oder werden vom RADIUS über Anfragen bei weiteren Verzeichnisdiensten oder Datenbanken ermittelt. In diesen Datenbanken sind neben den Zugangsdaten benutzerspezifische Daten hinterlegt wie die Up- und Downloadbandbreiten von DSL-Zugängen, IP-Adressen, Servicekennungen oder die Anzahl von B-Kanälen für die ISDN-Einwahl.

RADIUS-Server im Synology NAS

Security-Pakete für Synology DSM

RADIUS-Server im Synology NAS

23.08.16 - Ein RADIUS-Server im LAN bietet auch kleinen Unternehmen eine ausgefeilte Nutzerkontrolle beim Zugriff auf das eigene WLAN. Ein Synology-NAS bietet die richtige Grundlage um eine Authentifizierung mittels RADIUS ressourceneffizient im LAN zu betreiben. lesen

Vor- und Nachteile des RADIUS-Protokolls

Das RADIUS-Protokoll bietet den Vorteil, dass trotz verteilter Netzwerkinfrastruktur sich die Zugangsdaten für die Einwahl-User an einer zentralen Stelle verwalten und bereithalten lassen. Sie stehen für die Einwahl jederzeit zur Verfügung. Der User selbst benötigt keinerlei Informationen über den Standort des RADIUS-Servers, da Network Access Server die Aufgabe der Weiterleitung der Einwahlanforderungen übernehmen. Für den User genügt es, sich gegenüber dem Netzwerk mit einer eindeutigen Userkennung und dem passenden Kennwort oder einem Security-Token zu erkennen zu geben. Da auch alle Accountigdaten an zentraler Stelle gesammelt werden, wird die Abrechnung der in Anspruch genommenen Leistungen stark vereinfacht.

Als Nachteil lässt sich anführen, dass eine Störung des zentralen RADIUS-Servers Auswirkungen auf das komplette Einwahlnetz hat. Provider versuchen dieses Risiko zu minimieren, indem sie auf verteilte RADIUS-Services mit Hard- und Software-Backup-Mechanismen setzen.

Der bisher wenig verbreitete und nicht ganz abwärtskompatible Nachfolger von RADIUS heißt Diameter.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Im Gespräch mit luckycloud-Gründer Luc Mader

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Cloud-Storage-Dienste gibt es mittlerweile wie Sand am Meer. Wer abseits der großen Anbieter wie Dropbox, Google oder Microsoft nach Alternativen sucht, stößt mitunter auf deutsche, regional angesiedelte Unternehmen wie luckycloud. Das in Berlin beheimatete Startup hat sich insbesondere das Thema Verschlüsselung auf die Fahnen geschrieben. lesen

Sicherheit dank Synology NAS

RADIUS, VPN und Syslog kostengünstig einrichten

Sicherheit dank Synology NAS

NAS-Systeme von Synology können mehr als nur Backups und Daten speichern. Dank kostenloser Zusatzpakete für das DSM Betriebssystem übernehmen sie Funktionen wie VPN, RADIUS-Anmeldung oder Syslog. lesen

Ende-zu-Ende-Verschlüsselung für Dokumente in der Cloud

Fabasoft Secomo as a Service

Ende-zu-Ende-Verschlüsselung für Dokumente in der Cloud

Unternehmen können mit „Secomo as a Service“ Dokumente in der Fabasoft Cloud kontrolliert Ende-zu-Ende verschlüsseln und externe Partner auf Basis dieses Verschlüsselungsstandards miteinbeziehen. lesen

Zertifikatsbasierte IoT-Gerätesicherung

Ruckus Cloudpath ES 5.1

Zertifikatsbasierte IoT-Gerätesicherung

Version 5.1 der Cloudpath ES Sicherheits- und Policy-Management-Software ermöglicht es Unternehmen, ihre Internet-of-Things- (IoT) Geräte mittels Zertifikat automatisch und sicher zu verbinden. Es erlaubt den IT-Abteilungen, Richtlinien einzuführen, die das Verhalten dieser Geräte steuern. In Verbindung mit der Cloudpath-Sofware-Zertifizierungsstelle (ZS) lässt sich einfach und automatisch eine große Anzahl an verbundenen IoT-Geräten sichern, ohne die existierende Sicherheitsinfrastruktur zu verändern. lesen

Ist ihre Firewall veraltet?

Netzwerksicherheit

Ist ihre Firewall veraltet?

Es vergeht nahezu kein Tag ohne Schlagzeilen über die neue Datenlecks oder Hacking-Skandale. Dennoch glauben viele Unternehmen, sie seien gut für die unterschiedlichen IT-Sicherheitsrisiken gerüstet, die sie bedrohen. Doch die Realität sieht wahrscheinlich etwas anders aus. lesen

Eigene Daten, eigene Cloud, eigene Identität

Anbindung von ownCloud an privacyIDEA

Eigene Daten, eigene Cloud, eigene Identität

Heutzutage erwarten Anwender zurecht, dass ihre Informationen und Daten überall verfügbar sind. Es gibt zahllose Anbieter, die mit proprietären Lösungen zur Synchronisation von Daten in der Cloud den Anwendern ein einfaches Leben versprechen. Doch ist dieses Leben auch sicher? Der Anwender kann seine Daten überall nutzen, doch hat er auch die Kontrolle über diese Daten? Kann er zuverlässig definieren, wer seine Urlaubsfotos sehen kann? Kann er sicher sein, dass keine unberechtigten Personen Zugriff auf Firmengeheimnisse wie die neusten Konstruktionsdaten erhalten? Nein, denn auch der Anbieter eines Cloud-Dienstes kann diese Daten, ohne dass der Anwender es bemerkt, beliebig kopieren. lesen

Gefahren für Industrial Control Systems (ICS)

Sicherheitsrisiken im Industrial Internet of Things

Gefahren für Industrial Control Systems (ICS)

Untersuchungen schätzen, dass eine Steigerung der Produktionseffizienz von 30 Prozent durch smarte Fabrikanlagen möglich ist. Es ist also sehr wahrscheinlich, dass das Internet der Dinge (IoT) im Produktions- und Fertigungsumfeld einen besonders starken Einfluss erlangen wird. Die Vernetzung hat außerdem schon längst begonnen und wird auch weiter zunehmen. Problematisch ist jedoch, dass die Sicherheitsvorkehrungen für Industrial Control Systems (ICS) wie Supervisory Control and Data Acquisition (SCADA) oft vollkommen unzureichend sind. lesen

Benutzerfreundliche Zugangskontrolle

Identity-Management-Portale

Benutzerfreundliche Zugangskontrolle

Identity and Access Management (IAM) ist für viele Unternehmen schlichtweg zu komplex geworden. „Das muss nicht sein“, meint Andreas Martin von FirstAttribute. lesen

Zwei-Faktor-Authentifizierung mit privacyIDEA

Open-Source

Zwei-Faktor-Authentifizierung mit privacyIDEA

Obwohl Zwei-Faktor-Authentifizierung oft aus der Cloud kommt, besteht die Gefahr, sich an einen Anbieter oder eine Technologie zu binden. Mit privacyIDEA, das in diesem Beitrag näher vorgestellt wird, behalten Unternehmen ihre Flexibilität. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44720104 / Definitionen)