RADIUS

[Helmut]

RADIUS
Securing Public Access to Private Resources

Jonathan Hassell
1st Edition Oktober 2002
ISBN 0-596-00322-6
Seiten 206
EUR34.00, SFR57.90

http://www.oreilly.de/catalog/radius/

RADIUS ist ein stark verbreitetes Protokoll für die Authentisierung und Autorisierung von Benutzern, sowie für das Accounting ("AAA"). Der Name leitet sich ab von "Remote Authentication Dial-In User Service". RADIUS wird bei der Einwahl in geschlossene Firmennetze, bei der Einwahl in's Internet über Provider und für gesicherte WLANs eingesetzt.

Wenn man vor der Notwendigkeit steht, sich mit diesem Protokoll etwas intensiver auseinander zu setzen, fällt auf, dass es (abgesehen von den einschlägigen RFCs) sehr wenig Literatur zu diesem Thema gibt. Um so erfreulicher ist es dann aber, dass dieser Titel von O'Reilly auch schon völlig ausreicht und (fast) alles bietet, was man wissen muss.

Schauen wir uns mal kurz an, womit sich die einzelnen Kapitel beschäftigen.

Chapter 1 - An Overview of RADIUS
Das Buch startet mit einem kurzen aber wertvollen Überblick. Erst wird völlig unabhängig vom konkreten Protokoll RADIUS eine kurze Einführung in das Triple-A-Thema "Authentication, Authorisation, Accounting (AAA)" und entsprechende Architekturen gegeben. Anschließend erläutert der Autor in aller Kürze, wie die Grundzüge von RADIUS aussehen, wann und wie es entwickelt worden ist und mit welchen Limitierungen man rechnen muss.

Chapter 2 - RADIUS Specifics
Im nächsten Kapitel geht es dann direkt ab in die Tiefen des RADIUS-Protokolls. Die netzwerkbasierte Client-Server-Kommunikation mittels UDP-Datagrammen wird erläutert, die Datenpakete von ihrem grundlegenden Aufbau her beschrieben, die einzelnen Paktetypen (Access-Request, Access-Accept, Access-Reject, ...) und ihre Datenfelder vorgestellt. Sehr nützlich ist hier der immer gleiche Aufbau der Beschreibungen mit einer einführenden tabellarischen Darstellung, einem erläuternden Text und einer grafischen Darstellung des Datenpakets.
Eine kurze Erläuterung der Authentisierungsmethoden PAP und CHAP, sowie des Begriffs der RADIUS-Realms schließen dieses Kapitel ab.

Chapter 3 - Standard RADIUS Attributes
RADIUS ist vom Ansatz her ein sehr einfaches Protokoll, es gibt nur wenige Request- und Response-Datenpakete mit denen sich Client und Server verständigen. Seine Stärke und Komplexität zieht RADIUS daraus, dass es in diesen Datenpaketen eine Menge von Attributen geben kann, zum Teil geben muss. Auf 27 Seiten erläutert Jonathan Hassell sämtliche Standard RADIUS Attribute. Diese Darstellung ist so knapp wie möglich gehalten, insgesamt aber totzdem sehr informativ und daher gut gelungen!

Chapter 4 - RADIUS Accounting
Ging es bis hierhin hauptsächlich um Authentisierung und Autorisierung (RFC 2865), so kommt nun die "andere Seite" des RADIUS-Protokolls zu ihrem Recht, das RADIUS-Accounting (RFC 2866). Nach einem kurzen architektonischen Überblick werden die Accounting-Datenpakete (Accounting-Request und Accounting-Response), sowie die Accounting-spezifischen Datenattribute erläutert.

Chapter 5 - Getting started with FreeRADIUS
Mit diesem Kapitel wird die theoretische Seite des RADIUS-Protokolls für eine Weile verlassen und es geht um die praktische Nutzung eines RADIUS-Produkts, nämlich um FreeRadius den weit verbreiteten kostenlosen Open Source RADIUS-Server. Auf 22 Seiten wird eine knappe Einführung in FreeRADIUS, seine Installation und die Bedeutung der einzelnen Konfigurationsdateien und -Parameter gegeben. Damit sollte ein ein Leser mit Vorkenntnissen in der Installation von Unix/Linux-Software durchaus in der Lage sein, einen funktionsfähigen Test-Server aufzusetzen.

Chapter 6 - Advanced FreeRADIUS
Die Ausführungen zu FreeRADIUS werden in einem weiteren Kapitel vertieft. Hier geht es um weiterführende Themen wie PAM, Proxying, Realms und die Nutzung von MySQL als Benutzerdatenbank.

Chapter 7 - Other RADIUS Applications
Hier geht es nicht, wie man vielleicht fälschlicherweise annehmen könnte, um andere RADIUS-Produkte. Vielmehr wird auch in diesem Kapitel die Betrachtung zu FreeRADIUS fortgesetzt. Die jeweils nur kurz angerissenen Themen sind RADIUS für die Web Authentisierung mit mod_auth_radius, RADIUS und LDAP, sowie Tools zur Auswertung von RADIUS-Logfiles.

Chapter 8 - The Security of RADIUS
In aller Kürze geht J.Hassell hier auf 8 Seiten auf die Sicherheitsprobleme beim Einsatz von RADIUS ein. Er erläutert die Schachstellen des Protokolls und seiner Anwendung und gibt Hinweise auf Maßnahmen zur Verbesserung der Sicherheit. Kurz wird auch auf EAP (das Extensible Authentication Protocol) und geplante Verbesserungen des Protokolls RADIUS selber, sowie den designierten RADIUS-Nachfolger DIAMETER eingegangen.

Chapter 9 - New RADIUS Developments
Im vorletzten Kapitel des Werkes geht der Autor auf einige neue Entwicklungen im RADIUS-Umfeld ein, wie

Verbesserungen beim Accounting (Interim Accounting Updates, bereits mit der RFC-Neuauflage im Juni 2000 eingeführt)
RADIUS im Apple-Umfeld
eine etwas ausführlichere Darstellung von EAP
RADIUS mit Tunneling Protokollen

Die entsprechenden neuen Erweiterungsattribute werden vorgestellt und erläutert.

Chapter 10 - Deployment Techniques
Mit einigen Tipps zur praktischen Einführung und Betrieb von RADIUS unter besonderer Berücksichtigung des Aspekts "Verfügbarkeit" schließt der Textteil dieses Buch.

Anhang - Attribute Reference
Im Anhang gibt es eine Übersicht über alle RADIUS-Attribute, jeweils mit einem Verweis auf die Seite im Buch, wo sie näher behandelt werden.

Fazit

Mir hat das Buch bei der Einarbeitung in das Thema RADIUS sehr geholfen. Besonders gut finde ich die Darstellung der Architektur und die Einführung in die RADIUS-Datenpakete mit ihrem Aufbau und ihren Attributen. Dieses zusammen gibt das notwendige Rüstzeug, um RADIUS zu verstehen und ist Grundlage für die weitere Beschäftigung.

Für diesen Grundlagenteil als Note eine glatte "1" (sehr gut).

Wenn man wollte könnte man kritisieren, dass das Buch sich im praktischen Teil lediglich mit der FreeRADIUS Implementierung beschäftigt. Tatsächlich gibt es aber eine fast unüberblickbare Vielzahl an verbreiteten und an spezialisierten RADIUS-Servern, so dass hier eine Auswahl schon schwerfällt. FreeRADIUS ist so gesehen sicher durchaus eine gute Wahl. Ich würde auch jedem, der einen anderen Server aufsetzen will, empfehlen sich die FreeRADIUS-Kapitel des Buches anzuschauen. Auch wenn die Konfiguration bei anderen Servern durch aus anders gelöst ist, so geht es doch letztlich immer um ähnliche Thematiken.
Insofern kann ich mit der Wahl des Autors ganz gut leben. Vielleicht wird in einer Neuauflage des Buches ja mal noch auf den einen oder anderen RADIUS-Server eingegangen werden, eventuell sogar auf die Microsoft-Variante (RADIUS ist beim Server 2003 enthalten).

Für diesen Teil des Buches vergebe ich immerhin noch eine "2" (gut).

Die Hinweise zur Sicherheit von RADIUS sind insgesamt recht knapp gehalten. Ich denke, die Absicht ist hier ganz klar, durch kurze Ansprache der Probleme ein Sicherheitsbewusstsein beim Leser zu entwicklen und zu weiteren eigenen Betrachtungen anzuregen.

Der Ausblick auf "neuere Entwicklungen" und den geplanten Nachfolger DIAMETER ("DIAMETER: twice as good as RADIUS") runden das Werk wunderbar ab und bilden das Gegenstück zur kurzen geschichtlichen Einleitung am Anfang des Buches.

Insgesamt kann ich "RADIUS - Securing Public Access to Private Ressources" von Jonathan Hassell nur jedem wärmstens empfehlen, der sich näher mit dem Thema beschäftigen will (oder muss).

Helmut Elschner
http://hitforum.de