RadSec: Sicherung des RADIUS-Authentifizierungsverkehrs mit TLS

Dieser umfassende Leitfaden beleuchtet RadSec (RADIUS over TLS) und erklärt detailliert, wie es den Netzwerk-Authentifizierungsverkehr für moderne Cloud- und Multi-Site-Bereitstellungen sichert. Er bietet Netzwerkarchitekten praktische Implementierungsschritte, Strategien zur Zertifikatsverwaltung und Fehlerbehebungstechniken, um veraltetes UDP RADIUS zu ersetzen.

📖 6 Min. Lesezeit📝 1,403 Wörter🔧 2 Beispiele❓ 3 Fragen📚 8 Schlüsselbegriffe

🎧 Diesen Leitfaden anhören

Transkript anzeigen

RadSec: Securing RADIUS Authentication Traffic with TLS. A Purple Technical Briefing.

Introduction and Context.

Welcome to this Purple technical briefing. I'm going to walk you through RadSec — RADIUS over TLS — what it is, why it matters right now, and how you actually deploy it. This is aimed squarely at network architects and security engineers who are either running cloud RADIUS today or planning to move there. If you're still running on-premise RADIUS servers with UDP and a shared secret, this briefing is for you.

Let's set the scene. RADIUS has been the backbone of network authentication for over thirty years. It underpins 802.1X, WPA2-Enterprise, WPA3-Enterprise, and virtually every captive portal system in production today. The protocol itself, defined in RFC 2865, was designed in an era when the internet was a very different place. Authentication traffic between your NAS devices — your access points, switches, and controllers — and your RADIUS server travelled over UDP, port 1812 for authentication, port 1813 for accounting. And that traffic? Largely unencrypted. The only protection was a shared secret used to obfuscate the user password attribute, and even that has well-documented weaknesses.

For years, this was acceptable because RADIUS traffic stayed on private, controlled networks. Your NAS devices and your RADIUS server were on the same LAN, or connected via a dedicated MPLS circuit. The attack surface was manageable. But the world has changed. Cloud-native infrastructure, distributed venue deployments, SD-WAN overlays, and the shift to cloud RADIUS services have fundamentally altered the threat model. Your authentication traffic is now traversing the public internet, or at best, shared infrastructure you don't fully control. That's where RadSec comes in.

Technical Deep-Dive.

RadSec, formally defined in RFC 6614, is RADIUS over TLS. The concept is straightforward: instead of sending RADIUS packets over UDP, you encapsulate them inside a TLS connection over TCP. The result is that all authentication and accounting traffic between your NAS and your RADIUS server is fully encrypted, mutually authenticated, and integrity-protected. RFC 7360 extends this to DTLS — Datagram TLS over UDP — which preserves some of the latency characteristics of the original UDP transport while adding encryption. For most enterprise deployments, TLS over TCP is the right choice. DTLS is worth considering in high-throughput, latency-sensitive environments like large stadium deployments.

Let's talk about the mechanics. RadSec operates on TCP port 2083, which is the IANA-assigned port for this protocol. When a NAS device initiates a RadSec connection, it opens a TCP connection to the RADIUS server on port 2083 and performs a TLS handshake. This handshake is mutual — both the client, that's your NAS, and the server present X.509 certificates. The server's certificate is validated against a trusted CA. The client certificate identifies the NAS to the RADIUS server. Once the TLS session is established, RADIUS packets flow inside that encrypted tunnel exactly as they would over UDP, but now with full confidentiality, integrity, and replay protection.

This is a significant departure from traditional RADIUS in three important ways. First, the transport is TCP, not UDP. This means you get reliable, ordered delivery. Lost packets are retransmitted automatically. Second, the authentication of both endpoints is certificate-based, not shared-secret-based. This eliminates an entire class of attacks based on weak or compromised shared secrets. Third, the entire RADIUS packet is encrypted, not just the password attribute. That means usernames, session identifiers, and all RADIUS attributes are protected in transit.

From a certificate management perspective, you need a PKI — a Public Key Infrastructure — to issue and manage certificates for both your RADIUS server and your NAS devices. In practice, most cloud RADIUS providers, including Purple's cloud-native authentication infrastructure, handle the server-side certificate management for you. Your responsibility is provisioning client certificates to your NAS devices. For large-scale deployments, this is typically handled via your network management platform or a dedicated certificate management system. Certificates should use RSA 2048-bit or ECDSA P-256 as a minimum, with a validity period that balances operational overhead against security hygiene — twelve months is a reasonable default.

Now, let's address the comparison with the alternative approach that many organisations use today: IPsec tunnels or VPN overlays to protect RADIUS traffic. IPsec is a perfectly valid approach, but it operates at a different layer. You're encrypting all traffic between two endpoints, which adds complexity — you need to manage IKE, pre-shared keys or certificates for the tunnel itself, and the operational overhead of maintaining tunnel state across potentially hundreds of sites. RadSec is more surgical. It encrypts specifically the RADIUS protocol traffic, operates at the application layer, and integrates directly with your RADIUS infrastructure. For cloud RADIUS deployments where you're connecting many NAS devices at distributed venues to a centralised cloud server, RadSec is architecturally cleaner and operationally simpler.

Let me walk you through what a multi-site deployment looks like in practice. You have a cloud RADIUS server — let's say it's Purple's platform — with a valid TLS certificate from a trusted CA. You have three venue types: a hotel property, a retail store, and a conference centre. Each has NAS devices — access points, switches, or wireless LAN controllers. Each NAS device needs to be configured with the RadSec server address, port 2083, and a client certificate. The NAS initiates the TLS connection, the mutual handshake completes, and from that point forward, all 802.1X authentication traffic for guests and staff at that venue flows encrypted to the cloud RADIUS server. If the TLS connection drops — say, due to a network interruption — the NAS re-establishes it automatically. This persistent connection model is actually more efficient than UDP for high-volume deployments because you avoid the overhead of per-packet processing.

On the firewall side, you need to allow outbound TCP on port 2083 from your NAS management network to your RADIUS server's IP address or FQDN. If you're running a strict egress policy, you'll also want to allow the return traffic. This is simpler than managing IPsec firewall rules, which often require ESP protocol exceptions and IKE on UDP 500 and 4500.

Implementation Recommendations and Pitfalls.

Let's talk about what actually goes wrong in RadSec deployments, because there are some consistent failure modes I see across organisations.

The first and most common issue is certificate chain validation failures. Your NAS device needs to trust the CA that signed the RADIUS server's certificate. If you're using a cloud RADIUS provider with a certificate from a well-known public CA — DigiCert, Let's Encrypt, Sectigo — most modern NAS devices will trust it out of the box. But if you're using an internal CA, you need to push the CA certificate to every NAS device. This is often overlooked during initial deployment and surfaces as TLS handshake failures that look like connectivity issues.

The second pitfall is certificate expiry. Unlike shared secrets, which don't expire, certificates have a defined validity period. If your RADIUS server certificate expires, every NAS device in your estate will fail to authenticate simultaneously. You need certificate lifecycle management — automated renewal where possible, and monitoring with alerting well ahead of expiry. Ninety days' notice is the minimum; thirty days is better.

The third issue is NAS device compatibility. Not all NAS devices support RadSec natively. Older Cisco IOS versions, some legacy Aruba controllers, and certain consumer-grade access points don't have RadSec support. Before committing to a RadSec deployment, audit your NAS estate for compatibility. Cisco IOS-XE 16.x and later, Aruba AOS-CX, Ruckus SmartZone, and Juniper EX series all have solid RadSec support. For devices that don't support RadSec natively, a RadSec proxy — an open-source option like radsecproxy — can bridge the gap, accepting UDP RADIUS from legacy devices and forwarding it over TLS to the cloud RADIUS server.

The fourth consideration is connection persistence and keepalives. RadSec uses persistent TCP connections, but firewalls and NAT devices with aggressive timeout policies can silently drop idle connections. Configure TCP keepalives on your RadSec connections — typically a keepalive interval of sixty seconds is sufficient to prevent premature connection teardown. Most RADIUS server implementations and NAS devices support this configuration.

For Cisco IOS-XE, the RadSec configuration looks like this. You define a RADIUS server with the address of your cloud RADIUS endpoint, specify TLS as the transport, reference your trustpoint — which is the certificate store on the device — and set the destination port to 2083. You then reference this server in your AAA server group configuration. The specifics vary by platform version, but the logical structure is consistent across vendors.

For Aruba controllers running AOS, you configure the RADIUS server with the RadSec option enabled, specify the CA certificate for server validation, and optionally configure a client certificate for mutual TLS. Aruba's implementation is mature and well-documented.

Rapid-Fire Questions and Answers.

Let me run through the questions I get asked most often about RadSec.

Does RadSec add latency? The TLS handshake adds a small overhead on initial connection establishment — typically under 100 milliseconds. Once the connection is established, the per-packet overhead is negligible. For 802.1X authentication, where the handshake happens once per session, this is not a meaningful concern.

Can I run RadSec alongside traditional UDP RADIUS? Yes. Most RADIUS servers support both simultaneously. During a migration, you can run RadSec for sites that support it and fall back to UDP for legacy sites. This is the recommended migration approach.

Is RadSec required for PCI DSS compliance? PCI DSS version 4.0 requires that authentication traffic be protected in transit. RadSec is one of the most direct ways to satisfy this requirement for RADIUS-based authentication. If you're processing card payments over a network that uses RADIUS authentication, RadSec should be on your compliance roadmap.

Does RadSec work with EAP? Yes. EAP — Extensible Authentication Protocol — is encapsulated within RADIUS, so EAP-TLS, PEAP, EAP-TTLS all work transparently over RadSec. The EAP exchange itself is unaffected.

What about RADIUS accounting? RFC 6614 covers both authentication and accounting traffic. Your accounting data — session start, stop, and interim update records — is also encrypted over the same TLS connection on port 2083.

Summary and Next Steps.

To bring this together: RadSec is the right transport layer for RADIUS in any deployment where authentication traffic crosses infrastructure you don't fully control. That means cloud RADIUS, multi-site deployments, SD-WAN environments, and any scenario where RADIUS traffic traverses the public internet or shared carrier infrastructure.

The key actions for your team are: first, audit your NAS estate for RadSec compatibility and identify any devices that will need a proxy. Second, engage your cloud RADIUS provider — or evaluate providers who support RadSec natively — and understand their certificate management approach. Third, establish a certificate lifecycle management process before you go live. Fourth, update your firewall rules to allow TCP 2083 outbound from your NAS management network. Fifth, test your RadSec configuration in a staging environment before rolling out to production, paying particular attention to certificate chain validation and connection persistence under load.

For organisations running Purple's platform for guest WiFi and authentication across distributed venues, RadSec is the recommended transport for cloud RADIUS connectivity. It aligns with Purple's cloud-native architecture and ensures that the authentication data flowing between your venues and the platform is fully protected — which matters both for your security posture and for your compliance obligations under GDPR and PCI DSS.

If you're planning a deployment or want to discuss your specific architecture, the Purple team is the right starting point. This has been a Purple technical briefing on RadSec. Thanks for listening.

Zusammenfassung für Führungskräfte

Seit Jahrzehnten ist RADIUS über UDP die Grundlage der Netzwerkauthentifizierung und stützt sich auf private Netzwerke und gemeinsame Geheimnisse für die Sicherheit. Da sich Unternehmensarchitekturen hin zu Cloud-nativen Infrastrukturen, verteilten Einzelhandels- und Gastgewerbe- Standorten sowie SD-WAN-Overlays verschieben, hat sich das Bedrohungsmodell grundlegend geändert. RADIUS-Verkehr durchläuft nun häufig öffentliche oder gemeinsam genutzte Netzwerke, wodurch Authentifizierungsdaten dem Abfangen ausgesetzt sind.

RadSec (RADIUS over TLS), definiert in RFC 6614, löst dieses Problem, indem es RADIUS-Pakete in einem gegenseitig authentifizierten TLS-Tunnel kapselt. Dieser Leitfaden bietet eine umfassende technische Referenz für Netzwerkarchitekten und Sicherheitsingenieure zur Bereitstellung von RadSec. Wir behandeln die architektonischen Unterschiede zum traditionellen RADIUS, Anforderungen an die Zertifikatsverwaltung, Firewall-Konfigurationen und praktische Bereitstellungsüberlegungen für die Integration mit Cloud-RADIUS-Plattformen wie der Guest WiFi - und WiFi Analytics -Infrastruktur von Purple. Durch die Einführung von RadSec können Unternehmen eine robuste Sicherheit gewährleisten, strenge Compliance-Anforderungen wie PCI DSS und GDPR erfüllen und Multi-Site-Authentifizierungsarchitekturen vereinfachen.

Technischer Einblick

Die Entwicklung des RADIUS-Transports

Das Remote Authentication Dial-In User Service (RADIUS)-Protokoll, ursprünglich in RFC 2865 definiert, wurde für eine andere Ära der Vernetzung entwickelt. Es verwendet UDP als Transportschicht (Port 1812 für Authentifizierung, 1813 für Accounting). Im traditionellen RADIUS ist die Nutzlast während der Übertragung weitgehend unverschlüsselt. Der einzige Schutzmechanismus ist die Verschleierung des User-Password-Attributs mittels eines gemeinsamen Geheimnisses zwischen dem Network Access Server (NAS) und dem RADIUS-Server.

Während dies ausreichend war, als NAS-Geräte und RADIUS-Server im selben physischen LAN oder dedizierten MPLS-Schaltungen angesiedelt waren, sind moderne Architekturen diesem Modell entwachsen. Wie in unserer Diskussion über Die zentralen SD-WAN-Vorteile für moderne Unternehmen erläutert, verlassen sich verteilte Unternehmen heute auf den Internet-Transport für die Konnektivität zwischen Standorten. Das Senden von unverschlüsseltem RADIUS-Verkehr über das öffentliche Internet setzt Benutzeranmeldeinformationen, Sitzungsidentifikatoren und Netzwerkzugriffsrichtlinien dem Abfangen und der Manipulation aus.

RadSec: RADIUS über TLS (RFC 6614)

RadSec begegnet diesen Schwachstellen, indem es die Transportschicht ändert. Anstelle von UDP verwendet RadSec TCP-Port 2083. Bevor RADIUS-Pakete ausgetauscht werden, stellen der NAS und der RADIUS-Server eine TLS (Transport Layer Security)-Verbindung her.

Die technischen Kernmerkmale von RadSec umfassen:

TCP-Transport: RadSec bietet eine zuverlässige, geordnete Zustellung. Dies eliminiert die Notwendigkeit von Anwendungsschicht-Neuübertragungen, die bei UDP RADIUS inhärent sind und in Umgebungen mit hoher Latenz Probleme verursachen können.
Vollständige Nutzlastverschlüsselung: Das gesamte RADIUS-Paket – einschließlich Header und aller Attribute – wird innerhalb des TLS-Tunnels verschlüsselt.
Gegenseitige Authentifizierung (mTLS): Sowohl der RADIUS-Server als auch das NAS-Gerät authentifizieren sich gegenseitig mithilfe von X.509-Zertifikaten. Dies ersetzt das schwache Shared-Secret-Modell durch eine robuste Public Key Infrastructure (PKI).
Persistente Verbindungen: Im Gegensatz zu UDP RADIUS, das verbindungslos ist, unterhält RadSec eine persistente TCP-Verbindung. Dies reduziert den Overhead beim Aufbau einer neuen Verbindung für jede Authentifizierungsanfrage, was für stark frequentierte Standorte äußerst effizient ist.

Hinweis: RFC 7360 definiert RADIUS über DTLS (Datagram TLS), das UDP verwendet. Obwohl in bestimmten Szenarien mit hohem Durchsatz nützlich, bleibt TLS über TCP der Standard für Enterprise Cloud RADIUS-Bereitstellungen.

Architektur in verteilten Umgebungen

In einer typischen Multi-Site-Bereitstellung – wie einem nationalen Gesundheitsdienstleister oder einer Kette von Verkehrsknotenpunkten – vereinfacht RadSec die Architektur erheblich.

Anstatt komplexe IPsec-VPN-Meshes von jedem Zweigstandort zurück zu einem zentralen Rechenzentrum aufzubauen, um den RADIUS-Verkehr zu schützen, stellt jedes NAS-Gerät eine direkte RadSec TLS-Verbindung über das Internet zum Cloud-RADIUS-Anbieter her. Dies ist ein Sicherheitmodell auf Anwendungsebene, das einfacher bereitzustellen und zu beheben ist als VPNs auf Netzwerkebene.

Implementierungsleitfaden

Die Bereitstellung von RadSec erfordert die Koordination zwischen Netzwerkinfrastruktur, Zertifizierungsstellen und Firewall-Richtlinien. Befolgen Sie diese herstellerneutralen Schritte für eine erfolgreiche Bereitstellung.

1. Vorbereitung der Zertifikatsinfrastruktur

RadSec basiert auf mTLS. Sie benötigen Zertifikate sowohl für den Server als auch für die Clients (NAS-Geräte).

Serverzertifikat: Ihr Cloud-RADIUS-Anbieter (z.B. Purple) stellt ein Serverzertifikat bereit, das von einer öffentlichen Zertifizierungsstelle (CA) oder einer internen CA signiert ist. Ihre NAS-Geräte müssen das Root-CA-Zertifikat in ihrem Vertrauensspeicher installiert haben, um den Server zu validieren.
Clientzertifikate: Jedes NAS-Gerät benötigt ein Clientzertifikat, um sich gegenüber dem RADIUS-Server zu identifizieren. Generieren Sie diese über Ihre interne PKI oder Ihr Netzwerkmanagementsystem. Stellen Sie sicher, dass sie mindestens RSA 2048-Bit- oder ECDSA P-256-Schlüssel verwenden.

2. Firewall-Konfiguration

RadSec erfordert spezifische Egress-Regeln von Ihren NAS-Verwaltungsschnittstellen:

- Protokoll: TCP
Zielport: 2083
Ziel-IP/FQDN: Die Adressen Ihrer primären und sekundären Cloud RADIUS-Server.
Stateful Inspection: Stellen Sie sicher, dass die Firewall den Rückverkehr für etablierte TCP-Verbindungen zulässt.
Keepalives: Konfigurieren Sie die TCP-Timeout-Werte der Firewall so, dass sie länger sind als das RadSec-Keepalive-Intervall (typischerweise 60 Sekunden), um den Abbruch stiller Verbindungen zu verhindern.

3. NAS-Gerätekonfiguration (Generischer Workflow)

Obwohl die spezifische Syntax je nach Anbieter (Cisco, Aruba, Juniper usw.) variiert, sind die logischen Konfigurationsschritte konsistent:

CA-Zertifikat importieren: Laden Sie das CA-Zertifikat, das das Zertifikat des RADIUS-Servers signiert hat, in den NAS-Vertrauensspeicher.
Client-Zertifikat importieren: Laden Sie das Client-Zertifikat und den privaten Schlüssel des NAS-Geräts.
RADIUS-Server definieren: Konfigurieren Sie die IP/FQDN des RADIUS-Servers.
RadSec aktivieren: Geben Sie TLS als Transportprotokoll an und setzen Sie den Port auf 2083.
Zertifikate binden: Verknüpfen Sie die importierten Zertifikate mit der RadSec-Serverkonfiguration.
Auf AAA-Profil anwenden: Fügen Sie den RadSec-Server den relevanten AAA-Authentifizierungs- und Abrechnungsgruppen hinzu.

4. Umgang mit älteren Geräten (RadSec-Proxy)

Nicht alle NAS-Geräte unterstützen RadSec nativ. Für ältere Switches oder Access Points der Consumer-Klasse implementieren Sie einen RadSec-Proxy (wie z. B. radsecproxy). Der Proxy befindet sich im lokalen LAN, akzeptiert traditionelles UDP RADIUS von älteren Geräten und leitet es über einen sicheren RadSec TLS-Tunnel an den Cloud RADIUS-Server weiter.

Best Practices

Zertifikats-Lebenszyklus-Management: Implementieren Sie eine automatisierte Zertifikatserneuerung für NAS-Geräte. Ein massenhaftes Ablaufen von Client-Zertifikaten führt zu einem weitreichenden Netzwerkausfall. Überwachen Sie die Gültigkeit von Zertifikaten und senden Sie Warnungen 90, 60 und 30 Tage vor dem Ablaufdatum.
Hochverfügbarkeit: Konfigurieren Sie immer primäre und sekundäre RadSec-Server. Da der Aufbau einer TCP-Verbindung länger dauert als die Übertragung eines UDP-Pakets, konfigurieren Sie aggressive Failover-Timer auf dem NAS, um schnell auf den sekundären Server umzuschalten, falls die primäre Verbindung abbricht.
TCP Keepalives: Aktivieren Sie TCP Keepalives auf dem NAS-Gerät, um tote Verbindungen zu erkennen und zu verhindern, dass Firewalls inaktive Sitzungen beenden. Ein Intervall von 60 Sekunden ist Standard.
Strenge Zertifikatsvalidierung: Stellen Sie sicher, dass NAS-Geräte so konfiguriert sind, dass sie das Serverzertifikat streng validieren, einschließlich der Überprüfung des Subject Alternative Name (SAN) gegen den konfigurierten Server-Hostnamen. Deaktivieren Sie die Zertifikatsvalidierung nicht in der Produktion.
Zukunftssicherheit: Mit der Weiterentwicklung der WLAN-Standards, wie sie in unserem Leitfaden WiFi 6E vs WiFi 7: What Venues Need to Know diskutiert werden, wird das Volumen des Authentifizierungsverkehrs zunehmen. Die persistenten TCP-Verbindungen von RadSec sind besser geeignet, diese Dichte zu bewältigen als UDP.

Fehlerbehebung & Risikominderung

Wenn RadSec-Implementierungen fehlschlagen, liegt das Problem selten am RADIUS-Protokoll selbst; es hängt fast immer mit TLS oder TCP zusammen.

Häufige Fehlerursachen

TLS-Handshake-Fehler (Unbekannte CA): Das NAS-Gerät lehnt das Zertifikat des RADIUS-Servers ab, weil die signierende CA nicht im NAS-Vertrauensspeicher enthalten ist.
- Abhilfe: Überprüfen Sie die genaue vom Server verwendete CA-Kette und stellen Sie sicher, dass die Root- (und alle Zwischen-) CAs auf dem NAS installiert sind.
Stiller Verbindungsabbruch: Die RadSec-Verbindung wird erfolgreich hergestellt, aber Authentifizierungsanfragen laufen nach einer Zeit der Inaktivität in einen Timeout. Dies ist in der Regel eine Stateful Firewall, die die inaktive TCP-Verbindung trennt.
- Abhilfe: Aktivieren Sie TCP Keepalives auf dem NAS und überprüfen Sie die Firewall-Sitzungs-Timeout-Einstellungen für Port 2083.
Zeitversatz (Clock Skew): Die TLS-Zertifikatsvalidierung basiert auf einer genauen Systemzeit. Wenn die Uhr des NAS-Geräts erheblich abweicht, werden gültige Zertifikate als abgelaufen oder noch nicht gültig bewertet.
- Abhilfe: Stellen Sie sicher, dass alle NAS-Geräte mit zuverlässigen NTP-Servern synchronisiert sind, bevor Sie RadSec-Verbindungen initiieren.

ROI & Geschäftlicher Nutzen

Der Übergang zu RadSec bietet messbaren Geschäftswert, der über technische Sicherheitsverbesserungen hinausgeht:

Compliance und Risikoreduzierung: RadSec verschlüsselt Authentifizierungsdaten während der Übertragung und erfüllt direkt die Anforderungen von PCI DSS v4.0 und GDPR. Dies mindert die finanziellen und reputativen Risiken, die mit der Abfangen von Anmeldeinformationen verbunden sind.
Betriebliche Effizienz: Der Ersatz komplexer Site-to-Site-IPsec-VPNs durch anwendungsschichtbasiertes RadSec reduziert den Aufwand für die Netzwerktechnik. Die Fehlerbehebung einer TLS-Verbindung zu einem Cloud-Anbieter ist erheblich schneller als das Debuggen von VPN-Routing und IKE-Phasenverhandlungen über Hunderte von Niederlassungen hinweg.
Cloud-Bereitschaft: RadSec ist die ermöglichende Technologie für Cloud-native Authentifizierung. Durch die Einführung können Organisationen nahtlos mit modernen Identitätsanbietern und Plattformen wie Purple integrieren, wodurch der On-Premise-Server-Footprint und die Lizenzkosten reduziert werden.

Schlüsselbegriffe & Definitionen

RadSec

A protocol that encapsulates RADIUS authentication and accounting data within a Transport Layer Security (TLS) tunnel.

Used to secure authentication traffic over untrusted networks, replacing legacy UDP RADIUS.

mTLS (Mutual TLS)

An authentication process where both the client (NAS) and the server (RADIUS) verify each other's X.509 certificates during the TLS handshake.

Provides stronger security than the traditional RADIUS shared secret model by ensuring both endpoints are cryptographically verified.

NAS (Network Access Server)

The device that provides network access to users and acts as a RADIUS client. In modern networks, this is typically a wireless access point, switch, or wireless LAN controller.

The NAS is responsible for initiating the RadSec connection to the cloud RADIUS server.

PKI (Public Key Infrastructure)

The framework of roles, policies, hardware, software, and procedures needed to create, manage, distribute, use, store, and revoke digital certificates.

Essential for managing the certificates required by RadSec deployments across large estates.

TCP Keepalive

A mechanism that sends empty TCP packets over an idle connection to verify the connection is still active and to prevent stateful firewalls from dropping the session.

Crucial for maintaining persistent RadSec connections during periods of low authentication activity.

RadSec Proxy

A software service that acts as an intermediary, receiving traditional UDP RADIUS traffic from legacy devices and forwarding it over a secure RadSec TLS connection.

Used to bridge the gap in environments where older network hardware does not natively support RadSec.

X.509 Certificate

A digital certificate that uses the widely accepted international X.509 PKI standard to verify that a public key belongs to the user, computer or service identity contained within the certificate.

The cryptographic foundation used by RadSec to establish identity and encrypt the TLS tunnel.

EAP (Extensible Authentication Protocol)

An authentication framework frequently used in wireless networks and point-to-point connections.

EAP traffic (like EAP-TLS or PEAP) is encapsulated within RADIUS packets, meaning RadSec securely transports the EAP exchange.

Fallstudien

A national retail chain with 500 locations is migrating from on-premise RADIUS servers to Purple's Cloud RADIUS. The existing architecture uses unencrypted RADIUS over UDP across a mix of MPLS and SD-WAN links. 450 locations have modern Aruba access points, while 50 locations use legacy hardware that does not support RadSec. How should the network architect design the new authentication transport?

The architect should implement a hybrid RadSec deployment. For the 450 locations with modern Aruba APs, configure native RadSec directly on the APs or local controllers. Install the root CA certificate of Purple's cloud RADIUS on the Aruba devices, and provision client certificates via the network management platform. Configure egress firewall rules for TCP 2083. For the 50 legacy locations, deploy a lightweight RadSec proxy (e.g., a small Linux VM or container running radsecproxy) at each site. The legacy APs will send standard UDP RADIUS to the local proxy, which will then encapsulate the traffic in a TLS tunnel to the Purple cloud.

Implementierungshinweise: This approach balances modern security standards with legacy hardware constraints. By using native RadSec where possible, the architect minimizes moving parts. The proxy solution for legacy sites ensures all traffic traversing the WAN/internet is encrypted without requiring an immediate, costly hardware refresh.

During a RadSec deployment at a large conference centre, the network team observes that the NAS devices successfully authenticate users during busy periods, but fail to authenticate the first few users early in the morning. Packet captures show the NAS attempting to send RADIUS traffic, but receiving TCP RST packets from the firewall.

The issue is caused by the firewall's aggressive TCP session timeout dropping the idle RadSec connection overnight. The network team must configure TCP keepalives on the NAS devices for the RadSec connection, setting the interval to 60 seconds. Additionally, they should review the firewall's stateful inspection rules for TCP port 2083 and ensure the session timeout is greater than the keepalive interval.

Implementierungshinweise: RadSec relies on persistent TCP connections. Unlike UDP, which is stateless, TCP connections must be actively maintained. Network engineers transitioning from UDP RADIUS often overlook connection persistence, leading to intermittent failures that appear as authentication timeouts.

Szenarioanalyse

Q1. You are designing the firewall policy for a new RadSec deployment connecting 50 branch offices to Purple's Cloud RADIUS platform. What specific egress rules must be configured on the branch firewalls?

💡 Hinweis:Consider both the protocol and the stateful nature of the connection.

Empfohlenen Ansatz anzeigen

The branch firewalls must allow outbound TCP traffic on port 2083 originating from the NAS management IP addresses, destined for the IP addresses or FQDNs of the Purple Cloud RADIUS servers. Because TCP is stateful, the firewall will automatically allow the return traffic for established sessions. UDP ports 1812 and 1813 are not required for RadSec.

Q2. A junior engineer reports that a newly configured switch is failing to establish a RadSec connection with the cloud RADIUS server. The switch logs show: `TLS handshake failed: unknown CA`. How should you resolve this?

💡 Hinweis:The switch does not inherently trust the certificate presented by the server.

Empfohlenen Ansatz anzeigen

You need to identify the Certificate Authority (CA) that issued the cloud RADIUS server's certificate. Once identified, obtain the public Root CA certificate (and any intermediate CA certificates) and import them into the switch's trust store. This allows the switch to cryptographically verify the server's identity during the TLS handshake.

Q3. Your organisation mandates that all network infrastructure must survive a WAN outage. If the internet connection to the cloud RADIUS server fails, what happens to the RadSec connection, and how does the NAS handle subsequent authentication requests?

💡 Hinweis:Consider TCP connection states and standard RADIUS failover mechanisms.

Empfohlenen Ansatz anzeigen

When the WAN fails, the persistent TCP connection will eventually time out (or be explicitly reset if the local interface goes down). The NAS will mark the primary RadSec server as unreachable. If a secondary RadSec server is configured (e.g., in a different geographic region), the NAS will attempt to establish a new TLS connection to it. If all RADIUS servers are unreachable, new authentications will fail. However, users who are already authenticated and connected will typically remain connected until their session expires or they roam, as RADIUS is only involved during the initial authentication and periodic re-authentication phases.