Sie sind hier:
 

Die Radius-Identität
Zur Funktionsweise eines Radius-Servers

von Christian Grohmann Uhr veröffentlicht

Diesen Artikel weiterempfehlen
SHARES

Bestimmt kennen Sie den Sicherheits-Grundsatz, dass Passwörter nirgendwo hinterlegt werden sollten. So weit, so gut. Aber was nützt ein Passwort, wenn die Gegenstelle es nicht bestätigen kann - gerade weil es nirgends gespeichert ist? Folglich muss irgendwo im Netz eine Liste der Zugangsberechtigten hinterlegt sein.

Bestimmt kennen Sie den Sicherheits-Grundsatz, dass Passwörter nirgendwo hinterlegt werden sollten. So weit, so gut. Aber was nützt ein Passwort, wenn die Gegenstelle es nicht bestätigen kann - gerade weil es nirgends gespeichert ist? Folglich muss irgendwo im Netz eine Liste der Zugangsberechtigten hinterlegt sein.

Die Szene ist hinreichend bekannt: In einer Empfangshalle sitzt der Pförtner und prüft anhand seiner Unterlagen, wer das Gebäude betreten darf. Existiert kein Vermerk über den Besucher, sollte dieser den Aktionsradius des Pförtners möglichst schnell verlassen. Bei der Datenverarbeitung steht die Abkürzung Radius allerdings für "Remote Authentication Dial-In User Service", frei übersetzt heißt das soviel wie Fernüberprüfungs-Kundeneinwahl-Service.

Keine geringere Aufgabe als die des Pförtners kommt dem Radiusserver zu. Er entscheidet, ob ein User mit bestimmten Zugangsdaten sich über den jeweiligen Provider einwählen darf. Dabei kommuniziert er aus Sicherheitsgründen nicht direkt mit dem Rechner, von dem die Anfrage gestartet wurde. Einen Pförtner könnte man ja schließlich hypnotisieren - oder in diesem Fall hacken.

Pförtner des Providers

Startet ein Rechner eine Verbindungsanfrage, wird er als erstes mit dem entsprechenden Einwahlserver verbunden. Sobald sich die Geräte synchronisiert haben, übermittelt der anfragende Rechner Benutzerkennung und Passwort an den Einwahlserver, der diese via Radius-Protokoll an einen Radiusserver mit der Benutzerdatenbank weiterleitet. Für ADSL-Zugänge ist dieses Protokoll genormt (RFC-2138/2139).

Der Radiusserver vergleicht nun die gespeicherten mit den übermittelten Daten: ist der Account aktiviert und stimmen Benutzerkennung und Passwort überein, setzt er sich wiederum mit dem Einwahlserver in Verbindung und bestätigt die Anfrage als berechtigt. Daraufhin gibt der Einwahlserver die Verbindung in den Backbone frei.

Türstehernetzwerk

Unter extremen Belastungen neigen Radiusserver allerdings dazu, vorübergehend auszufallen. Zumindest erhöht sich die Anfragezeit gelegentlich auf einen Wert, bei dem der Einwahlserver die Verbindung mit einem Time-out abbricht. Der ahnungslose User erfährt wahrscheinlich nicht einmal, warum die gewünschte Verbindung nicht zustande kommt.

Aus diesem Grund stellt der Provider mehrere Radiusserver auf, die er untereinander vernetzt und über einen Proxy-Server mit dem Einwahlserver verbindet. So können sich die Server die Anfragen bei Bedarf aufteilen. Ebenso kann der Betreiber die Kunden-Datenbank zentral verwalten. Trotzdem berichten Kunden manchmal von Ausfällen, die wahrscheinlich auf das Radius-System zurückzuführen sind.

Welcher Server für den Einwählenden zuständig ist, wird durch die Domäne, auch genannt Radius-Zone festgelegt. Die übermittelt der User selbst. In seinen gesendeten Daten befindet sich zumindest bei der Einwahl über DSL eine Kombination in dem Format: Benutzerkennung@Domäne. Die genaue Gestaltung dieser Kennung hängt wiederum vom Provider ab.

WLAN-Einsatz und Sicherheit

Das Radius-Verfahren kommt allerdings nicht nur Internet-Backbone zum Einsatz. Verschiedene WLAN-Systeme benutzen es ebenfalls für die Authentifizierung der einzelnen Wireless-Clients. Dabei gibt es aber ein Problem: Benutzerkennung und Passwort sind auf dem Weg zum Access-Point nur dann gesichert, wenn sie entsprechend gut verschlüsselt sind.

Ist das nicht der Fall, kann ein Dritter den Datenstrom mithören oder abfangen. Mit der gewonnenen Kennung kann der Langfinger den Zugang zu späterem Zeitpunkt ebenfalls nutzen, oder gar den Platz des eigentlichen Nutzers einnehmen, was mit dem Begriff "Session Hijacking" ganz passend umschrieben wird.

Wühlmäuse

Nutzer von Drahtverbindungen sind da klar im Vorteil: Um die Benutzerkennung zwischen Nutzer und Einwahlserver abzufangen, müsste ein Datendieb schon die Telefonkabel ausgraben und anzapfen. Das Risiko ist also vergleichsweise gering - aber durchaus nicht auszuschließen, denn der Zweck heiligt die Mittel, wenn die Daten entsprechend wertvoll sind.

Ein solcher Fall wurde im Kalten Krieg bekannt: Taucher eines amerikanischen U-Bootes zapften ein Unterwasser-Telefonkabel der Sowjets an und installierten ein Aufzeichnungsgerät. Man kann aber sicherlich davon ausgehen, dass die Amerikaner mehr an Daten und Gesprächen interessiert waren, als an der Benutzerkennung.

Yn(N!+`GnkW$uT?Mb((&7mYfE}@$!* iMbzw"S+}!ߵ8jիZ[ȓ{'뉬CaѤ&~OjyyPi1˛9E3i=ڼrC~[ ed$z` i?+&W]Lnq^ 5hҿ_am'M}^5$SQߍ_;3wa~f4!qa1dW<@.iYTٍGnӪ<^SYۦ0(Y`[VqVGcnKxW6H]w=UY=GwS*,ι ]_|{hߟ+ԜO>d?##5-OwgE?88YI8p ܲKqy;ߕ9a uʀ=?ZǞ5\0R"Lt}G|ȣqP?-9?kz9j$8弳jb,E[~ߝ_5NXZ^CPA9^FzQXMOfR"}S~%R?(( <<z%Ec'7uJfK˔sWJ|^L(A U磌[ 摟G2xc{b)lTmp~3g>O'ȭH늌C-p:a3S ﴹM et#glp_C7xqx`t)uęxƿA!( [2vascd#'CAz=[hF 4nA(FC?h%Jd\\l H@h/Ctq[IK)᾵~@S>(}c[YSpމ#M휱Ǹu`f|<uJ#2׹qdgq%\&=#0~Bvc[5B1?bjtk fu qzPξYSn^8in9ChY, wSq%~o\;vSD/t,4co G=uGC+Dsd~OioW ?%OJaiy͠Z!nO"*T=i N2 嫀 6G';A;|ixSA.NI8E2{PdO|̶ |M`pK*6XDiG`M/ˀkQ5>v?h]vFf|PɊv;s4>Avr }YG@!A^SNQQ ojeI@F&Nl&RF 1pWꞌjyn^ÿ7j`'y5ygss^L| JA'RR)kawBy-C~%7^66 jt \Lj 9-F {Tnzb*.*Cn/6HEmn9'oy2Ys>:9]_ﲬ };~!Жe\jFߗIkW37iτ+cBKNe{3G+K1TpEvXt|a|õH#5RvCfQ. A~7N˭1-ŜZh vSuq5g90rs {° I jxDu~[5K^BZbğg qDa3C3msX W\4d\,w} j73ytSt8(HyaeKE?7rFD; ?ɂH$\`q+ϟ#2)`a݊`nsz.L T$L/-HPAgC^(<@u`68*)uտ@g &{1/?o?f^bJ.S1Zo{aÈ)iA ?㧯Gu"9~n OV ~x0B^F*,ɊГspAAp'0#I{+0~-dОVqhx&*|T5u˻%U > F΀<|#Wy3E vi{E^ko<(]Au}Fy3sU[H )IaWľdlBiw= bpR<_FLn>4,*u#=\WoP}ytq!t Z{.#cq/ nF煘E/jY=ڞg??A"Y]J{*.W 6#r 7OtT7m3U J"raçdž~k1w-sE׹;zАi{.l>'{^9^UCvDwbh Kܱ7 q d\'Pn~:dr_S9+=drL ryMCc0]N<+DLB"Ml6ֻ+p7@\ѲE0t0fCLE}_a1~ŷcEA`5l,d ȣJ1ri*LC=ןuC<*}s_v/1rP|F7io_os 9i]6}E'>e C 4/ k:z/>MGV$BE72Ѕ2='P$L/9 o^6ayO/bĂG-nU~XpJ49:&?^ 8Ysۗ!Y!$ ~W;]ͯgWZ: \-9[iveo2ȧss.&B\,snY w>sKՍ%qYSޡpi`/,_2w0#gӆ/IAH3,"=j&ԿΜRn" p?BAs-~߿v{#]O-Ƀ(`Bfwܤy+!8|Zw'FylCå0Ft1O nlgGuU %o.t/'^Coo:\|`3sj}; ks3h)PN՘j#@lD8|}X>x?acA?6!u` k܊6ZK_be=k^|\,DL7vB60n;g4ʖϳz*\X07[xVlt(Y߯m_RhKDϣ+% G? kBҤacbu$ls^n§s)HZ{QI4[B>+|^n' Im#ޕ^ZZrg}j ]HR"l[- 6 .,YtW^f/B(1vB99JnpwvC+`)mK;_E-T״_aL0r &„h b)8>0rHjXr{L? D 1~o c'\S#o}&) [^،ݳ]AYS=HeaTm" UP4Vlɦ+;>/ėjIXDC/0ZbYVߴ%'tr=ﷳg]O؅7.@@uSwKAp='}=Y'oAh:l|p GDy`CH5f{74I'~+=zv3~#mQ'USnQӉhj6 Y:ki=GiYW  D#x^?yu{xoZn?==w_l1uR3ٹNVx QZ|$H}P>z6N#cD~Q umi>D7<_;1 IpNjvٝ{}.ʤhC-u,η#JFo3'<7Jg7ᯗV>iW~bU:HǯufrB+kN>qm9L&sҦWa^Jۥy> >ǬrSU2}jO z 4y_]TKNl[|{ɖ]HiCV4HבI[< 6b(&7mCc@9$!*iMb :Z"S+)~?8j5Z[̋{'덬C]mxχi 7s|K< S(͚SΦם}=9~)_ PH&nM?!W_woCcY6s vr})Ǧr[k_m3YX6{C99 i3Y2m͛ԅʇTzּD<$VC1 ; {*Ҽ;k눦%~ݿ7tKc\z)cMG:'CDnhkA¿/ق*XIni'ۯH$YE??2kvB7˝I1dO@.iYyD+e9yn)cS# BؑUܷ8Xp~#%l M/F.wzYE_.LGo~S*l ??vѝeߎrQs+ߌ>@bΌdԴ8¹ ߩ,<_D|Cb/Wý vrޕڧz 5$R=yyy${n}qfTg_{i!fB3qNFAՍb8FYr^"/2I]%DhUm :#De&J<LS8^ÁËd?˿A$Z\wi]qpceQ;_Ns4~x&tGKۄQаnDM^9cP*$pZ_7/VIwK-a8]qa{ Ñ ]"bZ˜v .R^Co!0!9iڶ+Z:-v`&nhC^ D \Cvq4RB)؊C\J ['ze5F/Κ@8~9ԮKz Yی[sipZ<O:w"l3G2hk8cQ0#ut :^#+)NI^IM9nh Q`p ӻrú:xtRMSVTok8\"@Qq%@.[USDtm`c_ W@K'D92OiW ?<%oJi}͠Z!Ono"*Th? %AcOcjy,U@t[sIO9Mfx)ũ_H%3~Ck}@NCPmE cp1~ATϹW1ɏh,oQ"Y rqgn2..!/wdB;j)?+5Pmvl d9rMD*6& rBVd$P;țwA]k߂ EM9?ơWOL3K^4 )S[9Ex%?Qƣ8Ue-J%ڏnyPnZo7RR)aBy-C~%}sl4*3îQ+T/tՎ8s[omT<1/Jd%@twwu-&o-D\<ݳ-"2W}hZox.F߯ﱬ9/ yОejF?8I\{W3kc(c`zQ mYKgsetw&J^Z~ˢK_Cv_e|[eG1=xB-^[?5>ǖAόsW} ih.hPH<. @T_!˃b 5[{oxPTE@--yqK:zrhC8`>I'5N: a}F b=J"p־7bo 1ElG3bT=\Z4ckz3e =z"Q`?W{ITPhl^J3~&Q&AUh:Z+t2Nxq'㢝wi5sBHnƉ[i[n3L^=~K %^)opvf+%=RI"@+^y9LFQSs; {cZ(\%7azCis( R=B%oF)ZMrX׉:ᄫT<6xzhx47S&ȬcNY2YnMd'Tt{ԣ^QU3ۇ9 r/MJE)___|%1߻\JڳօQ0(C>zfLOub MSJ\ <%?ˀǿCu'k?_]# Rsmzi`o~3MqvM,{CgR%>GAVYxǿaFo:hOv jF h9?\Ca_E|7"|AW>'Ry-wOݪPI/ԔڗΞft{ڷHdvØ' K0*k~O?R9Dx{?1d_hrlgs=\]6Ǚ¸t.gQx/ߢ{ #TpS7_?dZ~~ANܮ$?Qm!7@3Q{MU->Sl]U.1 @ޞ`Dh 8 ~K)!r<a]}"t"/(CAa/ 51$Egg—=0 HEz(^3t ِfIoT{_%}Ea{oO[r^ً~bo˫Ksv̠ Tf"8n}`zmz^<6pv?|)^(?tп ={!N[1 \p@)lt&̰*lOiAod''/aUFE~et~MqͿgn1Ike?q:$tp=ضjW4ekf)˔),?~oǾwhЬHp=+X$H#S:/-v+LVme~݈ͦ#qU/&Ӷ&W&Hx="@\qGsk?ﮅH,mH{NHOA3 KGcgowUh% ,[̮?/_Cpz7ɁIBOYl( 1n^+zYo>Esۗ_/ﭸDH_!7G_S? 4+PyU8c̔"T(HnOdž/uls__1[-zeG.l7{?>m*%1ŅDIzR2Tŧ<63wxX{*[`,BNҠ//sO0]n<'xMB7U6Y Ua0Yo| .hل]"h(:(3&}y+F Rac![ULc'WЄHd|꜉.hS8piUpukA\n g s՟_6>Bs#܆[+8^ZP$y@¤αsk6:",.j~D911u&~ӿ#`Q|@Kbە= F%^Z?^ t*N ~W'=gw: \-{v}6e^ox)_'M s˶,*;O8>sK՝K4㲗lpm`:,?yylKaߚ.d5^c(X/*Ɍ!{8sԹHdp>UB'΀?+F߾7ZDW#|,O?DSrHEk\L a6L#ҋ.\t2C\;E[ i}?OWTs[HZ4LsMUC VcWRcm&@JX9o,YnjΞ(Il;Ғ;vVh(B]|MK!q~q?M (4=,ewX:E!5bU>hd<ՍH ,)ք0r3i+i 80," ڥi4> zOϷ\.a&VzPC)Ҋ-ΝauT=L 3V~s|9^$eaG 00[K;/ČAG;ܿN M|STx1<')za3{vTx^}fRn}Ezc' S by5M6hMiTv|?oե0ѢoVS{(,o 2D9͙E 5Eˇyv!ͱnm Vn=Q`\ofvw۞7f#gQD͟ܠnQ؁F9^mҍʡp;^2 N_[ @G t#{#c6

DSL- & LTE-Speedtest

Testen Sie mit unserem Speedtest Ihre tatsächliche DSL- oder LTE-Geschwindigkeit. Test auch mit Smartphone und Tablet möglich.

Jetzt Testen!

Der große Android-Update-Fahrplan

Welche Android-Version ist für mein Smartphone oder Tablet-Computer aktuell? Der große Android-Update-Fahrplan bringt Licht ins Dickicht der Versionen.

Jetzt ansehen!

article
14295
Die Radius-Identität
Die Radius-Identität
Bestimmt kennen Sie den Sicherheits-Grundsatz, dass Passwörter nirgendwo hinterlegt werden sollten. So weit, so gut. Aber was nützt ein Passwort, wenn die Gegenstelle es nicht bestätigen kann - gerade weil es nirgends gespeichert ist? Folglich muss irgendwo im Netz eine Liste der Zugangsberechtigten hinterlegt sein.
http://www.netzwelt.de/news/67623-radius-identitaet.html
2004-10-05 12:00:00
News
Die Radius-Identität