Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

EAP-Fragmentierung beheben: Der Schlüssel zu zuverlässiger RADIUS-Authentifizierung

In der Netzwerksicherheit ist die Maximum Transmission Unit (MTU) ein kritischer Netzwerkparameter, der die größte Paketgröße definiert, die ohne Fragmentierung über eine Netzwerkverbindung übertragen werden kann. Während sich die meisten Benutzer nicht mit MTU befassen müssen, wird sie in bestimmten Szenarien zu einem wichtigen Faktor bei der Fehlerbehebung, insbesondere bei der RADIUS- und EAP-TLS-Authentifizierung. Dieser Artikel untersucht, wie MTU das RADIUS-Protokoll beeinflusst, insbesondere beim Umgang mit großen Nutzlasten wie den in EAP-TLS verwendeten Zertifikaten, und warum dies zu Authentifizierungsfehlern führen kann.

Einführung in MTU und Fragmentierung

Die MTU ist die größte Paketgröße, die ein Netzwerk verarbeiten kann, ohne sie in kleinere Teile aufzubrechen. Die Standard-MTU für die meisten Ethernet-Netzwerke beträgt 1500 Bytes. Wenn ein Paket für eine Netzwerkverbindung zu groß ist, muss es entweder verworfen oder in kleinere, akzeptable Teile zerlegt werden; dieser Vorgang wird als IP-Fragmentierungbezeichnet. Der Zielhost ist dafür verantwortlich, alle Fragmente wieder zum ursprünglichen Paket zusammenzusetzen.

EAP vs. IP-Fragmentierung: Warum diese Unterscheidung wichtig ist

Die Unterscheidung zwischen EAP- und IP-Fragmentierung ist entscheidend für das Verständnis von Authentifizierungsproblemen.

  • IP-Fragmentierung (Netzwerkschicht): Hier zerlegt ein Router ein einzelnes UDP-Datagramm in mehrere kleinere IP-Pakete. Dies geschieht unterhalb der RADIUS-Anwendung, die nicht erkennt, dass ihr Paket fragmentiert wurde.

  • EAP-Fragmentierung (Anwendungsschicht): Das EAP-Protokoll unterstützt Fragmentierung selbst nicht, bietet aber einen Rahmen, in dem einzelne EAP-Methoden wie EAP-TLS ihre eigenen Fragmentierungsmechanismen implementieren können. Wenn eine große EAP-TLS-Nachricht (z. B. ein Zertifikat) für die MTU zu groß ist, kann sie in mehrere EAP-Fragmente aufgeteilt werden. Jedes Fragment wird dann in einem eigenen RADIUS-Paket gekapselt und einzeln gesendet.

Der entscheidende Unterschied ist, dass IP-Fragmentierung sich auf das Netzwerk verlässt, um Pakete wieder zusammenzusetzen, was häufig fehlschlägt. EAP-Fragmentierung vertraut darauf, dass Client und Server das Wiederzusammenfügen übernehmen, was ein robusterer Prozess ist, der Probleme auf Netzwerkschicht vermeidet.

Die Rolle des Authenticators bei der Fragmentierung

Der RADIUS-Client bzw. Authenticator ist ein wichtiger Akteur in diesem Prozess. Obwohl er als Proxy fungiert, kann er so konfiguriert werden, dass er EAP-Nachrichten fragmentiert, um IP-Fragmentierung zu vermeiden. Dies ist die bevorzugte Methode zum Umgang mit großen Nutzlasten. Ein Authenticator kann beispielsweise so konfiguriert werden, dass er eine große, von einem Supplicant empfangene EAP-Nachricht aufteilt, bevor er sie in ein RADIUS-Paket kapselt und an den Server sendet. Dadurch wird sichergestellt, dass das Paket für den Netzwerkpfad korrekt dimensioniert ist.

Framed-MTU vs. EAP-Fragmentierungsgröße

Die Framed-MTU wird häufig mit EAP-Fragmentierung verwechselt. Die Framed-MTU ist ein Attribut, das normalerweise in einer Access-Accept Nachricht vom RADIUS-Server an den RADIUS-Client gesendet wird. Ihr Zweck ist es, die IP-MTU für die Datensitzung des Benutzers nach erfolgreicher Authentifizierung festzulegen. Sie kann keine Fragmentierungsprobleme lösen, die während des eigentlichen Authentifizierungs-Handshake auftreten; dafür wird EAP-Fragmentierung benötigt.

In einem selteneren Szenario kann das Framed-MTU-Attribut auch vom RADIUS-Client an den Server in einer Access-Request Nachricht gesendet werden, um die MTU zu signalisieren, die der Client unterstützen kann oder bevorzugt verwenden würde. Es handelt sich dabei um einen Hinweis oder Vorschlag, nicht um einen Befehl. Der RADIUS-Server kann diesen Wert ignorieren oder als Faktor bei der Entscheidung über die MTU für die Sitzung verwenden; dies ist jedoch kein standardmäßiger Mechanismus zur Aushandlung der EAP-Fragmentgröße.

Warum EAP-Fragmentierung die bessere Lösung ist

EAP-Fragmentierung muss sowohl auf dem Authenticator als auch auf dem RADIUS-Server konfiguriert werden, um eine zuverlässige und erfolgreiche EAP-TLS-Authentifizierung sicherzustellen. Da der EAP-TLS-Prozess ein wechselseitiger Austausch ist, müssen beide Seiten in der Lage sein, große Nutzlasten zu fragmentieren. Es gilt außerdem als Best Practice, beide Seiten mit derselben EAP-Fragmentgröße zu konfigurieren, um Konsistenz sicherzustellen und Authentifizierungsfehler zu vermeiden.

Angesichts dieser Notwendigkeit liegt, wenn ein großes Zertifikat zu einem Authentifizierungsfehler führt, die Ursache oft in der IP-Fragmentierung. Firewalls oder CGNAT-Geräte können fragmentierte Pakete verwerfen, wodurch die Authentifizierung in einen Timeout läuft. Statt die MTU für den gesamten Netzwerkverkehr pauschal zu reduzieren, ist es Best Practice, EAP-Fragmentierung auf dem Authenticator und RADIUS-Server zu konfigurieren.

Dieser Ansatz bietet mehrere entscheidende Vorteile:

  • Gezielte Behebung: Die Konfiguration einer bestimmten EAP-Fragmentgröße auf dem Authenticator oder RADIUS-Server behebt das Problem direkt an der Quelle. Sie stellt sicher, dass die großen Authentifizierungspakete vor dem Versand über das Netzwerk in kleinere, akzeptable Teile zerlegt werden, wodurch IP-Fragmentierung verhindert wird, ohne den übrigen Datenverkehr zu beeinflussen.

  • Kein nennenswerter Leistungseinfluss auf das Gesamtnetzwerk: Eine Reduzierung der globalen MTU für eine Schnittstelle betrifft den gesamten Netzwerkverkehr, was zu höherem Overhead und geringerer Netzwerkeffizienz führen kann. Durch die Verwendung von EAP-Fragmentierung nutzt der restliche Netzwerkverkehr weiterhin die Standard-MTU, wodurch eine optimale Leistung erhalten bleibt. Zwar erzeugt EAP-Fragmentierung für dieselbe Nutzlast mehr, kleinere Pakete und kann durch zusätzliche Roundtrips eine leichte Latenz verursachen, doch hat dies nur einen vernachlässigbaren Leistungseinfluss auf das Gesamtnetzwerk und ist ein notwendiger Kompromiss für eine erfolgreiche Authentifizierung.

  • Protokollspezifisches Design: EAP-Methoden, die Fragmentierung unterstützen, sind dafür ausgelegt, große Nutzlasten zu verarbeiten. Sich auf diese integrierte Funktion zu verlassen, ist ein zuverlässigerer und standardsbasierterer Ansatz als ein Workaround auf Netzwerkschicht.

Gängige Geräte mit RADIUS-Client-Funktionen (wie Switches und Access Points von Cisco, Aruba und Juniper) verfügen über eine Funktion zur Konfiguration der EAP-Fragmentierung. Ebenso haben RADIUS-Server wie FreeRADIUS eine fragment_size Einstellung, um die maximale EAP-Fragmentgröße zu steuern.

Es ist wichtig zu beachten, dass nicht alle Hersteller diese Funktion bereitstellen. Meraki bietet beispielsweise in seinem Dashboard keine vom Benutzer konfigurierbare Einstellung für EAP-Fragmentierung an, was eine erhebliche Einschränkung darstellen kann.

Warum Fragmentierung mit CGNAT fehlschlägt

IP-Fragmentierung ist eine häufige Ursache für Authentifizierungsfehler, insbesondere in Netzwerken mit Carrier-Grade NAT (CGNAT) wie Starlink.

  • Verwerfen von Fragmenten: Viele Firewalls und CGNAT-Geräte sind nicht dafür ausgelegt, fragmentierte Pakete effizient zu verarbeiten. Aus Sicherheits- oder Leistungsgründen können sie die Fragmente verwerfen oder sie nicht korrekt wieder zusammensetzen.

  • Paketverlust: Wenn während der Übertragung auch nur ein Fragment verloren geht, kann das ursprüngliche UDP-Datagramm vom Server nicht vollständig wieder zusammengesetzt werden. Da UDP verbindungslos ist und keinen Mechanismus zur erneuten Übertragung hat, erhält der RADIUS-Server niemals ein vollständiges Access-Request, und die Authentifizierung schlägt fehl.

Das Fehlen eines Mechanismus zur erneuten Übertragung fragmentierter UDP-Daten ist der Hauptgrund, warum IP-Fragmentierung eine unzuverlässige Lösung für die Authentifizierung ist. Deshalb ist die Konfiguration von EAP-Fragmentierung die richtige Lösung. Sie stellt sicher, dass die EAP-Nachrichten bereits in kleinen Teilen vorliegen, sodass sie auf der IP-Ebene nicht fragmentiert werden. Dadurch werden die Fragmentierungsprobleme umgangen, die durch Firewalls oder CGNAT-Geräte verursacht werden, die fragmentierten Datenverkehr verwerfen.

Fazit

Die Wechselwirkung zwischen großen EAP-TLS-Zertifikatsnutzlasten und der MTU eines Netzwerks kann eine versteckte Ursache für Authentifizierungsfehler sein. Während das RADIUS-Protokoll darauf angewiesen ist, dass das Netzwerk die Fragmentierung übernimmt, verwerfen Firewalls und CGNAT-Geräte fragmentierte Pakete häufig. Wenn Sie die Unterscheidung zwischen EAP- und IP-Fragmentierung verstehen und die Best Practice umsetzen, EAP-Fragmentierung auf dem Authenticator und RADIUS-Server zu konfigurieren, können Sie sicherstellen, dass Authentifizierungspakete das Netzwerk unbeschädigt durchlaufen. Dieser bewusste Ansatz auf Anwendungsebene bietet eine robuste und zuverlässige Lösung und verhindert häufige und frustrierende Verbindungsprobleme.

Zuletzt aktualisiert

War das hilfreich?