Sicheres Anmelden im Netz: RADIUS durch RadSec erweitern
Mit der Blast-RADIUS-Lücke ist RADIUS endgültig zum Sicherheitsrisiko geworden. Administratoren sollten ihre Netze absichern – und am besten gleich auf das neuere RadSec-Protokoll umsteigen.
Authentifizierungen sind in Netzwerkinfrastrukturen allgegenwärtig: Benutzer und Endgeräte melden sich an, benötigen Zugriff auf Dienste oder Netze und auch die Administration ist zu regeln. Dabei kommt immer noch häufig das RADIUS-Protokoll (Remote Authentication Dial-In User Service) aus den 1990er-Jahren zum Einsatz. Es hat sich zwar als Standard für Authentifizierung, Autorisierung und Abrechnung (AAA) etabliert, doch ist die Sicherheit durch protokollbedingte Schwachstellen gefährdet – das hat erst kürzlich die Lücke Blast-RADIUS gezeigt. Das neuere Protokoll RadSec zielt darauf ab, die Sicherheitslücken von RADIUS durch Kryptografie zu schließen (darunter auch Blast-RADIUS), es fristet jedoch immer noch ein Nischendasein. Der Artikel beleuchtet die Sicherheitsaspekte von RADIUS, erklärt aktuelle Lücken sowie die Unterschiede zwischen RADIUS und RadSec und zeigt das Implementieren von RadSec am Beispiel des Cloud-NAC-Produkts Arista AGNI.
RADIUS-Grundlagen
Die Aufgaben von RADIUS umfassen Authentifizierung, Autorisierung und das Accounting (Abrechnung) von Benutzern und Administratoren, und zwar für Zugriffe auf oder über Netzwerkkomponenten wie Firewalls, Switches, Router, WLAN-Controller und Access-Points oder Loadbalancer sowie VPN-Appliances. In einigen Fällen laufen auch Anbindungen für MFA-Systeme (Multi-Faktor-Authentifizierung) über RADIUS.