Sie sind hier:
 

Die Radius-Identität
Zur Funktionsweise eines Radius-Servers

von Christian Grohmann Uhr veröffentlicht

Diesen Artikel weiterempfehlen
SHARES

Bestimmt kennen Sie den Sicherheits-Grundsatz, dass Passwörter nirgendwo hinterlegt werden sollten. So weit, so gut. Aber was nützt ein Passwort, wenn die Gegenstelle es nicht bestätigen kann - gerade weil es nirgends gespeichert ist? Folglich muss irgendwo im Netz eine Liste der Zugangsberechtigten hinterlegt sein.

Bestimmt kennen Sie den Sicherheits-Grundsatz, dass Passwörter nirgendwo hinterlegt werden sollten. So weit, so gut. Aber was nützt ein Passwort, wenn die Gegenstelle es nicht bestätigen kann - gerade weil es nirgends gespeichert ist? Folglich muss irgendwo im Netz eine Liste der Zugangsberechtigten hinterlegt sein.

Die Szene ist hinreichend bekannt: In einer Empfangshalle sitzt der Pförtner und prüft anhand seiner Unterlagen, wer das Gebäude betreten darf. Existiert kein Vermerk über den Besucher, sollte dieser den Aktionsradius des Pförtners möglichst schnell verlassen. Bei der Datenverarbeitung steht die Abkürzung Radius allerdings für "Remote Authentication Dial-In User Service", frei übersetzt heißt das soviel wie Fernüberprüfungs-Kundeneinwahl-Service.

Keine geringere Aufgabe als die des Pförtners kommt dem Radiusserver zu. Er entscheidet, ob ein User mit bestimmten Zugangsdaten sich über den jeweiligen Provider einwählen darf. Dabei kommuniziert er aus Sicherheitsgründen nicht direkt mit dem Rechner, von dem die Anfrage gestartet wurde. Einen Pförtner könnte man ja schließlich hypnotisieren - oder in diesem Fall hacken.

Pförtner des Providers

Startet ein Rechner eine Verbindungsanfrage, wird er als erstes mit dem entsprechenden Einwahlserver verbunden. Sobald sich die Geräte synchronisiert haben, übermittelt der anfragende Rechner Benutzerkennung und Passwort an den Einwahlserver, der diese via Radius-Protokoll an einen Radiusserver mit der Benutzerdatenbank weiterleitet. Für ADSL-Zugänge ist dieses Protokoll genormt (RFC-2138/2139).

Der Radiusserver vergleicht nun die gespeicherten mit den übermittelten Daten: ist der Account aktiviert und stimmen Benutzerkennung und Passwort überein, setzt er sich wiederum mit dem Einwahlserver in Verbindung und bestätigt die Anfrage als berechtigt. Daraufhin gibt der Einwahlserver die Verbindung in den Backbone frei.

Türstehernetzwerk

Unter extremen Belastungen neigen Radiusserver allerdings dazu, vorübergehend auszufallen. Zumindest erhöht sich die Anfragezeit gelegentlich auf einen Wert, bei dem der Einwahlserver die Verbindung mit einem Time-out abbricht. Der ahnungslose User erfährt wahrscheinlich nicht einmal, warum die gewünschte Verbindung nicht zustande kommt.

Aus diesem Grund stellt der Provider mehrere Radiusserver auf, die er untereinander vernetzt und über einen Proxy-Server mit dem Einwahlserver verbindet. So können sich die Server die Anfragen bei Bedarf aufteilen. Ebenso kann der Betreiber die Kunden-Datenbank zentral verwalten. Trotzdem berichten Kunden manchmal von Ausfällen, die wahrscheinlich auf das Radius-System zurückzuführen sind.

Welcher Server für den Einwählenden zuständig ist, wird durch die Domäne, auch genannt Radius-Zone festgelegt. Die übermittelt der User selbst. In seinen gesendeten Daten befindet sich zumindest bei der Einwahl über DSL eine Kombination in dem Format: Benutzerkennung@Domäne. Die genaue Gestaltung dieser Kennung hängt wiederum vom Provider ab.

WLAN-Einsatz und Sicherheit

Das Radius-Verfahren kommt allerdings nicht nur Internet-Backbone zum Einsatz. Verschiedene WLAN-Systeme benutzen es ebenfalls für die Authentifizierung der einzelnen Wireless-Clients. Dabei gibt es aber ein Problem: Benutzerkennung und Passwort sind auf dem Weg zum Access-Point nur dann gesichert, wenn sie entsprechend gut verschlüsselt sind.

Ist das nicht der Fall, kann ein Dritter den Datenstrom mithören oder abfangen. Mit der gewonnenen Kennung kann der Langfinger den Zugang zu späterem Zeitpunkt ebenfalls nutzen, oder gar den Platz des eigentlichen Nutzers einnehmen, was mit dem Begriff "Session Hijacking" ganz passend umschrieben wird.

Wühlmäuse

Nutzer von Drahtverbindungen sind da klar im Vorteil: Um die Benutzerkennung zwischen Nutzer und Einwahlserver abzufangen, müsste ein Datendieb schon die Telefonkabel ausgraben und anzapfen. Das Risiko ist also vergleichsweise gering - aber durchaus nicht auszuschließen, denn der Zweck heiligt die Mittel, wenn die Daten entsprechend wertvoll sind.

Ein solcher Fall wurde im Kalten Krieg bekannt: Taucher eines amerikanischen U-Bootes zapften ein Unterwasser-Telefonkabel der Sowjets an und installierten ein Aufzeichnungsgerät. Man kann aber sicherlich davon ausgehen, dass die Amerikaner mehr an Daten und Gesprächen interessiert waren, als an der Benutzerkennung.

netzwelt Live

DSL- & LTE-Speedtest

Testen Sie mit unserem Speedtest Ihre tatsächliche DSL- oder LTE-Geschwindigkeit. Test auch mit Smartphone und Tablet möglich.

Jetzt Testen!

Der große Android-Update-Fahrplan

Welche Android-Version ist für mein Smartphone oder Tablet-Computer aktuell? Der große Android-Update-Fahrplan bringt Licht ins Dickicht der Versionen.

Jetzt ansehen!

article
14295
Die Radius-Identität
Die Radius-Identität
Bestimmt kennen Sie den Sicherheits-Grundsatz, dass Passwörter nirgendwo hinterlegt werden sollten. So weit, so gut. Aber was nützt ein Passwort, wenn die Gegenstelle es nicht bestätigen kann - gerade weil es nirgends gespeichert ist? Folglich muss irgendwo im Netz eine Liste der Zugangsberechtigten hinterlegt sein.
http://www.netzwelt.de/news/67623-radius-identitaet.html
2004-10-05 12:00:00
News
Die Radius-Identität