RADIUS bei Remotezugriffen

RADIUS (Remote Authentication Dial-In User Service) ist ein Standardprotokoll für die Authentifizierung von Remotezugriffen, das nicht nur bei Einwählverbindungen, sondern auch in Verbindung mit Firewalls und anderen Sicherheitsaspekten wie WLANs relevant ist.

RADIUS ist ein Standard, den es inzwischen schon etliche Jahre gibt. Seine Bedeutung ist in den vergangenen Jahren vor allem durch die Anforderungen für die Authentifizierung von Zugriffen auf drahtlose Netzwerke noch gestiegen. Microsoft liefert eine RADIUS-Server-Implementierung und einen Proxy als so genannten IAS (Internet Authentication Server) als Teil der Windows-Serverversionen aus.

RADIUS ist ein Protokoll, mit dem Authentifizierungsanforderungen weitergeleitet werden. Das Protokoll wurde ursprünglich entwickelt, damit Einwählserver eine Authentifizierung gegenüber einem externen Verzeichnisdienst durchführen können. Einwahlverbindungen haben inzwischen eher untergeordnete Bedeutung. Dafür haben Firewalls von virtuellen privaten Netzwerken und drahtlosen Netzwerken entsprechende Anforderungen, die das Protokoll auch weiterhin erforderliche machen.

Microsoft hat die RADIUS-Funktionalität als IAS implementiert. Der RADIUS-Server kann die Authentifizierung von Zugriffen übernehmen, der RADIUS-Proxy kann Zugriffe an einen definierten RADIUS-Server weiterleiten. Neben der Authentifizierung wird auch das Accounting unterstützt, also die Abrechnung der Nutzung von RADIUS-Funktionen.

Der RADIUS-Server muss für die Authentifizierung auf ein Verzeichnis zugreifen können. In der Regel ist dies das Active Directory.

Das RADIUS-Protokoll selbst ist im RFC 2865 und 2866 beschrieben, wobei der zweite Standard nur das Accounting behandelt. Bei der Nutzung von RADIUS erzeugt ein Server, also beispielsweise ein Wireless Access Point oder ein VPN-Server, eine RADIUS-Nachricht, in der um die Authentifizierung eines Benutzers gebeten wird. Der Server versucht, die Authentifizierung durchzuführen, und sendet eine Nachricht mit dem Resultat. Dabei kann es sich um eine positive oder negative Bestätigung oder um eine Challenge handeln, die bei Challenge-Response-Verfahren zur Autorisierung benötigt wird und auf die der RADIUS-Client mit einer entsprechenden Antwort reagieren muss.

Mit diesem Ansatz lässt sich die Authentifizierung in heterogenen Umgebungen einfach auf andere Systeme verlagern. RADIUS kann aber auch in reinen Windows-Umgebungen wichtig sein, um etwa Zugriffe aus einer DMZ (Demilitarized Zone) in das interne Netzwerk weiterzuleiten.

Bild 1: Die Auswahl des IAS als Netzwerkdienst.
Bild 1: Die Auswahl des IAS als Netzwerkdienst.

Interessant ist, dass Windows-Server über RADIUS die Authentifizierung auch gegen andere Verzeichnisse vornehmen können, soweit ein RADIUS-Server mit diesen zusammenarbeitet. In einigen Bereichen wie dem RRAS (Routing and Remote Access Service) findet sich ein RADIUSClient, der für den Zugriff auf beliebige RADIUSServer – also nicht nur den IAS – konfiguriert werden kann.