circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Resolver la fragmentación EAP: la clave para una autenticación RADIUS fiable

En la seguridad de redes, el Unidad Máxima de Transmisión (MTU) es un parámetro crítico de red que define el tamaño máximo de paquete que se puede transmitir por un enlace de red sin ser fragmentado. Aunque la mayoría de los usuarios no necesita pensar en la MTU, se convierte en un factor importante de resolución de problemas en escenarios específicos, particularmente con la autenticación RADIUS y EAP-TLS. Este artículo explora cómo la MTU afecta al protocolo RADIUS, especialmente al manejar cargas grandes como los certificados usados en EAP-TLS, y por qué esto puede causar fallos de autenticación.

hashtag
Introducción a la MTU y la fragmentación

El MTU es el tamaño máximo de paquete que una red puede manejar sin dividirlo en piezas más pequeñas. La MTU estándar para la mayoría de las redes Ethernet es de 1500 bytes. Cuando un paquete es demasiado grande para un enlace de red, debe ser o bien descartado o dividido en piezas más pequeñas y aceptables, un proceso llamado fragmentación IP. El host de destino es responsable de volver a ensamblar todos los fragmentos en el paquete original.

hashtag
EAP frente a fragmentación IP: por qué importa esta distinción

La distinción entre EAP y la fragmentación IP es crucial para entender los problemas de autenticación.

  • Fragmentación IP (capa de red): Aquí es donde un enrutador divide un único datagrama UDP en múltiples paquetes IP más pequeños. Esto ocurre por debajo de la aplicación RADIUS, que desconoce que su paquete fue fragmentado.

  • Fragmentación EAP (capa de aplicación): El propio protocolo EAP no admite fragmentación, pero proporciona un marco donde métodos EAP individuales, como EAP-TLS, pueden implementar sus propios mecanismos de fragmentación. Cuando un mensaje EAP-TLS grande (por ejemplo, un certificado) es demasiado grande para la MTU, puede dividirse en varios fragmentos EAP. Cada fragmento se encapsula entonces dentro de su propio paquete RADIUS y se envía de forma individual.

La diferencia clave es que fragmentación IP depende de la red para volver a ensamblar los paquetes, un proceso que con frecuencia falla. La fragmentación EAP depende del cliente y del servidor para manejar el reensamblaje, lo cual es un proceso más robusto que evita problemas a nivel de red.

hashtag
El papel del autenticador en la fragmentación

El cliente RADIUS, o Autenticador, es un actor clave en este proceso. Aunque actúa como un proxy, puede configurarse para fragmentar mensajes EAP para evitar la fragmentación IP. Este es el método preferido para manejar cargas grandes. Por ejemplo, un Autenticador puede configurarse para descomponer un mensaje EAP grande recibido de un suplicante antes de encapsularlo en un paquete RADIUS y enviarlo al servidor. Esto garantiza que el paquete tenga el tamaño adecuado para la ruta de red.

hashtag
Framed-MTU frente al tamaño de fragmentación EAP

La Framed-MTU a menudo se confunde con la fragmentación EAP. La Framed-MTU es un atributo que normalmente se envía en un Access-Accept mensaje desde el servidor RADIUS al cliente RADIUS. Su propósito es establecer la MTU IP para la sesión de datos del usuario después de que haya sido autenticado con éxito. No puede resolver problemas de fragmentación que ocurren durante el propio apretón de manos de autenticación, que es cuando se necesita la fragmentación EAP.

En un escenario menos común, el atributo Framed-MTU también puede enviarse desde el cliente RADIUS al servidor en un Access-Request mensaje para indicar la MTU que el cliente es capaz de soportar o que preferiría usar. Es una pista o sugerencia, no una orden. El servidor RADIUS es libre de ignorar este valor o usarlo como un factor al decidir la MTU para la sesión; sin embargo, este no es un mecanismo estándar para negociar el tamaño de los fragmentos EAP.

hashtag
Por qué la fragmentación EAP es la mejor solución

La fragmentación EAP debe configurarse tanto en el Autenticador como en el servidor RADIUS para garantizar una autenticación EAP-TLS fiable y exitosa. Dado que el proceso EAP-TLS es una conversación bidireccional, ambas partes deben ser capaces de fragmentar cargas grandes. También es una buena práctica configurar ambos extremos con el mismo tamaño de fragmento EAP para asegurar consistencia y prevenir fallos de autenticación.

Dada esta necesidad, cuando un certificado grande provoca que falle la autenticación, a menudo se debe a la fragmentación IP. Los cortafuegos o dispositivos CGNAT pueden descartar paquetes fragmentados, provocando que la autenticación agote el tiempo. En lugar de una reducción general de la MTU para todo el tráfico de la red, la mejor práctica es configurar fragmentación EAP en el autenticador y el servidor RADIUS.

Este enfoque ofrece varias ventajas clave:

  • Solución dirigida: Configurar un tamaño específico de fragmento EAP en el autenticador o en el servidor RADIUS resuelve directamente el problema en su origen. Garantiza que los paquetes de autenticación grandes se dividan en piezas más pequeñas y aceptables antes de enviarse por la red, previniendo la fragmentación IP sin afectar a otro tráfico.

  • Sin impacto significativo en el rendimiento general de la red: Reducir la MTU global de una interfaz afecta a todo el tráfico de la red, lo que puede conllevar un aumento de la sobrecarga y una disminución de la eficiencia de la red. Al usar la fragmentación EAP, el resto del tráfico de la red continúa usando la MTU estándar, preservando el rendimiento óptimo. Aunque la fragmentación EAP crea más paquetes pequeños para la misma carga útil y puede introducir una ligera latencia debido a más viajes de ida y vuelta, esto tiene un impacto despreciable en el rendimiento general de la red y es un compromiso necesario para una autenticación exitosa.

  • Diseño específico del protocolo: Los métodos EAP que soportan fragmentación están diseñados para manejar cargas grandes. Confiar en esta característica integrada es un enfoque más fiable y basado en estándares que depender de una solución a nivel de red.

Aparatos comunes con capacidades de cliente RADIUS (como switches y puntos de acceso de Cisco, Aruba y Juniper) tienen una función para configurar la fragmentación EAP. De manera similar, servidores RADIUS como FreeRADIUS tienen una fragment_size configuración para controlar el tamaño máximo del fragmento EAP.

Es importante notar que no todos los proveedores ofrecen esta funcionalidad. Por ejemplo, Meraki no ofrece una configuración de fragmentación EAP configurable por el usuario en su panel, lo que puede ser una limitación significativa.

hashtag
Por qué la fragmentación falla con CGNAT

La fragmentación IP es una causa común de fallos de autenticación, especialmente en redes que usan Carrier-Grade NAT (CGNAT), como Starlink.

  • Descarga de fragmentos: Muchos cortafuegos y dispositivos CGNAT no están diseñados para manejar paquetes fragmentados de manera eficiente. Por razones de seguridad o rendimiento, pueden descartar los fragmentos o fallar al reensamblarlos correctamente.

  • Pérdida de paquetes: Si incluso un fragmento se pierde durante el tránsito, el servidor no puede reensamblar el datagrama UDP original completo. Dado que UDP es sin conexión y no tiene un mecanismo de retransmisión, el servidor RADIUS nunca recibe un Access-Requestcompleto, y la autenticación falla.

La falta de un mecanismo de retransmisión para el tráfico UDP fragmentado es la razón principal por la que la fragmentación IP es una solución poco fiable para la autenticación. Por ello, configurar la fragmentación EAP es la solución correcta. Garantiza que los mensajes EAP ya estén en piezas pequeñas, evitando que sean fragmentados a nivel IP. Esto elude los problemas de fragmentación causados por cortafuegos o dispositivos CGNAT que descartan tráfico fragmentado.

hashtag
Conclusión

La interacción entre las grandes cargas de certificados EAP-TLS y la MTU de una red puede ser una causa oculta de fallos de autenticación. Aunque el protocolo RADIUS confía en que la red maneje la fragmentación, los cortafuegos y los dispositivos CGNAT a menudo descartan paquetes fragmentados. Al comprender la distinción entre la fragmentación EAP y la IP, y al implementar la mejor práctica de configurar la fragmentación EAP en el autenticador y el servidor RADIUS, puede asegurarse de que los paquetes de autenticación atraviesen la red intactos. Este enfoque deliberado a nivel de aplicación ofrece una solución robusta y fiable, previniendo problemas de conectividad comunes y frustrantes.

Última actualización

¿Te fue útil?