Bundesamt für Sicherheit in der Informationstechnik

M 5.138 Einsatz von RADIUS-Servern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In großen Netzen sollten möglichst Authentisierungsserver eingesetzt werden, wie z. B. RADIUS-Server. RADIUS (Remote Authentication Dial-In User Service) ist ein Client-Server-Protokoll, das zur Authentisierung, Autorisierung und zum Accounting (AAA-System) von Benutzern für die zentralen Absicherung von Verbindungen dient. Das Protokoll ist in mehreren RFCs beschrieben, der wesentliche ist RFC 2865.

Ein Authentisierungsserver soll gewährleisten, dass ausschließlich berechtigte Nutzer auf das interne Netz zugreifen können, der Zugriff kann zusätzlich auf bestimmte Endgeräten eingeschränkt werden. Hierbei findet zunächst eine Identifikation, z. B. anhand einer Kennung, und anschließend die Authentikation, z. B. über ein Passwort, statt. Die Übertragung dieser Daten sollte verschlüsselt erfolgen. Hierbei wird häufig das Protokoll EAP (Extensible Authentication Protocol) genutzt. Die Authentisierung erfolgt bei EAP Port-basiert und beruht auf dem Standard IEEE 802.1X. Dies bedeutet, dass der Zugang zum Netz erst dann erlaubt wird, wenn sich der Client eindeutig am RADIUS-Server identifiziert hat.

Die zum Einsatz kommenden Authentisierungsserver sind geeignet abzusichern (siehe M 4.250 Auswahl eines zentralen, netzbasierten Authentisierungsdienstes ).

Für die Shared Secrets zwischen RADIUS-Server und RADIUS-Client sind ausreichend lange, komplexe kryptographische Schlüssel zu verwenden. Dabei kann, wenn die administrativen Möglichkeiten gegeben sind, für jede RADIUS-Client-Server-Beziehung ein anderes Shared Secret verwendet werden.

Für RADIUS sollten Komponenten eingesetzt werden, die den Anforderungen aus den RFCs zu RADIUS entsprechen, um eine größtmögliche Interoperabilität zwischen den verschiedenen Komponenten sicherzustellen. Die Authentisierungs- und Abrechnungsprotokolle sollten in einem gesonderten Datenbanksystem gespeichert werden können.

Die RADIUS-Kommunikation sollte auf Port 1812 bzw. 1813 beschränkt werden. Die Ports 1645 bzw. 1646 sollten nach Möglichkeit nicht verwendet werden. Andere Ports sind zu schließen, soweit technisch möglich. Die RADIUS-Kommunikation des Servers ist auf die dem Server bekannten und authentischen RADIUS-Clients zu beschränken.

Bei hohem Schutzbedarf hinsichtlich der Vertraulichkeit der Authentisierungsinformationen ist IPSec zur Sicherung der RADIUS-Kommunikation empfehlenswert, wobei jedoch nicht auf die RADIUS-eigenen Verfahren zur Absicherung der Kommunikation verzichtet werden sollte. Ebenso ist hierbei über einen Einsatz eines redundanten RADIUS-Servers nachzudenken.

Die Richtlinien, nach denen ein RADIUS-Server eine Authentisierungsanfrage beantwortet, sollten so restriktiv wie möglich gewählt werden. Hierbei sollten die zulässigen Einwahlzeiten, die MAC-Adresse und der Port-Typ des sich verbindenden RADIUS-Clients, sowie die IP-Adresse des RADIUS-Clients und die EAP-Methode zur Authentikation festgelegt werden.

Prüffragen:

  • Existiert beim zentralen, netzbasierten Authentisierungsdienst eine Regelung für Remote Dial-In Verbindungen?

  • Sind die Ports zur RADIUS -Kommunikation auf das erforderliche Maß beschränkt ( z. B. Port 1812 beziehungsweise 1813)?

  • Bei hohem Schutzbedarf an Vertraulichkeit: Wird zusätzlich zu den RADIUS -eigenen Verfahren IPSec zur Absicherung der Kommunikation eingesetzt?

  • Bei hoher Verfügbarkeit: ist der RADIUS -Dienst redundant ausgelegt?

  • Ist der RADIUS -Dienst auf Seiten des Authentisierungsservers auf autorisierte RADIUS -Clients beschränkt?

  • Sind die Richtlinien des RADIUS -Servers zur Annahme von Authentisierungsanfragen möglichst restriktiv gewählt?

Stand: 13. EL Stand 2013