RADIUS (Remote Authentication Dial-In User Service) und TACACS+ (Terminal Access Controller Access-Control System Plus) sind zwei weit verbreitete Authentifizierungsprotokolle, die zur Verwaltung von Zugriffskontrollen in Netzwerken verwendet werden. Sie dienen insbesondere dazu, Benutzer bei der Anmeldung an Netzwerkgeräten wie Routern, Switches, Firewalls oder VPN-Systemen zu verifizieren, zu autorisieren und zu überwachen. Beide Protokolle stammen aus unterschiedlichen historischen Kontexten und haben jeweils eigene technische Merkmale und Vorteile.
Grundprinzipien und Funktionsweise
Was ist RADIUS?
RADIUS wurde ursprünglich von Livingston Enterprises entwickelt und ist heute ein offener IETF-Standard (RFC 2865 und RFC 2866). Es wird häufig in ISP-, WLAN- und VPN-Infrastrukturen eingesetzt. RADIUS arbeitet typischerweise über das UDP-Protokoll und nutzt die Ports 1812 (Authentifizierung) und 1813 (Accounting).
Die Hauptfunktionen von RADIUS sind:
- Authentifizierung: Verifizierung der Identität des Benutzers anhand von Anmeldeinformationen (z. B. Benutzername und Passwort).
- Autorisierung: Entscheidung, ob ein Benutzer bestimmte Dienste nutzen darf.
- Accounting: Aufzeichnung von Sitzungsdaten für Abrechnungs- oder Analysezwecke.
Was ist TACACS+?
TACACS+ ist eine proprietäre Erweiterung des ursprünglichen TACACS-Protokolls von Cisco Systems. Es arbeitet im Gegensatz zu RADIUS über TCP (Port 49), was eine verbindungsorientierte Kommunikation ermöglicht. TACACS+ wurde speziell für Netzwerkinfrastrukturen mit Fokus auf Gerätezugangskontrolle und Administrationsrechte entwickelt.
Auch TACACS+ bietet drei zentrale Funktionen:
- Authentication: Benutzeridentitätsprüfung über verschiedene Mechanismen (Passwort, Challenge-Response, Token etc.).
- Authorization: Detaillierte Kontrolle über Befehle und Berechtigungen einzelner Administratoren.
- Accounting: Protokollierung aller Aktivitäten auf Netzwerkgeräten – oft auf Befehlsebene.
Technische Unterschiede
| Merkmal | RADIUS | TACACS+ |
|---|---|---|
| Transportprotokoll | UDP | TCP |
| Verschlüsselung | Nur Passwort wird verschlüsselt | Gesamte Nachricht ist verschlüsselt |
| Trennung von Auth/Author | Nein, kombiniert | Ja, strikt getrennt |
| Kommandokontrolle | Begrenzt | Detailliert möglich |
| Integration mit Netzwerkdiensten | WLAN, VPN, PPPoE, DSL | CLI-Zugriffe, Netzwerkadministration |
Wann wird welches Protokoll verwendet?
RADIUS ist besonders geeignet für Szenarien mit einer großen Anzahl an Endbenutzern, etwa bei der Authentifizierung von WLAN-Clients oder Remote-VPN-Zugängen. Aufgrund seiner Performance und Einfachheit wird es häufig in Providernetzwerken eingesetzt.
TACACS+ hingegen ist die erste Wahl in Umgebungen, in denen eine detaillierte Verwaltung von Netzwerkadministrator-Rechten notwendig ist – etwa in großen Unternehmensnetzwerken mit vielen Geräten und mehreren IT-Teams. Hier überzeugt TACACS+ durch granularen Zugriff und vollständige Protokollierung.
Zusammenfassend lässt sich sagen: Beide Protokolle bieten Authentifizierungs-, Autorisierungs- und Accounting-Funktionen, unterscheiden sich jedoch in Architektur, Verschlüsselung, Flexibilität und Anwendungsszenarien. Die Wahl hängt stark von der Sicherheitsanforderung, Gerätekompatibilität und Administrationsstruktur des Netzwerks ab.