Hintergrund

Telekom-Ausfall: Was ist ein RADIUS-Server?

Der sechsstündige Telekom-Ausfall am vergangenen Freitag betraf einen RADIUS-Server - doch was ist das eigentlich? Spekulieren lässt sich darüber, wie redundant das All-IP-Netz der Telekom tatsächlich aufgebaut ist.
AAA
Teilen (3)

Telekom-Ausfall: Was ist ein RADIUS-Server?Telekom-Ausfall: Was ist ein RADIUS-Server? Der Telekom-Ausfall in der vergangenen Woche hat gezeigt, dass die schöne neue All-IP-Welt der Telekom vielleicht doch nicht so sicher und alternativlos ist wie sie vom Netzbetreiber selbst gerne angepriesen wird. Natürlich machen IP-basierte Anschlüsse die Wartung für die Telekom deutlich einfacher und billiger - doch erhalten die Kunden die gleiche Zuverlässigkeit, die sie vom Analoganschluss und von ISDN gewohnt sind?

Als Grund für die Störung gab die Telekom den Ausfall eines RADIUS-Servers an. Dieser sei erforderlich für die Authentifizierung beim Zugang zum Internet. Doch was ist dieser RADIUS-Server genau und was macht er im Telekom-Netz?

Für was ist das RADIUS-Protokoll zuständig?

RADIUS ist die Abkürzung für "Remote Authentication Dial-In User Service". Was kompliziert klingt, ist zunächst einmal ein Client-Server-basiertes Protokoll zur Authentifizierung und zur Kontrolle der Netzzugriffsberechtigung. Es ist also ein Accounting- und Authentifizierungsprotokoll. Verwendet wird es an der Stelle, wo ein Benutzer sich in ein Computernetzwerk einwählt. Ein IP-basiertes Telefonnetz zählt hierbei auch als Computernetzwerk. Entwickelt wurde RADIUS im Jahr 1997, aktuell wird es im RFC 2865 technisch spezifiziert.

Aufgesetzt werden kann ein RADIUS-Server auf Linux oder Windows Server. Das RADIUS-Protokoll wird zur Authentifizierung des Nutzers verwendet, beispielsweise bei der Einwahl per Modem, ISDN, DSL oder WLAN. RADIUS unterstützt die zentrale Verwaltung von Benutzerdaten wie Benutzerkennung, Passwörter, Rufnummer(n) oder Zugriffsrechten. Gegebenenfalls greift der RADIUS-Server während des Anmeldevorgangs eines Nutzers auch auf eine externe Datenbank zu, in der Benutzernamen und Passwörter gespeichert sind. Dann gleicht er die vom Nutzer gesendeten Accountdaten mit denen in der Datenbank ab und gewährt den Zugang zum Server (bei richtigen Daten) beziehungsweise verweigert diesen (bei falschen Daten).

Wie die genaue Authentifizierung eines Nutzers am Server stattfindet, kann im ausführlichen RFC-Dokument nachgelesen werden. RADIUS stellt natürlich - wie andere Authentifizierungsprotokolle - sicher, dass nur ein berechtigter Nutzer mit den korrekten Zugangsdaten sich am Server anmelden und den Dienst - wie zum Beispiel (IP-)Telefonie - benutzen kann.

"Netzausfall" war ein Serverproblem

Wenn teltarif.de oder andere Nachrichtenmedien wie am vergangenen Freitag von einem "Netzausfall" berichten, stellen sich unbedarfte Leser meist einen Stromausfall vor oder dass ein Baggerfahrer irgendwo über eine Leitung gefahren ist und diese durchtrennt hat. Diese beiden Fälle kommen leider immer noch vor (wie kürzlich beispielsweise der Ausfall der Stromversorgung in einem von o2 genutzten Rechenzentrum).

Netzbetreiber geben bei Störungen meist nur spärliche Details bekannt. Die von der Telekom am Freitag herausgegebenen Informationen deuten darauf hin, dass leitungstechnisch im Netz der Telekom alles in Ordnung war. Es war also - vereinfacht gesagt - alles richtig verkabelt und angeschlossen und keine Leitung war beschädigt.

Fällt aber ein RADIUS-Server bei der Telekom aus, hat dies zur Folge, dass die Nutzeranfragen mit Benutzername und Passwort, die an diesen Server geleitet werden, gar nicht bei der Telekom ankommen. Der Router des Nutzers zuhause sendet die Einwahldaten fürs Internet an den RADIUS-Server (und bei einem IP-Anschluss auch noch die Telefonie-Einwahldaten). Kann kein RADIUS-Server verifizieren, dass dieser Nutzer "in Ordnung" ist, bekommt der Nutzer keinen Zugang ins Netz, ist also offline. Und wenn über die IP-Verbindung dann eben auch noch die Telefonie realisiert wird, kann er beim Ausfall eines RADIUS-Servers auch nicht telefonieren und ist nicht telefonisch erreichbar.

Hierbei stellt sich die Frage der Redundanz: Hat die Telekom keine Ersatz-Server aufgestellt, die im Falle eines Ausfalls sofort die Authentifizierungs-Arbeit übernehmen? Auch hierzu machen die Netzbetreiber in der Regel nur spärlich Angaben. Die Telekom hat immerhin erläutert, dass sie im Rahmen der Störungsbehebung, die stolze sechs Stunden gedauert hat, alle betroffenen Kunden auf redundante RADIUS-Server umgezogen hat.

Doch auch hierbei bleiben Fragen offen. Lobenswert ist, dass es redundante Ersatz-Server auf Vorrat gab. Doch waren diese überhaupt hochgefahren und auf dem neuesten Stand? Waren sie ans Live-Netz angeschlossen? Konnten sie sofort auf eine aktuelle Datenbank mit allen Login-Daten der Telekom-Kunden zugreifen? Gab es eine vorbereitete Software, die die Nutzeranfragen an die Ersatzserver weiterleitete oder mussten die Telekom-Netzmitarbeiter das buchstäblich "von Hand" machen? Zu derartigen Vorfällen schweigen sich die Netzbetreiber in der Regel aus, da peinliche Versäumnisse nicht nur einen Imageschaden bedeuten, sondern auch erhebliche Schadensersatzforderungen nach sich ziehen könnten, insbesondere von Geschäftskunden, die auf eine 100-prozentige Verfügbarkeit von Internet und Telefonie angewiesen sind.

Wer bei einer derartigen Störung unter welchen Umständen Schadensersatz beanspruchen kann, haben wir in einer separaten Meldung zusammengefasst.

Teilen (3)

Mehr zum Thema Telekom Deutschland