circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Résoudre la fragmentation EAP : la clé d'une authentification RADIUS fiable

En sécurité réseau, le Unité de Transmission Maximale (MTU) est un paramètre réseau critique qui définit la plus grande taille de paquet pouvant être transmis sur un lien réseau sans être fragmentée. Bien que la plupart des utilisateurs n'aient pas à penser à la MTU, elle devient un facteur important de dépannage dans des scénarios spécifiques, en particulier avec l'authentification RADIUS et EAP-TLS. Cet article explore comment la MTU affecte le protocole RADIUS, notamment lors du traitement de charges utiles volumineuses comme les certificats utilisés dans EAP-TLS, et pourquoi cela peut entraîner des échecs d'authentification.

hashtag
Introduction à la MTU et à la fragmentation

Le MTU est la plus grande taille de paquet qu'un réseau peut gérer sans le découper en morceaux plus petits. La MTU standard pour la plupart des réseaux Ethernet est de 1500 octets. Lorsqu'un paquet est trop volumineux pour un lien réseau, il doit soit être rejeté, soit être découpé en morceaux plus petits acceptables, un processus appelé fragmentation IP. L'hôte de destination est responsable de la réassemblage de tous les fragments pour reformer le paquet d'origine.

hashtag
EAP vs. fragmentation IP : pourquoi cette distinction est importante

La distinction entre la fragmentation EAP et IP est cruciale pour comprendre les problèmes d'authentification.

  • Fragmentation IP (couche réseau): C'est là qu'un routeur divise un seul datagramme UDP en plusieurs paquets IP plus petits. Cela se produit en dessous de l'application RADIUS, qui n'est pas consciente que son paquet a été fragmenté.

  • Fragmentation EAP (couche application): Le protocole EAP lui-même ne prend pas en charge la fragmentation, mais il fournit un cadre où des méthodes EAP individuelles, telles que EAP-TLS, peuvent implémenter leurs propres mécanismes de fragmentation. Lorsqu'un message EAP-TLS volumineux (par exemple, un certificat) est trop grand pour la MTU, il peut être découpé en plusieurs fragments EAP. Chaque fragment est ensuite encapsulé dans son propre paquet RADIUS et envoyé individuellement.

La différence clé est que fragmentation IP s'appuie sur le réseau pour réassembler les paquets, un processus qui échoue souvent. La fragmentation EAP s'appuie sur le client et le serveur pour gérer le réassemblage, ce qui est un processus plus robuste qui évite les problèmes au niveau du réseau.

hashtag
Le rôle de l'authentificateur dans la fragmentation

Le client RADIUS, ou Authenticator, est un acteur clé dans ce processus. Bien qu'il agisse comme un proxy, il peut être configuré pour fragmenter les messages EAP afin d'éviter la fragmentation IP. C'est la méthode privilégiée pour gérer les charges utiles volumineuses. Par exemple, un Authenticator peut être configuré pour décomposer un grand message EAP reçu d'un supplicant avant de l'encapsuler dans un paquet RADIUS et de l'envoyer au serveur. Cela garantit que le paquet a une taille adaptée au chemin réseau.

hashtag
Framed-MTU vs. taille de fragmentation EAP

La Framed-MTU est souvent confondue avec la fragmentation EAP. La Framed-MTU est un attribut généralement envoyé dans un Access-Accept message du serveur RADIUS au client RADIUS. Son but est de définir la MTU IP pour la session de données de l'utilisateur après qu'il a été authentifié avec succès. Elle ne peut pas résoudre les problèmes de fragmentation qui surviennent pendant la négociation d'authentification elle-même, moment où la fragmentation EAP est nécessaire.

Dans un scénario moins courant, l'attribut Framed-MTU peut également être envoyé du client RADIUS au serveur dans un Access-Request message pour signaler la MTU que le client est capable de supporter ou préférerait utiliser. C'est un indice ou une suggestion, pas un ordre. Le serveur RADIUS est libre d'ignorer cette valeur ou de l'utiliser comme un facteur lors de la décision de la MTU pour la session ; cependant, ce n'est pas un mécanisme standard pour négocier la taille des fragments EAP.

hashtag
Pourquoi la fragmentation EAP est la meilleure solution

La fragmentation EAP doit être configurée à la fois sur l'Authenticator et sur le serveur RADIUS pour garantir une authentification EAP-TLS fiable et réussie. Étant donné que le processus EAP-TLS est une conversation bidirectionnelle, les deux côtés doivent être capables de fragmenter les charges utiles volumineuses. Il est également recommandé de configurer les deux côtés avec la même taille de fragment EAP afin d'assurer la cohérence et d'éviter les échecs d'authentification.

Compte tenu de cette nécessité, lorsqu'un certificat volumineux provoque un échec d'authentification, c'est souvent dû à la fragmentation IP. Les pare-feu ou les dispositifs CGNAT peuvent abandonner les paquets fragmentés, entraînant un dépassement de délai de l'authentification. Plutôt que de réduire globalement la MTU pour tout le trafic réseau, la meilleure pratique est de configurer la fragmentation EAP sur l'authenticator et le serveur RADIUS.

Cette approche offre plusieurs avantages clés :

  • Correction ciblée: Configurer une taille de fragment EAP spécifique sur l'authenticator ou le serveur RADIUS résout directement le problème à sa source. Cela garantit que les gros paquets d'authentification sont découpés en morceaux plus petits et acceptables avant d'être envoyés sur le réseau, empêchant la fragmentation IP sans affecter les autres trafics.

  • Pas d'impact significatif sur les performances globales du réseau: Réduire la MTU globale d'une interface affecte tout le trafic réseau, ce qui peut entraîner une surcharge accrue et une diminution de l'efficacité du réseau. En utilisant la fragmentation EAP, le reste du trafic du réseau continue à utiliser la MTU standard, préservant des performances optimales. Bien que la fragmentation EAP crée plus de petits paquets pour la même charge utile et puisse introduire une légère latence due à davantage d'allers-retours, cela a un impact négligeable sur les performances globales du réseau et constitue un compromis nécessaire pour une authentification réussie.

  • Conception spécifique au protocole: Les méthodes EAP qui prennent en charge la fragmentation sont conçues pour gérer des charges utiles volumineuses. S'appuyer sur cette fonctionnalité intégrée est une approche plus fiable et conforme aux normes que de se rabattre sur un contournement au niveau du réseau.

Les appliances courantes avec des capacités de client RADIUS (comme les commutateurs et points d'accès de Cisco, Aruba et Juniper) disposent d'une fonctionnalité pour configurer la fragmentation EAP. De même, des serveurs RADIUS comme FreeRADIUS ont un fragment_size paramètre pour contrôler la taille maximale des fragments EAP.

Il est important de noter que tous les fournisseurs ne proposent pas cette fonctionnalité. Par exemple, Meraki n'offre pas de paramètre de fragmentation EAP configurable par l'utilisateur dans son tableau de bord, ce qui peut constituer une limitation importante.

hashtag
Pourquoi la fragmentation échoue avec le CGNAT

La fragmentation IP est une cause courante d'échecs d'authentification, en particulier sur les réseaux utilisant le NAT de niveau opérateur (CGNAT), comme Starlink.

  • Abandon des fragments: De nombreux pare-feu et dispositifs CGNAT ne sont pas conçus pour gérer efficacement les paquets fragmentés. Pour des raisons de sécurité ou de performance, ils peuvent abandonner les fragments ou échouer à les réassembler correctement.

  • Perte de paquets: Si même un seul fragment est perdu pendant le transit, le datagramme UDP d'origine complet ne peut pas être réassemblé par le serveur. Étant donné que UDP est sans connexion et n'a pas de mécanisme de retransmission, le serveur RADIUS ne reçoit jamais un Access-Requestcomplet, et l'authentification échoue.

L'absence d'un mécanisme de retransmission pour le trafic UDP fragmenté est la raison principale pour laquelle la fragmentation IP est une solution peu fiable pour l'authentification. C'est pourquoi la configuration de la fragmentation EAP est la solution correcte. Elle garantit que les messages EAP sont déjà en petits morceaux, empêchant leur fragmentation au niveau IP. Cela contourne les problèmes de fragmentation causés par les pare-feu ou les dispositifs CGNAT qui abandonnent le trafic fragmenté.

hashtag
Conclusion

L'interaction entre les grosses charges utiles de certificats EAP-TLS et la MTU d'un réseau peut être une cause cachée d'échecs d'authentification. Bien que le protocole RADIUS s'appuie sur le réseau pour gérer la fragmentation, les pare-feu et les dispositifs CGNAT abandonnent souvent les paquets fragmentés. En comprenant la distinction entre la fragmentation EAP et IP, et en mettant en œuvre la bonne pratique consistant à configurer la fragmentation EAP sur l'authenticator et le serveur RADIUS, vous pouvez vous assurer que les paquets d'authentification traversent le réseau intacts. Cette approche délibérée au niveau de l'application fournit une solution robuste et fiable, prévenant des problèmes de connectivité courants et frustrants.

Mis à jour

Ce contenu vous a-t-il été utile ?