MFA für RADIUS

Zuletzt aktualisiert am 24. Oktober 2025

MFA für RADIUS ist ein mehrschichtiger Ansatz für die Authentifizierung von RADIUS-Benutzern. RADIUS MFA besteht in der Regel aus zwei Sicherheitsschichten und bietet einen Login und ein Passwort als ersten Authentifizierungsfaktor sowie eine zusätzliche Authentifizierungsmethode als ersten Authentifizierungsfaktor. Die zusätzliche Authentifizierungsmethode muss entweder etwas sein, das Sie haben (z. B. ein registriertes Mobilgerät, ein FIDO2-Sicherheitsschlüssel) oder etwas, das Sie sind (z. B. ein Fingerabdruck oder andere biometrische Daten).

What is RADIUS?

RADIUS ist ein Netzwerkprotokoll, das auf den drei „A“ basiert. Das erste A steht für Authentication (Authentifizierung), das zweite A für Authorization (Autorisierung) und das letzte A für Accounting (Abrechnung). Im Folgenden konzentrieren wir uns auf das erste A und erläutern, wie RADIUS im Rahmen der Multi-Faktor-Authentifizierung (MFA) funktioniert.

RADIUS-Protokoll vs. RADIUS-Server – Klare Unterscheidung

Es ist wichtig, zwischen dem RADIUS-Protokoll und dem RADIUS-Server zu unterscheiden. Das RADIUS-Protokoll ist ein Datenübertragungsprotokoll, das während der Kommunikation zwischen einem RADIUS-Server und einem RADIUS-Client verwendet wird. Der RADIUS-Server hingegen ist ein Prozess, der im Hintergrund auf einem Windows- oder Linux-Server ausgeführt wird und Benutzerprofile in einer Datenbank speichert. Diese Profile enthalten Benutzerdaten wie beispielsweise gehashte Passwörter.

Mit anderen Worten, der RADIUS-Server ist entweder selbst der Identity Provider (IdP) oder eng mit einem Identitätsanbieter verbunden (z. B. einer MySQL-Datenbank) und kann daher als Quelle für Benutzeranmeldeinformationen im ersten Schritt der Multi-Faktor-Authentifizierung (MFA) verwendet werden. Einer der bekanntesten RADIUS-Server ist FreeRADIUS.

Analog zum RADIUS-Server ist der RADIUS-Client eine der Parteien, die an der Kommunikation teilnehmen, die das RADIUS-Protokoll verwendet. Der RADIUS-Client ist in der Regel ein Network Access Server (NAS), etwa ein VPN, Router oder Switch.

Es ist entscheidend, den Unterschied zwischen RADIUS-Protokoll, Server und Client zu kennen, da diese Begriffe leicht verwechselt werden können, was wiederum zu Missverständnissen führen kann.

Wie kann das RADIUS-Protokoll sicherer gemacht werden?

Das RADIUS-Protokoll verschlüsselt die zwischen Client und Server übertragenen Datenpakete nicht. Die einzige Ausnahme ist das Passwort. Trotz der Passwortverschlüsselung ist RADIUS nur so sicher wie seine Implementierung. Selbst bei einer einwandfreien Implementierung gilt: Wenn ein Passwort die einzige Barriere ist, die ein Angreifer überwinden muss, um Zugriff auf Ihr Konto zu erhalten, ist Ihr Konto so gut wie kompromittiert.

Es gibt jedoch eine Lösung – sie heißt Multi-Faktor-Authentifizierung (MFA). MFA fügt Ihren Anmeldungen eine zusätzliche Sicherheitsebene hinzu. Wenn Sie Ihr Passwort mit einer Mobile Push-Authentifizierungsanfrage kombinieren, erhöhen Sie die Sicherheit Ihres Kontos erheblich. Aber wie funktioniert MFA genau?

Wie funktioniert MFA mit RADIUS?

Um MFA für Ihre VPNs zu aktivieren, müssen Sie den Rublon Authentication Proxy verwenden. Der Rublon Authentication Proxy ist ein lokaler RADIUS-Proxy-Server (On-Premises).

Wenn Rublon MFA aktiviert ist, verwendet der Rublon Authentication Proxy das RADIUS-Protokoll, um mit Service Providern wie Ihrem VPN zu kommunizieren. Um mit einem Identity Provider (Identitätsanbieter) zu kommunizieren, verwendet der Rublon Authentication Proxy entweder das RADIUS-Protokoll (wenn Ihre Benutzer beispielsweise in FreeRADIUS gespeichert sind) oder das LDAP-Protokoll (wenn Ihre Benutzer beispielsweise in Active Directory gespeichert sind).

1. Der User meldet sich beim Integrated Service (Service Provider) an, indem er seine Anmeldedaten (Login und Passwort) eingibt (1)

2. Der Integrated Service kontaktiert den Rublon Authentication Proxy über das RADIUS-Protokoll, wobei PAP als Authentifizierungsoption verwendet wird (2)

3. Der Rublon Authentication Proxy fragt beim Identity Provider (entweder einem RADIUS-Server oder einem LDAP-Server) nach, ob das Passwort korrekt ist (3)

(Hinweis: Der Rublon Authentication Proxy verwendet das RADIUS-Protokoll, um mit dem RADIUS-Server zu kommunizieren. Für die Kommunikation mit dem LDAP-Server wird jedoch LDAP(S) verwendet.)

4. Wenn das Passwort korrekt ist, kontaktiert der Rublon Authentication Proxy die Rublon API (4) und fordert diese auf, eine Mobile Push-Authentifizierungsanfrage an das Smartphone des Benutzers zu senden (5)

5. Wenn der Benutzer die Push-Anfrage bestätigt, wird die Verbindung zum Integrated Service hergestellt.

Kann ich FreeRADIUS als IdP für meine Cloud-Anwendungen verwenden?

Ja, das können Sie. Sie können das Rublon Access Gateway bereitstellen, eine speziell entwickelte Rublon-Lösung zur Integration mit Cloud-Anwendungen. Anschließend können Sie FreeRADIUS (oder einen anderen RADIUS-Server) als Identity Provider (IdP) im Rublon Access Gateway festlegen.
Weitere Informationen finden Sie unter MFA für SAML.

Wie aktiviere ich MFA für meine VPNs und andere RADIUS-kompatible Dienste?

Hier finden Sie eine Schritt-für-Schritt-Anleitung, wie Sie Rublon MFA für eine oder mehrere Ihrer RADIUS-kompatiblen Anwendungen aktivieren können:

1. Bereitstellen und konfigurieren Sie den Rublon Authentication Proxy.
2. Suchen Sie die Integrationsanweisungen in unserer Dokumentation.
3. Befolgen Sie die Anweisungen und integrieren Sie Ihren Dienst mit dem Rublon Authentication Proxy.
4. Wiederholen Sie die Schritte 2 und 3 für beliebig viele RADIUS-kompatible Dienste.

Related Posts

• MFA für SAML
• MFA für LDAP
• MFA für Active Directory
• Rublon Authentication Proxy – Documentation