circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Lösung von EAP-Fragmentierung: Der Schlüssel zu zuverlässiger RADIUS-Authentifizierung

In der Netzwerksicherheit ist das Maximum Transmission Unit (MTU) ein kritischer Netzwerkparameter, der die größte Paketgröße definiert, die über eine Netzwerkverbindung ohne Fragmentierung übertragen werden kann. Während die meisten Benutzer nicht über die MTU nachdenken müssen, wird sie in bestimmten Szenarien, insbesondere bei RADIUS- und EAP-TLS-Authentifizierungen, zu einem wichtigen Fehlerbehebungsfaktor. Dieser Artikel untersucht, wie sich die MTU auf das RADIUS-Protokoll auswirkt, insbesondere beim Umgang mit großen Nutzlasten wie den in EAP-TLS verwendeten Zertifikaten, und warum dies zu Authentifizierungsfehlern führen kann.

hashtag
Einführung in MTU und Fragmentierung

Das MTU ist die größte Paketgröße, die ein Netzwerk verarbeiten kann, ohne sie in kleinere Teile zu zerlegen. Die Standard-MTU für die meisten Ethernet-Netzwerke beträgt 1500 Bytes. Wenn ein Paket zu groß für eine Netzwerkverbindung ist, muss es entweder verworfen oder in kleinere, akzeptable Teile zerlegt werden, ein Vorgang, der IP-Fragmentierungheißt. Der Zielhost ist dafür verantwortlich, alle Fragmente wieder zu einem ursprünglichen Paket zusammenzusetzen.

hashtag
EAP vs. IP-Fragmentierung: Warum diese Unterscheidung wichtig ist

Die Unterscheidung zwischen EAP- und IP-Fragmentierung ist entscheidend, um Authentifizierungsprobleme zu verstehen.

  • IP-Fragmentierung (Netzwerkschicht): Hier bricht ein Router ein einzelnes UDP-Datagramm in mehrere, kleinere IP-Pakete auf. Dies geschieht unterhalb der RADIUS-Anwendung, die nicht weiß, dass ihr Paket fragmentiert wurde.

  • EAP-Fragmentierung (Anwendungsschicht): Das EAP-Protokoll selbst unterstützt keine Fragmentierung, bietet jedoch einen Rahmen, in dem einzelne EAP-Methoden, wie EAP-TLS, eigene Fragmentierungsmechanismen implementieren können. Wenn eine große EAP-TLS-Nachricht (z. B. ein Zertifikat) zu groß für die MTU ist, kann sie in mehrere EAP-Fragmente zerlegt werden. Jedes Fragment wird dann in seinem eigenen RADIUS-Paket gekapselt und einzeln versendet.

Der wesentliche Unterschied ist, dass IP-Fragmentierung auf das Netzwerk angewiesen ist, Pakete wieder zusammenzusetzen, ein Prozess, der häufig fehlschlägt. EAP-Fragmentierung verlangt, dass Client und Server die Wiederzusammenfügung übernehmen, was ein robusterer Prozess ist, der Probleme auf der Netzwerkschicht vermeidet.

hashtag
Die Rolle des Authenticators bei der Fragmentierung

Der RADIUS-Client, oder Authenticator, spielt in diesem Prozess eine Schlüsselrolle. Während er als Proxy fungiert, kann er so konfiguriert werden, dass er EAP-Nachrichten fragmentiert, um IP-Fragmentierung zu vermeiden. Dies ist die bevorzugte Methode zur Behandlung großer Nutzlasten. Beispielsweise kann ein Authenticator so konfiguriert werden, eine große vom Supplicant empfangene EAP-Nachricht vor dem Kapseln in ein RADIUS-Paket und dem Senden an den Server aufzuteilen. Dadurch wird sichergestellt, dass das Paket für den Netzwerkpfad richtig dimensioniert ist.

hashtag
Framed-MTU vs. EAP-Fragmentierungsgröße

Die Framed-MTU wird oft mit der EAP-Fragmentierung verwechselt. Die Framed-MTU ist ein Attribut, das üblicherweise in einer Access-Accept Nachricht vom RADIUS-Server an den RADIUS-Client gesendet wird. Sein Zweck ist es, die IP-MTU für die Datensitzung des Benutzers festzulegen, nachdem dieser erfolgreich authentifiziert wurde. Sie kann Fragmentierungsprobleme, die während des Authentifizierungs-Handshakes auftreten, nicht lösen — in diesem Moment ist EAP-Fragmentierung erforderlich.

In einem selteneren Szenario kann das Framed-MTU-Attribut auch vom RADIUS-Client an den Server in einer Access-Request Nachricht gesendet werden, um die MTU zu signalisieren, die der Client unterstützen kann oder vorzugsweise verwenden möchte. Es ist ein Hinweis oder ein Vorschlag, kein Befehl. Der RADIUS-Server kann diesen Wert ignorieren oder ihn bei der Entscheidung über die MTU für die Sitzung berücksichtigen; dies ist jedoch kein standardmäßiger Mechanismus zur Aushandlung der EAP-Fragmentgröße.

hashtag
Warum EAP-Fragmentierung die bessere Lösung ist

EAP-Fragmentierung muss sowohl auf dem Authenticator als auch auf dem RADIUS-Server konfiguriert werden, um eine zuverlässige und erfolgreiche EAP-TLS-Authentifizierung zu gewährleisten. Da der EAP-TLS-Prozess ein zweiseitiges Gespräch ist, müssen beide Seiten in der Lage sein, große Nutzlasten zu fragmentieren. Es ist auch bewährte Praxis, beide Seiten mit derselben EAP-Fragmentgröße zu konfigurieren, um Konsistenz zu gewährleisten und Authentifizierungsfehler zu vermeiden.

Angesichts dieser Notwendigkeit liegt die Ursache, wenn ein großes Zertifikat die Authentifizierung scheitern lässt, oft in der IP-Fragmentierung. Firewalls oder CGNAT-Geräte können fragmentierte Pakete verwerfen, wodurch die Authentifizierung zeitlich ausläuft. Anstatt die MTU pauschal für allen Netzwerkverkehr zu reduzieren, ist die beste Praxis, EAP-Fragmentierung auf dem Authenticator und dem RADIUS-Server zu konfigurieren.

Dieser Ansatz bietet mehrere wichtige Vorteile:

  • Gezielte Behebung: Die Konfiguration einer spezifischen EAP-Fragmentgröße auf dem Authenticator oder RADIUS-Server löst das Problem direkt an der Quelle. Sie stellt sicher, dass die großen Authentifizierungspakete vor dem Versand über das Netzwerk in kleinere, akzeptable Teile aufgeteilt werden, wodurch IP-Fragmentierung vermieden wird, ohne anderen Verkehr zu beeinträchtigen.

  • Keine nennenswerten Leistungseinbußen für das Gesamt Netzwerk: Die Reduzierung der globalen MTU für eine Schnittstelle betrifft den gesamten Netzwerkverkehr und kann zu erhöhtem Overhead und verringerter Netzwerkeffizienz führen. Durch die Verwendung von EAP-Fragmentierung kann der übrige Netzwerkverkehr die Standard-MTU weiter nutzen und die optimale Leistung erhalten. Obwohl EAP-Fragmentierung mehr kleinere Pakete für dieselbe Nutzlast erzeugt und durch zusätzliche Roundtrips leicht höhere Latenzen verursachen kann, ist der Leistungseinfluss auf das Gesamtnetzwerk vernachlässigbar und ein notwendiger Kompromiss für eine erfolgreiche Authentifizierung.

  • Protokollspezifisches Design: EAP-Methoden, die Fragmentierung unterstützen, sind dafür ausgelegt, große Nutzlasten zu verarbeiten. Sich auf diese eingebaute Funktion zu verlassen, ist ein zuverlässigerer und standards-konformer Ansatz als ein Workaround auf Netzwerkebene.

Gängige Geräte mit RADIUS-Client-Funktionalität (wie Switches und Access Points von Cisco, Aruba und Juniper) bieten eine Funktion zur Konfiguration der EAP-Fragmentierung. Ebenso haben RADIUS-Server wie FreeRADIUS eine fragment_size Einstellung zur Steuerung der maximalen EAP-Fragmentgröße.

Es ist wichtig zu beachten, dass nicht alle Anbieter diese Funktionalität bereitstellen. Zum Beispiel bietet Meraki keine vom Benutzer konfigurierbare EAP-Fragmentierungseinstellung im Dashboard an, was eine erhebliche Einschränkung sein kann.

hashtag
Warum Fragmentierung bei CGNAT fehlschlägt

IP-Fragmentierung ist eine häufige Ursache für Authentifizierungsfehler, insbesondere in Netzwerken, die Carrier-Grade NAT (CGNAT) verwenden, wie z. B. Starlink.

  • Verwerfen von Fragmenten: Viele Firewalls und CGNAT-Geräte sind nicht darauf ausgelegt, fragmentierte Pakete effizient zu verarbeiten. Aus Sicherheits- oder Leistungsgründen können sie die Fragmente verwerfen oder sie nicht korrekt wieder zusammenfügen.

  • Paketverlust: Geht auch nur ein Fragment während der Übertragung verloren, kann das gesamte ursprüngliche UDP-Datagramm vom Server nicht wieder zusammengebaut werden. Da UDP verbindungslos ist und keinen Mechanismus zur erneuten Übertragung bietet, erhält der RADIUS-Server nie ein vollständiges Access-Requestund die Authentifizierung schlägt fehl.

Das Fehlen eines Retransmissionsmechanismus für fragmentierten UDP-Verkehr ist der Kerngrund, warum IP-Fragmentierung eine unzuverlässige Lösung für Authentifizierungen ist. Deshalb ist die Konfiguration der EAP-Fragmentierung die richtige Lösung. Sie stellt sicher, dass die EAP-Nachrichten bereits in kleinen Stücken vorliegen und nicht auf der IP-Ebene fragmentiert werden. Dadurch werden die durch Firewalls oder CGNAT-Geräte verursachten Fragmentierungsprobleme umgangen, die fragmentierten Verkehr verwerfen.

hashtag
Fazit

Die Wechselwirkung zwischen großen EAP-TLS-Zertifikatsnutzlasten und der MTU eines Netzwerks kann eine versteckte Ursache für Authentifizierungsfehler sein. Während das RADIUS-Protokoll darauf vertraut, dass das Netzwerk die Fragmentierung übernimmt, verwerfen Firewalls und CGNAT-Geräte häufig fragmentierte Pakete. Wenn man die Unterscheidung zwischen EAP- und IP-Fragmentierung versteht und die bewährte Praxis umsetzt, EAP-Fragmentierung auf dem Authenticator und dem RADIUS-Server zu konfigurieren, kann man sicherstellen, dass Authentifizierungspakete intakt durch das Netzwerk gelangen. Dieser bewusste, anwendungsseitige Ansatz bietet eine robuste und zuverlässige Lösung und verhindert häufige und frustrierende Verbindungsprobleme.

Zuletzt aktualisiert

War das hilfreich?