Sicheres Anmelden im Netz: RADIUS durch RadSec erweitern

Inhaltsverzeichnis

Authentifizierungen sind in Netzwerkinfrastrukturen allgegenwärtig: Benutzer und Endgeräte melden sich an, benötigen Zugriff auf Dienste oder Netze und auch die Administration ist zu regeln. Dabei kommt immer noch häufig das RADIUS-Protokoll (Remote Authentication Dial-In User Service) aus den 1990er-Jahren zum Einsatz. Es hat sich zwar als Standard für Authentifizierung, Autorisierung und Abrechnung (AAA) etabliert, doch ist die Sicherheit durch protokollbedingte Schwachstellen gefährdet – das hat erst kürzlich die Lücke Blast-RADIUS gezeigt.

Das neuere Protokoll RadSec zielt darauf ab, die Sicherheitslücken von RADIUS durch Kryptografie zu schließen (darunter auch Blast-RADIUS), es fristet jedoch immer noch ein Nischendasein. Der Artikel beleuchtet die Sicherheitsaspekte von RADIUS, erklärt aktuelle Lücken sowie die Unterschiede zwischen RADIUS und RadSec und zeigt das Implementieren von RadSec am Beispiel des Cloud-NAC-Produkts Arista AGNI.

iX-tract

• Das RADIUS-Protokoll für Netzwerkzugriffskontrolle gefährdet durch inhärente Schwachstellen die Sicherheit.
• Administratoren sollten sich insbesondere gegen die aktuelle Blast-RADIUS-Lücke absichern.
• Wegen seiner erweiterten Sicherheitsmerkmale ist RadSec die bessere Protokollwahl, doch die Implementierung ist anspruchsvoller als bei klassischem RADIUS.

RADIUS-Grundlagen

Die Aufgaben von RADIUS umfassen Authentifizierung, Autorisierung und das Accounting (Abrechnung) von Benutzern und Administratoren, und zwar für Zugriffe auf oder über Netzwerkkomponenten wie Firewalls, Switches, Router, WLAN-Controller und Access-Points oder Loadbalancer sowie VPN-Appliances. In einigen Fällen laufen auch Anbindungen für MFA-Systeme (Multi-Faktor-Authentifizierung) über RADIUS.

Das war die Leseprobe unseres heise-Plus-Artikels "Sicheres Anmelden im Netz: RADIUS durch RadSec erweitern". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.