M 5.138 Einsatz von RADIUS-Servern
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
In großen Netzen sollten möglichst Authentisierungsserver eingesetzt werden, wie z. B. RADIUS-Server. RADIUS (Remote Authentication Dial-In User Service) ist ein Client-Server-Protokoll, das zur Authentisierung, Autorisierung und zum Accounting (AAA-System) von Benutzern für die zentralen Absicherung von Verbindungen dient. Das Protokoll ist in mehreren RFCs beschrieben, der wesentliche ist RFC 2865.
Ein Authentisierungsserver soll gewährleisten, dass ausschließlich berechtigte Nutzer auf das interne Netz zugreifen können, der Zugriff kann zusätzlich auf bestimmte Endgeräten eingeschränkt werden. Hierbei findet zunächst eine Identifikation, z. B. anhand einer Kennung, und anschließend die Authentikation, z. B. über ein Passwort, statt. Die Übertragung dieser Daten sollte verschlüsselt erfolgen. Hierbei wird häufig das Protokoll EAP (Extensible Authentication Protocol) genutzt. Die Authentisierung erfolgt bei EAP Port-basiert und beruht auf dem Standard IEEE 802.1X. Dies bedeutet, dass der Zugang zum Netz erst dann erlaubt wird, wenn sich der Client eindeutig am RADIUS-Server identifiziert hat.
Die zum Einsatz kommenden Authentisierungsserver sind geeignet abzusichern (siehe M 4.250 Auswahl eines zentralen, netzbasierten Authentisierungsdienstes).
Für die Shared Secrets zwischen RADIUS-Server und RADIUS-Client sind ausreichend lange, komplexe kryptographische Schlüssel zu verwenden. Dabei kann, wenn die administrativen Möglichkeiten gegeben sind, für jede RADIUS-Client-Server-Beziehung ein anderes Shared Secret verwendet werden.
Für RADIUS sollten Komponenten eingesetzt werden, die den Anforderungen aus den RFCs zu RADIUS entsprechen, um eine größtmögliche Interoperabilität zwischen den verschiedenen Komponenten sicherzustellen. Die Authentisierungs- und Abrechnungsprotokolle sollten in einem gesonderten Datenbanksystem gespeichert werden können.
Die RADIUS-Kommunikation sollte auf Port 1812 bzw. 1813 beschränkt werden. Die Ports 1645 bzw. 1646 sollten nach Möglichkeit nicht verwendet werden. Andere Ports sind zu schließen, soweit technisch möglich. Die RADIUS-Kommunikation des Servers ist auf die dem Server bekannten und authentischen RADIUS-Clients zu beschränken.
Bei hohem Schutzbedarf hinsichtlich der Vertraulichkeit der Authentisierungsinformationen ist IPSec zur Sicherung der RADIUS-Kommunikation empfehlenswert, wobei jedoch nicht auf die RADIUS-eigenen Verfahren zur Absicherung der Kommunikation verzichtet werden sollte. Ebenso ist hierbei über einen Einsatz eines redundanten RADIUS-Servers nachzudenken.
Die Richtlinien, nach denen ein RADIUS-Server eine Authentisierungsanfrage beantwortet, sollten so restriktiv wie möglich gewählt werden. Hierbei sollten die zulässigen Einwahlzeiten, die MAC-Adresse und der Port-Typ des sich verbindenden RADIUS-Clients, sowie die IP-Adresse des RADIUS-Clients und die EAP-Methode zur Authentikation festgelegt werden.
Ergänzende Kontrollfragen:
- Wie werden die Authentisierungsinformationen bei der Übertragung geschützt?
- Wie werden Angriffe auf den RADIUS-Server verhindert?