Industrielle Automatisierung

RADIUS oder TACACS+: Das richtige Netzwerksicherheitsprotokoll für die Verwaltung von Benutzern

Sarah Kolberg
15.01.2025
Ähnliche Tags
Sicherheit
Industrielle Cybersicherheit
Industrielle Automatisierung
Teilen
Während RADIUS für die Anmeldung von Benutzern in Wi-Fi-Netzwerken verwendet wird, verwaltet TACACS+ den Zugriff auf Netzwerkgeräte. Welches ist das beste Netzwerksicherheitsprotokoll für die Verwaltung des Benutzerzugriffs in Ihrem Unternehmen?

 

 

Die Sicherung industrieller Netzwerke umfasst viele Ebenen, um Daten und Infrastrukturen zu schützen. Und es erfordert mehr als den Einsatz von Firewalls und Intrusion Detection Systemen. Die Verwaltung des Benutzerzugriffs ist ein entscheidender Bestandteil, um betriebliche Kontinuität, Sicherheit und Datenintegrität zu gewährleisten.

 

AAA-Protokolle (Authentifizierung, Autorisierung und Kontoführung) (eine Form von Netzwerksicherheitsprotokollen) legen die Regeln und Standards fest, die vorschreiben, wie Benutzer mit dem Netzwerk interagieren können. Sie überprüfen die Identität, verwalten Berechtigungen und Authentifizierungen, führen Aktivitätsprotokolle usw. Es gibt zwar mehrere AAA-Protokolle, die diese Rolle erfüllen können, aber es gibt zwei, die weithin bekannt sind:

  • RADIUS (Remote Authentication Dial-In User Service)
  • TACACS+ (Terminal Access Controller Access-Control System Plus)

 

Beide Netzwerksicherheitsprotokolle werden verwendet, um den Benutzerzugriff zu verwalten. Um die Verwaltung von Zugriffsrichtlinien und Sicherheitsüberprüfungen zu vereinfachen, können sie mit verschiedenen Verzeichnisdiensten verknüpft werden und eine zentralisierte Verwaltung des Benutzerzugriffs implementieren.

 

RADIUS und TACACS+ verfolgen unterschiedliche Ansätze und Architekturen und bieten unterschiedliche Funktionen. Welches Netzwerksicherheitsprotokoll eignet sich besser für Ihre Umgebung? Finden wir es heraus.

 

Was Sie über RADIUS wissen müssen

Als etabliertes Netzwerksicherheitsprotokoll wird RADIUS in vielen Unternehmen für die Anmeldung von Benutzern in WLAN-Netzwerken verwendet. Mit RADIUS ist eine zentrale Verwaltung für verteilte Netzwerkstrukturen möglich, was es für große Unternehmen attraktiv macht.

 

Wie funktioniert RADIUS?

RADIUS basiert auf einer Client-Server-Architektur. Für die Einwahl über das RADIUS-Protokoll werden ein RADIUS-Client, ein Network Access Server (NAS) oder Authentifikator und ein RADIUS-Server benötigt.

 

Der RADIUS-Client wird auf den Endpunkten installiert und startet die Einwahlanforderung. Diese wird als Zugriffsanforderungspaket an das NAS übermittelt, das die Informationen über den Benutzer an den RADIUS-Server weiterleitet. Der Server führt dann folgende Schritte aus:

  • Vergleicht die Daten aus dem Paket mit der Benutzerdatenbank
  • Erteilt oder verweigert die Einwahlberechtigung
  • Stellt die entsprechende Verbindung zum Netzwerk her

 

RADIUS verwendet das UDP (User Datagram Protocol) als Transportprotokoll. Authentifizierung und Autorisierung werden in einer einzigen Anfrage zusammengefasst, aber dies ist nicht immer der beste Ansatz für umfassende Sicherheitsanforderungen. Es eignet sich daher häufig für Anwendungsszenarien, bei denen eine einfache Zugangskontrolle ausreichend ist. Es kann mit einer großen Anzahl von Netzwerkgeräten verwendet werden und ist einfach zu implementieren.

 

Wie sicher ist RADIUS?

RADIUS verschlüsselt nur das Passwort im Paket. Andere Paketkomponenten, wie Benutzernamen und Rechnungsinformationen, sind nur durch das Protokoll selbst geschützt.

 

Da RADIUS auf UDP basiert, stehen für die Paketübertragung weniger Kontrollmechanismen zur Verfügung. Daher ist es anfälliger für bestimmte Arten von Netzwerkangriffen als TACACS+.

 

Was Sie über TACACS wissen müssen+

TACACS+ basiert ebenfalls auf einer Client-Server-Architektur und wird häufig verwendet, um den Administratorzugriff auf Netzwerkgeräte wie Router und Switches zu verwalten. Es eignet sich für Umgebungen, die mehr Kontrolle und detaillierte Verwaltung von Benutzerberechtigungen und -aktivitäten erfordern, wird aber derzeit nur von wenigen großen Netzwerkgeräteherstellern unterstützt.

 

Im Vergleich zu RADIUS verfügt TACACS+ über detailliertere und flexiblere Berechtigungsfunktionen. Es kann verwendet werden, um komplexe Sicherheitsrichtlinien und -anweisungen zu implementieren.

 

Wie funktioniert TACACS+?

Eine Authentifizierungsanforderung wird vom Netzwerkgerät an den TACACS+-Server gesendet. Der Server gleicht die Anmeldeinformationen mit einer Datenbank oder einem Verzeichnisdienst ab und verifiziert sie. Der TACACS+-Server sendet eine Antwort an das Netzwerkgerät mit der Berechtigung oder Verweigerung des Netzwerkzugriffs.

 

Nach erfolgreicher Authentifizierung sendet das Netzwerkgerät eine Autorisierungsanforderung an den TACACS+-Server. Der Server überprüft, welche Befehle und Aktionen der Benutzer ausführen darf, und das Netzwerkgerät empfängt diese Liste der autorisierten Befehle und Aktionen.

 

TACACS+ verwendet TCP (Transmission Control Protocol) als Transportprotokoll. Authentifizierungs-, Autorisierungs- und Abrechnungsprozesse sind in separate Funktionen und Anforderungen unterteilt, was die Einführung separater Authentifizierungslösungen ermöglicht und eine detaillierte Verwaltung und Kontrolle ermöglicht.

 

Die Trennung von AAA-Diensten in TACACS+ mit ihren umfangreichen Funktionen ist jedoch mit einem hohen Konfigurations- und Administrationsaufwand verbunden. Außerdem werden mehr Netzwerk- und Serverressourcen benötigt.

 

Wie sicher ist TACACS+?

Insgesamt bietet TACACS+ mehr Sicherheitsfunktionen. Ein Beispiel ist die Paketverschlüsselung. Während RADIUS nur das Passwort verschlüsselt, verschlüsselt TACACS+ den gesamten Inhalt eines Pakets, was die Cybersicherheit verbessert und es für die neuen Anforderungen von Sicherheitslösungen geeignet macht.

 

Da TCP verwendet wird, bietet es eine zuverlässigere Übertragung. TCP ermöglicht auch eine bessere Fehlerkontrolle: Wenn ein Server abstürzt oder stoppt, wird dies sofort angezeigt.

 

Das richtige Sicherheitsprotokoll hängt von Ihrer Umgebung ab

RADIUS und TACACS+ tragen beide auf ihre Weise zu einer besseren Netzwerksicherheit bei.

 

RADIUS ist für die meisten Szenarien ausreichend und bietet eine einfache Implementierung bei überschaubarem administrativem Aufwand.

 

TACACS+ bietet mehr Funktionen und bessere Sicherheitsmaßnahmen, wodurch ein besserer Netzwerkschutz für sicherheitskritische Bereiche gewährleistet wird.

 

Wenn Sie Hilfe bei der Entscheidung benötigen, welches Netzwerksicherheitsprotokoll für Ihr Unternehmen und Ihre Umgebung am besten geeignet ist, kann Belden Ihnen bei der Auswahl helfen.

 

Entdecken Sie, wie Belden Ihre industrielle Cybersicherheit stärken kann.

 

Verwandte Links

Vorheriger Beitrag 7 Schichten des Kupferkabelbaus: Warum jede Schicht wichtig ist
Nächster Beitrag Digitale Transformation in der Fertigung: 4 Hindernisse, die es zu überwinden gilt

Über den Autor

Porträt von Sarah Kolberg

Sarah Kolberg

Marketing-Managerin

Sarah Kolberg ist seit April 2023 als Software-Content-Marketing-Managerin für das Belden-Team tätig. Von Deutschland aus hilft sie bei der Erstellung von Inhalten zur industriellen Cybersicherheit.