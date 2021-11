Inhaltsverzeichnis Netzwerksicherheit: Ist Diameter das bessere RADIUS? Funktionen des Basisprotokolls Aufbau einer Diameter-Nachricht Fazit Artikel in iX 11/2021 lesen

Heutzutage ist RADIUS (Remote Access Dial-in User Service) in Enterprise-Netzen allgegenwärtig, sei es als zentrale Authentifizierungsinstanz fürs Gerätemanagement, bei VPN- oder NAC-Anwendungen (Network Access Control) oder als Backend für Webauthentifizierungen. Dennoch hat es einige Nachteile. Beispielsweise beherrscht RADIUS nur UDP, was es anfällig gegen Spoofing-Angriffe macht und bei Paketverlust die Möglichkeit der Retransmission vermissen lässt.

Zudem fehlen dem Standard verpflichtende Securitymechanismen. Zwar hat der RFC 3162 nachträglich IPsec für RADIUS definiert, jedoch nicht als Verpflichtung festgelegt. Von "Security by Design" kann also hier keine Rede sein. Last, but not least fehlen definierte Failover-Mechanismen. Die meisten Hersteller nutzen deshalb proprietäre Verfahren zur Fehlererkennung mit eigens definierten Timern und Prüfverfahren.

Des Weiteren sieht das RADIUS-Protokoll serverseitige Nachrichten ebenfalls nicht verpflichtend vor, sie werden nur als Ergänzung in RFC 5176 erwähnt. Außerdem fehlt Client- und Serverimplementierungen die Möglichkeit, ihre Fertigkeiten vorher auszuhandeln. Spezifische Fehlertypen für Benachrichtigungen sind ebenfalls nicht definiert.