Was ist ein RADIUS-Server?
Ein RADIUS-Server (Remote Authentication Dial-In User Service) ist ein Netzwerkprotokoll und eine Serveranwendung, die Authentifizierung, Autorisierung und Abrechnung (AAA) für Nutzer und Geräte im Netzwerk zentral verwaltet. Er bildet das Rückgrat der WLAN-Sicherheit in Unternehmen und arbeitet mit WLAN-Access-Points und VPN-Gateways zusammen, um Zugangsdaten zu verifizieren, bevor der Netzwerkzugang gewährt wird. RADIUS ist essenziell für WPA3-Enterprise-Deployments und wird in Unternehmens-, Bildungs- und Behördennetzwerken eingesetzt, um sicherzustellen, dass nur autorisierte Nutzer und Geräte sich verbinden können. Durch die Zentralisierung der Benutzerverwaltung beseitigt RADIUS die Sicherheitsschwächen gemeinsamer Passwörter und liefert detaillierte Prüfprotokolle: wer hat wann von wo auf das Netzwerk zugegriffen.
Im Detail
Das AAA-Framework
RADIUS stellt drei Kernfunktionen bereit, zusammenfassend als AAA bekannt.
| Funktion | Vollständiger Name | Zweck |
|---|---|---|
| Authentifizierung | Authentication | Überprüft, ob ein Nutzer oder Gerät die behauptete Identität besitzt |
| Autorisierung | Authorization | Legt fest, welche Ressourcen und Rechte gewährt werden |
| Abrechnung | Accounting | Protokolliert wann, von wem und wie lange eine Verbindung genutzt wurde |
Wenn ein Nutzer versucht, sich mit einem WLAN-Netzwerk oder VPN zu verbinden, leitet der Access-Point oder Switch (als RADIUS-Client) die Zugangsdaten an den RADIUS-Server weiter. Der Server prüft sie anhand seiner Nutzerdatenbank und gibt bei Gültigkeit eine Access-Accept-Nachricht mit Autorisierungsparametern wie VLAN-Zuweisung, Bandbreitenbeschränkungen oder Zugangskontrolllisten zurück. Alle Verbindungsereignisse werden für Compliance und Fehleranalyse protokolliert.
RADIUS in der Unternehmens-WLAN-Umgebung
Heimnetzwerke nutzen typischerweise einen Pre-Shared Key (PSK) – alle teilen dasselbe Passwort. Das ist ein Sicherheitsrisiko, weil ein ausscheidender Mitarbeiter oder ein geleaktes Passwort das gesamte Netzwerk kompromittiert. Mit RADIUS hat jeder Nutzer individuelle Zugangsdaten (Benutzername und Passwort oder ein digitales Zertifikat); ein Administrator kann ein einzelnes Konto deaktivieren, ohne andere zu beeinflussen. Kombiniert mit WPA2/WPA3 Enterprise und EAP (Extensible Authentication Protocol) liefert RADIUS robuste, nutzerspezifische Authentifizierung – skalierbar vom kleinen Büro bis zum globalen Konzern.
Verbreitete RADIUS-Server-Software und -Appliances
FreeRADIUS ist der dominierende Open-Source-RADIUS-Server und betreibt die große Mehrheit der RADIUS-Deployments weltweit. Er ist hoch konfigurierbar, unterstützt nahezu alle EAP-Methoden und integriert sich mit LDAP und Active Directory. Auf der kommerziellen Seite bieten Cisco ISE (Identity Services Engine) und Aruba ClearPass erweiterte Funktionen wie Posture-Assessment (Sicherheitszustand angeschlossener Geräte prüfen) und Integration in Network-Access-Control-Frameworks (NAC). Für kleine Netzwerke bieten manche NAS-Geräte und Unternehmensrouter eine eingebaute RADIUS-Server-Funktion, die eine überschaubare Nutzerzahl gut bedient.
So wählst du richtig
1. Größe der Organisation berücksichtigen
Für kleine Büros mit einigen Dutzend Nutzern ist FreeRADIUS auf einem Linux-Server oder die NAS-eigene RADIUS-Funktion kosteneffizient. Mittelgroße bis große Unternehmen mit Hunderten oder Tausenden von Nutzern sollten kommerzielle Produkte in Betracht ziehen, die sich mit Active Directory integrieren, zertifikatsbasierte Authentifizierung unterstützen und grafische Verwaltungskonsolen bieten.
2. EAP-Methodenunterstützung prüfen
Die RADIUS-Authentifizierung nutzt EAP in verschiedenen Ausprägungen: EAP-TLS (zertifikatsbasiert, höchste Sicherheit), PEAP (passwortbasiert mit verschlüsseltem Tunnel) und EAP-TTLS/PAP unter anderem. Sicherstellen, dass der gewählte RADIUS-Server die EAP-Methoden unterstützt, die deine Client-Geräte (PCs, Smartphones, IoT-Sensoren) beherrschen.
3. Directory-Integration bestätigen
Wer bereits Active Directory oder LDAP betreibt, wählt einen RADIUS-Server, der sich nahtlos in das vorhandene Verzeichnis integriert. Das vermeidet den Aufwand einer separaten Benutzerdatenbank und ermöglicht Single-Sign-on-Workflows, die die Nutzererfahrung vereinfachen.
Fazit
Ein RADIUS-Server ist grundlegende Infrastruktur für jede Organisation, die Netzwerksicherheit ernst nimmt. Durch zentrale Authentifizierung und individuelle Nutzerzugangsdaten beseitigt er die Shared-Password-Schwachstellen von Consumer-WLAN und liefert umfassende Prüfprotokolle. Organisationsgröße, bevorzugte EAP-Methoden und vorhandene Directory-Dienste abwägen und eine RADIUS-Lösung wählen, die Sicherheitsanforderungen und handhabbare Komplexität ausbalanciert. Richtig eingesetzt ist RADIUS der unsichtbare Wächter, der das Netzwerk schützt.
Empfohlene Produkte
RADIUS-Server lassen sich auf einem Raspberry Pi mit FreeRADIUS aufbauen oder über integrierte Pakete in NAS- oder Router-Firmware aktivieren. Drei Plattformen für die Einrichtung von RADIUS-Authentifizierung.
| Produkt | Merkmal | Preisbereich |
|---|---|---|
| Raspberry Pi 4B 4GB | FreeRADIUS-Server-Plattform | ~¥12.000 |
| Synology DS224+ | Integriertes RADIUS-Server-Paket | ~¥38.000 |
| ASUS RT-AX86U Pro | Eingebauter RADIUS-Server | ~¥27.000 |
Raspberry Pi 4B 4GB (FreeRADIUS-Server)
Bestes Preis-Leistungs-Verhältnis. Ideal für Preisbewusste. Die beliebteste Plattform für FreeRADIUS – einen voll ausgestatteten Open-Source-RADIUS-Server. Unterstützt IEEE-802.1X-Authentifizierungsmethoden inkl. EAP-TTLS und PEAP für Unternehmens-WLAN. Stabiler Betrieb unter Raspberry Pi OS, gut dokumentiert mit Community-Tutorials – ideal für Lernzwecke, Labs und kleine Deployments.
Synology DS224+ (NAS mit RADIUS-Server-Paket)
Höchste Nutzerzufriedenheit. Eine verlässliche Wahl. Das NAS von Synology enthält ein „RADIUS Server"-Paket, das im DSM Package Center mit wenigen Klicks aktiviert wird – keine Kommandozeilenkonfiguration nötig. Es integriert sich mit VPN-Server, Active Directory und LDAP, sodass das NAS als zentraler Authentifizierungs-Hub dient und gleichzeitig als Dateiserver arbeitet.
ASUS RT-AX86U Pro (Eingebauter RADIUS-Server)
Die ausgewogene Wahl. Bestes Allround-Modell. Dieser Wi-Fi-6-Router von ASUS verfügt über einen eingebauten RADIUS-Server, der Enterprise-grade 802.1X-Authentifizierung für WLAN ohne zusätzliche Hardware aktiviert. In Kombination mit VLAN-Segmentierung entsteht ein Netzwerk, in dem nur authentifizierte Nutzer auf bestimmte Ressourcen zugreifen. Eine kosteneffiziente Lösung für kleine Büros und Schulen.
Zusammenfassung
RADIUS-Server zentralisieren Netzwerkauthentifizierung, -autorisierung und -abrechnung für sichere Zugangskontrolle. Wer nicht weiß, wo er anfangen soll, dem empfehlen wir den Synology DS224+ – sein benutzerfreundliches RADIUS-Server-Paket arbeitet neben der NAS-Funktion und ermöglicht mit minimalem Aufwand und ohne dedizierten Server den Einstieg in die Authentifizierung.