circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Resolvendo Fragmentação EAP: A Chave para Autenticação RADIUS Confiável

Em segurança de rede, o Unidade Máxima de Transmissão (MTU) é um parâmetro crítico de rede que define o maior tamanho de pacote que pode ser transmitido por um enlace de rede sem ser fragmentado. Embora a maioria dos usuários não precise pensar na MTU, ela se torna um fator importante de solução de problemas em cenários específicos, particularmente com autenticação RADIUS e EAP-TLS. Este artigo explora como a MTU afeta o protocolo RADIUS, especialmente ao lidar com cargas úteis grandes como os certificados usados no EAP-TLS, e por que isso pode levar a falhas de autenticação.

hashtag
Introdução à MTU e Fragmentação

O MTU é o maior tamanho de pacote que uma rede pode manipular sem dividi-lo em pedaços menores. A MTU padrão para a maioria das redes Ethernet é de 1500 bytes. Quando um pacote é muito grande para um enlace de rede, ele deve ser ou descartado ou quebrado em pedaços menores aceitáveis, um processo chamado fragmentação IP. O host de destino é responsável por remontar todos os fragmentos de volta ao pacote original.

hashtag
EAP vs. Fragmentação IP: Por que essa distinção importa

A distinção entre EAP e fragmentação IP é crucial para entender problemas de autenticação.

  • Fragmentação IP (Camada de Rede): É quando um roteador quebra um único datagrama UDP em vários pacotes IP menores. Isso acontece abaixo da aplicação RADIUS, que desconhece que seu pacote foi fragmentado.

  • Fragmentação EAP (Camada de Aplicação): O próprio protocolo EAP não suporta fragmentação, mas fornece uma estrutura onde métodos EAP individuais, como EAP-TLS, podem implementar seus próprios mecanismos de fragmentação. Quando uma mensagem EAP-TLS grande (por exemplo, um certificado) é muito grande para a MTU, ela pode ser dividida em múltiplos fragmentos EAP. Cada fragmento é então encapsulado dentro de seu próprio pacote RADIUS e enviado individualmente.

A diferença chave é que fragmentação IP depende da rede para remontar os pacotes, um processo que frequentemente falha. a fragmentação EAP depende do cliente e do servidor para lidar com a remontagem, o que é um processo mais robusto que evita problemas em nível de rede.

hashtag
O Papel do Autenticador na Fragmentação

O cliente RADIUS, ou Autenticador, é um ator chave nesse processo. Embora atue como um proxy, ele pode ser configurado para fragmentar mensagens EAP para evitar a fragmentação IP. Este é o método preferido para lidar com cargas úteis grandes. Por exemplo, um Autenticador pode ser configurado para dividir uma grande mensagem EAP recebida de um supplicant antes de encapsulá-la em um pacote RADIUS e enviá-la ao servidor. Isso garante que o pacote tenha o tamanho adequado para o caminho de rede.

hashtag
Framed-MTU vs. Tamanho de Fragmentação EAP

A Framed-MTU é frequentemente confundida com a fragmentação EAP. A Framed-MTU é um atributo geralmente enviado em uma Access-Accept mensagem do servidor RADIUS para o cliente RADIUS. Seu propósito é definir a MTU IP para a sessão de dados do usuário depois que ele foi autenticado com sucesso. Ela não pode resolver problemas de fragmentação que ocorrem durante a própria negociação de autenticação, que é quando a fragmentação EAP é necessária.

Em um cenário menos comum, o atributo Framed-MTU também pode ser enviado do cliente RADIUS para o servidor em uma mensagem Access-Request mensagem para sinalizar a MTU que o cliente é capaz de suportar ou preferiria usar. É uma dica ou sugestão, não um comando. O servidor RADIUS é livre para ignorar esse valor ou usá-lo como um fator ao decidir a MTU para a sessão; no entanto, este não é um mecanismo padrão para negociar o tamanho de fragmento EAP.

hashtag
Por que a Fragmentação EAP é a Melhor Solução

A fragmentação EAP deve ser configurada tanto no Autenticador quanto no servidor RADIUS para garantir uma autenticação EAP-TLS confiável e bem-sucedida. Como o processo EAP-TLS é uma conversa bidirecional, ambos os lados devem ser capazes de fragmentar cargas úteis grandes. Também é uma boa prática configurar ambos os lados com o mesmo tamanho de fragmento EAP para garantir consistência e evitar falhas de autenticação.

Dada essa necessidade, quando um certificado grande causa falha de autenticação, muitas vezes é devido à fragmentação IP. Firewalls ou dispositivos CGNAT podem descartar pacotes fragmentados, fazendo com que a autenticação exceda o tempo limite. Em vez de uma redução ampla da MTU para todo o tráfego de rede, a melhor prática é configurar a fragmentação EAP no autenticador e no servidor RADIUS.

Essa abordagem oferece várias vantagens chave:

  • Correção Direcionada: Configurar um tamanho específico de fragmento EAP no autenticador ou no servidor RADIUS resolve diretamente o problema na sua origem. Isso garante que os grandes pacotes de autenticação sejam divididos em pedaços menores e aceitáveis antes de serem enviados pela rede, prevenindo a fragmentação IP sem afetar outros tráfegos.

  • Sem Impacto Significativo de Desempenho na Rede Geral: Reduzir a MTU global de uma interface afeta todo o tráfego de rede, o que pode levar a maior overhead e diminuição da eficiência da rede. Ao usar a fragmentação EAP, o restante do tráfego da rede continua a usar a MTU padrão, preservando o desempenho ideal. Embora a fragmentação EAP crie mais pacotes menores para a mesma carga útil e possa introduzir leve latência devido a mais idas e voltas, isso tem um impacto de desempenho desprezível na rede como um todo e é uma compensação necessária para uma autenticação bem-sucedida.

  • Projeto Específico do Protocolo: Métodos EAP que suportam fragmentação são projetados para lidar com cargas úteis grandes. Confiar nesse recurso incorporado é uma abordagem mais confiável e baseada em padrões do que depender de uma solução alternativa em camada de rede.

Aparelhos comuns com capacidades de cliente RADIUS (como switches e pontos de acesso da Cisco, Aruba e Juniper) têm um recurso para configurar a fragmentação EAP. De forma semelhante, servidores RADIUS como o FreeRADIUS possuem uma configuração fragment_size para controlar o tamanho máximo de fragmento EAP.

É importante notar que nem todos os fornecedores fornecem essa funcionalidade. Por exemplo, a Meraki não oferece uma configuração de fragmentação EAP ajustável pelo usuário em seu painel, o que pode ser uma limitação significativa.

hashtag
Por que a Fragmentação Falha com CGNAT

A fragmentação IP é uma causa comum de falhas de autenticação, especialmente em redes que utilizam Carrier-Grade NAT (CGNAT), como a Starlink.

  • Descarte de Fragmentos: Muitos firewalls e dispositivos CGNAT não são projetados para manipular pacotes fragmentados de forma eficiente. Por razões de segurança ou desempenho, eles podem descartar os fragmentos ou falhar em reconstituí-los corretamente.

  • Perda de Pacotes: Se mesmo um fragmento for perdido durante o trânsito, o datagrama UDP original inteiro não pode ser remontado pelo servidor. Como o UDP é sem conexão e não possui mecanismo de retransmissão, o servidor RADIUS nunca recebe um mensagem Access-Requestcompleto, e a autenticação falha.

A falta de um mecanismo de retransmissão para tráfego UDP fragmentado é a razão central pela qual a fragmentação IP é uma solução não confiável para autenticação. É por isso que configurar a fragmentação EAP é a solução correta. Ela garante que as mensagens EAP já estejam em pequenos pedaços, evitando que sejam fragmentadas na camada IP. Isso contorna os problemas de fragmentação causados por firewalls ou dispositivos CGNAT que descartam tráfego fragmentado.

hashtag
Conclusão

A interação entre grandes cargas de certificado EAP-TLS e a MTU de uma rede pode ser uma causa oculta de falhas de autenticação. Enquanto o protocolo RADIUS depende da rede para lidar com a fragmentação, firewalls e dispositivos CGNAT frequentemente descartam pacotes fragmentados. Ao entender a distinção entre fragmentação EAP e IP, e ao implementar a prática recomendada de configurar a fragmentação EAP no autenticador e no servidor RADIUS, você pode garantir que os pacotes de autenticação atravessem a rede intactos. Essa abordagem deliberada em camada de aplicação fornece uma solução robusta e confiável, prevenindo problemas de conectividade comuns e frustrantes.

Last updated

Was this helpful?