IT OT Convergentie

RADIUS

2 minuten leestijd

Wat is RADIUS?

RADIUS staat voor Remote Authentication Dial-In User Service en is een netwerkprotocol dat wordt gebruikt voor centrale Authenticatie, autorisatie en accounting (AAA) van gebruikers en apparaten. Het wordt vaak ingezet in combinatie met 802.1X voor netwerktoegangscontrole.

In OT-omgevingen biedt RADIUS een manier om toegang tot netwerkapparatuur en segmenten centraal te beheren, zonder dat elk apparaat afzonderlijk geconfigureerd hoeft te worden.

🧠 Hoe werkt RADIUS?

  1. Een gebruiker of apparaat probeert toegang te krijgen tot een netwerk via een Switch, Router of VPN-gateway (de authenticator)
  2. Deze stuurt de authenticatieaanvraag door naar de RADIUS-server
  3. De server controleert de inloggegevens (bijv. gebruikersnaam/wachtwoord of certificaat) tegen een interne database of externe bronnen zoals Active Directory
  4. Bij goedkeuring ontvangt het apparaat toegang tot het netwerk; bij weigering wordt de verbinding geblokkeerd
  5. Optioneel wordt het gebruik gelogd voor auditing (accounting)

Communicatie gebeurt via UDP-poorten 1812 (authenticatie) en 1813 (accounting).

🏭 Toepassing van RADIUS in industriële netwerken

  • Authenticatie van gebruikers op 802.1X-enabled Switches
  • RBAC-gebaseerde toegang tot netwerkapparatuur en configuratieinterfaces
  • Toekennen van dynamische VLANs op basis van gebruikersrol of apparaattype
  • Logging van toegangspogingen via Syslog of SIEM
  • Integratie met bestaande identity-systemen zoals Active Directory in IT/OT-convergentie

In OT-netwerken voorkomt RADIUS ongecontroleerde toegang tot gevoelige netwerkzones en apparaatconfiguraties.

🔍 RADIUS vs. TACACS+

AspectRADIUSTACACS+
Gebruikt bijNetwerktoegang (802.1X, VPN, Wi-Fi)Device access (CLI login op switches/firewalls)
EncryptieAlleen wachtwoord wordt versleuteldVolledige payload versleuteld
PoortUDP 1812/1813TCP 49
StandaardOpen IETF-standaardCisco-protocol
Gebruik in OTJa – vooral voor 802.1X en VPN-toegangMinder gangbaar, tenzij uitgebreid netwerkbeheer vereist is

🔐 Beveiligingsaspecten

  • Gebruik RADIUS in combinatie met 802.1X en sterke authenticatie (bijv. EAP-TLS)
  • Versleutel communicatie tussen authenticator en RADIUS-server
  • Beperk toegang tot de RADIUS-server via Firewall en ACL
  • Integreer met SIEM om toegangspogingen te loggen en te analyseren
  • Segmenteer de RADIUS-infrastructuur van de rest van het netwerk volgens het Purdue Model

Een kwetsbare RADIUS-server vormt een centraal aanvalsdoel — bescherming en monitoring zijn essentieel.

📌 Samengevat

RADIUS is een krachtig protocol voor gecentraliseerde toegangscontrole in industriële netwerken. Door gebruikers en apparaten centraal te authenticeren, wordt het netwerk veiliger, schaalbaarder en beter beheersbaar.

Grafiekweergave

Backlinks