Was ist RADIUS? Funktionsweise, AAA-Prinzip und Einsatz in modernen Netzwerken
RADIUS (Remote Authentication Dial-In User Service) ist ein Netzwerkprotokoll, das die zentrale Authentifizierung, Autorisierung und Verbindungsprotokollierung von Nutzenden in IP-basierten Netzwerken ermöglicht. Einfach gesagt: Es ist ein Verfahren, mit dem Netzwerke prüfen, wer sich anmelden darf und welche Zugriffsrechte diese Person erhält.
Was ist RADIUS?
Wenn sich jemand mit einem Unternehmens-WLAN, einem VPN oder einem internen Firmennetz verbindet, muss das System zunächst klären: Ist diese Person wirklich berechtigt? Und wenn ja, auf welche Bereiche darf sie zugreifen? Genau hier setzt RADIUS an. RADIUS steht für Remote Authentication Dial-In User Service und wurde ursprünglich in den 1990er-Jahren entwickelt, um Einwahlverbindungen über Modems zentral zu verwalten. Heute ist RADIUS ein etablierter Standard für die Authentifizierung in Netzwerken, insbesondere bei:
- Unternehmens-WLANs, bei denen sich jede Person individuell anmeldet
- VPN-Zugängen, wenn Mitarbeitende von außerhalb auf interne Systeme zugreifen
- Netzwerkanschlüssen im Büro, die erst nach erfolgreicher Anmeldung freigeschaltet werden
- Internetanbietern, die Nutzungsverbindungen verwalten und abrechnen
- Cloud- und Rechenzentrumsumgebungen, in denen viele Konten zentral gesteuert werden
Ein RADIUS-Server lässt sich auf unterschiedlichen Betriebssystemen wie Linux und Windows einrichten. Auch auf Unix-Systemen oder in containerisierten Umgebungen kann der Dienst betrieben werden. Zudem unterstützen viele Netzwerkgeräte und Firewalls RADIUS entweder direkt oder lassen sich an externe RADIUS-Server anbinden.
Wie funktioniert RADIUS?
RADIUS arbeitet nach einem klar strukturierten Anfrage-Antwort-Modell: Ein zentrales System prüft die Anmeldedaten und entscheidet anschließend, ob der Zugriff erlaubt wird und welche Zugriffsrechte freigegeben werden dürfen. Technisch handelt es sich um ein Client-Server-Modell, bei dem beide über das User Datagram Protocol (UDP) kommunizieren (moderne Erweiterungen wie RadSec nutzen TLS-gesicherte TCP-Verbindungen). Der RADIUS-Server übernimmt dabei die zentrale Entscheidungsinstanz für Anmelde- und Zugriffsprozesse.
So sorgt RADIUS dafür, dass Zugriffe nicht einzeln auf jedem Gerät verwaltet werden müssen, sondern zentral und übersichtlich gesteuert werden können. Der Ablauf lässt sich vereinfacht so darstellen:
- Eine Nutzerin oder ein Nutzer versucht, sich mit einem Netzwerk zu verbinden.
- Der Network Access Server (z. B. ein WLAN-Controller oder VPN-Gateway) sendet eine Authentifizierungsanfrage an den RADIUS-Server.
- Der RADIUS-Server prüft die Anmeldedaten, häufig gegen ein zentrales Verzeichnis.
- Der Server sendet eine Antwort zurück:
Access-Accept,Access-RejectoderAccess-Challenge.
Bei erfolgreicher Prüfung werden zusätzlich Autorisierungsparameter übermittelt, etwa Zugang zu Netzwerksegmenten (VLAN) oder geltende Zugriffsbeschränkungen.
Die drei Grundpfeiler von RADIUS: AAA
RADIUS folgt dem sogenannten AAA-Prinzip. Diese drei Pfeiler regeln, wer sich anmelden darf, was erlaubt ist und wie Verbindungen dokumentiert werden:
Authentication (Authentifizierung)
„Wer sind Sie?“ Hier wird überprüft, ob eine Person oder ein Gerät tatsächlich berechtigt ist, sich anzumelden. Der RADIUS-Server prüft die Anmeldedaten selbst oder gegen ein angebundenes Backend. Typische Methoden sind:
- Benutzername und Passwort
- Zertifikatsbasierte Verfahren (EAP-TLS)
- Token- oder Mehrfaktorauthentifizierung
RADIUS unterstützt viele Authentifizierungsmethoden, legt aber nicht selbst fest, welche verwendet wird. Die konkrete Methode hängt von der eingesetzten Infrastruktur ab.
Authorization (Autorisierung)
„Was dürfen Sie?“ Nach erfolgreicher Authentifizierung entscheidet der RADIUS-Server, welche Rechte Nutzerinnen und Nutzer erhalten. Diese Informationen werden in Form von sogenannten Attributen an das Netzwerkgerät zurückgegeben. Beispielsweise:
- Zugriff auf bestimmte VLANs
- Einschränkung auf Netzwerksegmente
- Bandbreitenlimits
Damit lässt sich der Zugriff sehr fein und abhängig von Rolle, Benutzergruppe oder Gerät steuern.
Accounting (Verbindungsprotokollierung)
„Was haben Sie gemacht?“ RADIUS kann zusätzlich Sitzungsdaten erfassen und protokollieren, die häufig für Abrechnungszwecke, Sicherheitsnachweise oder die Fehlersuche genutzt werden. Dazu gehören unter anderem:
- Beginn, Ende und Dauer einer Sitzung
- Übertragene Datenmenge
- Zugewiesene IP-Adresse
Besonders wichtig ist Accounting bei Internet-Service-Providern, in großen Unternehmensnetzwerken oder überall dort, wo Zugriffe nachvollziehbar dokumentiert werden müssen.
Auch wenn RADIUS bereits seit vielen Jahren im Einsatz ist, spielt das Verfahren in modernen Netzwerken weiterhin eine wichtige Rolle: Unternehmen müssen steuern, wer von wo aus auf welche Systeme zugreifen darf – im Büro, im Homeoffice oder unterwegs. Genau dafür bietet RADIUS eine zentrale Lösung. In Kombination mit aktuellen Sicherheitsmaßnahmen bleibt RADIUS also weiterhin relevant.
Welche Weiterentwicklungen zu RADIUS gibt es?
RADIUS stammt aus den 1990er-Jahren und war ursprünglich für Einwahlverbindungen konzipiert. Mit der Verbreitung von WLAN-Enterprise, VPN-Zugängen, IEEE 802.1X und Cloud-Infrastrukturen reichen die ursprünglichen Mechanismen jedoch nicht mehr aus. Deshalb wurde das Protokoll schrittweise erweitert, um stärkere Authentifizierungsverfahren, bessere Verschlüsselung und höhere Skalierbarkeit zu ermöglichen. Durch die Erweiterungen lässt sich RADIUS weiterhin in aktuellen Sicherheitsarchitekturen einsetzen, etwa in Kombination mit Mehrfaktorauthentifizierung, Netzwerksegmentierung oder Zero-Trust-Ansätzen.
Erweiterte Authentifizierungsverfahren
Ein wichtiger Entwicklungsschritt war die Einbindung des Extensible Authentication Protocol (EAP). Dadurch lässt sich RADIUS mit modernen Anmeldeverfahren kombinieren, z. B. mit zertifikatsbasierten Methoden wie EAP-TLS. Hier weisen sich Geräte und Server mithilfe digitaler Zertifikate gegenseitig aus. Das gilt als deutlich sicherer als reine Passwortanmeldungen, da keine Passwörter übertragen oder gespeichert werden müssen. Angriffe wie Phishing oder automatisiertes Durchprobieren von Passwörtern werden dadurch erheblich erschwert. In der Praxis kommen neben zertifikatsbasierten auch tunnelbasierte EAP-Methoden zum Einsatz:
| Verfahren | Funktionsweise | Authentifizierung | Sicherheitsniveau | Typischer Einsatz |
|---|---|---|---|---|
| EAP-TLS | Gegenseitige Authentifizierung über digitale Zertifikate | Client + Server per Zertifikat | Sehr hoch | Empfohlener Standard in Unternehmensnetzwerken, WLAN-Enterprise |
| PEAP | Aufbau eines TLS-Tunnels, darin passwortbasierte Anmeldung | Server per Zertifikat, Client per Passwort | Mittel bis hoch | Lange verbreitet in Unternehmens-WLANs |
| EAP-TTLS | TLS-Tunnel, darin flexible Authentifizierungsmethoden möglich | Server per Zertifikat, Client meist Passwort | Mittel bis hoch | Flexible Szenarien, wenn verschiedene Login-Methoden benötigt werden |
Transport- und Sicherheitsweiterentwicklungen
Auch bei der Absicherung der Datenübertragung wurde RADIUS weiterentwickelt. Das ursprüngliche Protokoll verwendet UDP und schützt nur bestimmte Passwortinformationen. Während das Passwort selbst über einen MD5-basierten Mechanismus verschleiert wird, bleiben die übrigen Inhalte der Kommunikation unverschlüsselt.
Mit RADIUS/TLS (RFC 6614, oft „RadSec“ genannt) steht inzwischen eine passende Erweiterung zur Verfügung. Hier wird die gesamte Kommunikation zwischen Netzwerkgerät und RADIUS-Server über eine verschlüsselte TLS-Verbindung übertragen. Das schützt die Daten vor Mitlesen und Manipulation und entspricht heutigen Sicherheitsstandards. RadSec wird vor allem in größeren Unternehmensnetzwerken, bei Internet-Providern oder in vernetzten Organisationen eingesetzt, in denen besonders hohe Sicherheitsanforderungen gelten.
Andere funktionale Weiterentwicklungen von RADIUS
Neben neuen Authentifizierungsverfahren und sichereren Transportmechanismen wurde RADIUS im Laufe der Jahre auch inhaltlich erweitert, um das Protokoll flexibler zu machen und besser an moderne Unternehmensnetzwerke anzupassen. Zu den wichtigsten funktionalen Erweiterungen gehören:
- Zusätzliche Attribute (Attribute-Value-Pairs): RADIUS arbeitet mit Attributen (Informationsbausteinen) innerhalb einer Anfrage. Im Laufe der Zeit wurden zahlreiche neue Attribute definiert, wodurch der Server heute deutlich mehr Informationen verarbeiten kann.
- Unterstützung von VLAN-Zuweisungen: RADIUS kann Nutzerinnen und Nutzer nach erfolgreicher Anmeldung automatisch bestimmten Netzwerksegmenten (VLAN) zuweisen. Gäste erhalten nur Internetzugang, während Mitarbeitende auf interne Systeme zugreifen dürfen. Diese Trennung erhöht die Sicherheit und erleichtert die Verwaltung.
- Dynamische Zugriffskontrollen: Zugriffsrechte lassen sich situationsabhängig vergeben. Der RADIUS-Server kann berücksichtigen, aus welchem Netzwerk sich jemand anmeldet oder welcher Benutzergruppe die Person angehört. So lassen sich unterschiedliche Sicherheitsstufen umsetzen.
- Integration von Mehrfaktorauthentifizierung: Moderne RADIUS-Server lassen sich mit zusätzlichen Sicherheitsfaktoren kombinieren, etwa Einmalcodes, Authenticator-Apps oder Hardware-Token. Das erhöht den Schutz deutlich, insbesondere bei VPN- oder Fernzugriffen.
Vorteile und Nachteile von RADIUS
| Vorteile | Nachteile |
|---|---|
| ✓ Zentrale Verwaltung und Steuerung von Zugriffsrechten | ✗ Hoher Einrichtungsaufwand in großen Netzwerken |
| ✓ Unterstützung des AAA-Prinzips | ✗ Abhängigkeit vom Server, besonders problematisch, wenn dieser ausfällt |
| ✓ Hohe Skalierbarkeit für große Netzwerke mit vielen Nutzenden | ✗ Zusätzliche Infrastruktur durch eigenen Serverbetrieb für kleine Netzwerke unverhältnismäßig |
| ✓ Individuelle Zugriffskontrolle je nach Rolle oder Nutzungsgruppen möglich | ✗ Das klassische RADIUS nutzt keine vollständige Transportverschlüsselung, weshalb moderne Erweiterungen nötig sind |
| ✓ Integration von Zertifikaten, Mehrfaktorauthentifizierung und VLAN-Zuweisung möglich (moderne Sicherheitsverfahren) | ✗ Anspruchsvolle Fehlersuche, besonders bei falschen Zertifikaten oder Konfigurationsfehlern |
| ✓ Weit verbreiteter und etablierter Standard | |
| ✓ Protokollierung von Sitzungen (Nachvollziehbarkeit) |