Je denkt er bij het troubleshooten van authenticatie problemen met (in mijn geval) NAC (Network Access Control) oplossingen meestal niet direct aan. Maar steeds vaker komt het voor dat je tegen het probleem van EAP-fragmentatie aan loopt. Hieronder wil ik uit leggen wat EAP-fragmentatie is, waar de oorzaak ligt en hoe je het kunt voorkomen als het aan de orde is.
Het Extensible Authentication Protocol (EAP) is steeds belangrijker geworden in de moderne netwerkbeveiliging en maakt flexibele authenticatiemechanismen mogelijk in verschillende netwerkinfrastructuren. Naarmate EAP-methoden zich verder ontwikkelden om robuustere beveiligingsfuncties te ondersteunen, stuitten ze op een fundamentele uitdaging: beperkingen in de berichtgrootte die leiden tot fragmentatieproblemen. Inzicht in EAP-fragmentatie is cruciaal voor netwerkbeheerders en beveiligingsprofessionals die werken met draadloze bedrijfsnetwerken, VPN’s en andere authenticatiesystemen.
Wat is EAP-fragmentatie?
EAP-fragmentatie treedt op wanneer EAP-berichten de Maximum Transmission Unit (MTU) van de onderliggende netwerklaag overschrijden. In de meeste Ethernet-netwerken is de MTU doorgaans 1500 bytes, maar de daadwerkelijk beschikbare payload voor EAP-berichten is vaak kleiner vanwege de protocoloverhead van verschillende netwerklagen.
Wanneer een EAP-methode gegevens moet verzenden die deze limiet overschrijden, moet het bericht worden opgesplitst in kleinere fragmenten die afzonderlijk kunnen worden verzonden en op de bestemming weer kunnen worden samengevoegd. Dit proces introduceert complexiteit en potentiële faalpunten in het authenticatieproces.
Waarom treedt EAP-fragmentatie op?
Verschillende factoren dragen bij aan het feit dat EAP-fragmentatie een veelvoorkomend verschijnsel wordt:
Certificaatgebaseerde authenticatie: Moderne EAP-methoden zoals EAP-TLS zijn sterk afhankelijk van X.509-certificaten voor authenticatie. Deze certificaten, met name die met uitgebreide validatie-informatie of grote sleutelgroottes, kunnen de gebruikelijke MTU-limieten gemakkelijk overschrijden. Rootcertificaatketens, tussenliggende certificaten en gebruikerscertificaten dragen allemaal bij aan de totale berichtgrootte.
Verbeterde beveiligingsfuncties: Naarmate de beveiligingseisen evolueerden, hebben EAP-methoden extra beveiligingsfuncties opgenomen, zoals uitgebreide sleutellengtes, aanvullende cryptografische algoritmen en uitgebreidere certificaatvalidatieprocessen. Deze verbeteringen verhogen de berichtgrootte aanzienlijk.
Beperkingen van de netwerkinfrastructuur: Verschillende netwerksegmenten kunnen verschillende MTU-groottes hebben. Met name draadloze netwerken hebben vaak kleinere effectieve MTU’s vanwege protocoloverhead en fragmentatie op de 802.11-laag.
Protocoloverhead: De gelaagde aard van netwerkprotocollen betekent dat EAP-berichten rekening moeten houden met de overhead van meerdere lagen, waaronder Ethernet, IP, UDP (voor RADIUS) en het EAP-framework zelf.
Veelvoorkomende EAP-methoden die worden beïnvloed door fragmentatie
Verschillende EAP-methoden zijn ook in verschillende mate gevoelig voor fragmentatieproblemen:
EAP-TLS is misschien wel de meest getroffen methode vanwege de afhankelijkheid van volledige certificaatuitwisselingen. De initiële handshake-fase vereist vaak het verzenden van volledige certificaatketens, die daarmee even vaak de MTU-limieten overschrijden.
EAP-TTLS ondervindt vergelijkbare uitdagingen tijdens de oprichtingsfase van de buitenste TLS-tunnel, hoewel de interne authenticatiemethode mogelijk minder wordt beïnvloed.
PEAP ondervindt voornamelijk fragmentatie tijdens de initiële TLS-handshake-fase bij het opzetten van de beveiligde tunnel.
EAP-FAST kan fragmentatieproblemen ondervinden tijdens de provisioning-fase, wanneer Protected Access Credentials (PAC’s) worden gedistribueerd.
Technische uitdagingen van EAP-fragmentatie
EAP-fragmentatie brengt verschillende technische uitdagingen met zich mee die de netwerkprestaties en betrouwbaarheid kunnen beïnvloeden:
Verhoogde latentie: Gefragmenteerde berichten vereisen meerdere retourzendingen tussen de client en de authenticatieserver, waardoor de authenticatietijden aanzienlijk toenemen. Dit is met name problematisch in omgevingen waar snelle authenticatie cruciaal is.
Hogere faalpercentages: Elk fragment vertegenwoordigt een potentieel punt van falen. Netwerkcongestie, pakketverlies of timingproblemen kunnen ertoe leiden dat fragmenten verloren gaan, waardoor hertransmissie nodig is en authenticatiefouten kunnen optreden.
Complexiteit van herassembleren: De ontvangende kant moet fragmenten correct in de juiste volgorde herassembleren en tegelijkertijd mogelijke duplicaten of ontbrekende fragmenten verwerken. Dit proces vereist extra bufferruimte en verwerkingsoverhead.
Beperkingen van tussenliggende apparaten: Netwerkapparaten zoals draadloze controllers, switches en RADIUS-proxy’s kunnen beperkingen hebben bij het verwerken van gefragmenteerde EAP-berichten, wat kan leiden tot authenticatiefouten of prestatievermindering.
Oplossingen en best practices
Verschillende strategieën kunnen helpen bij het beperken van EAP-fragmentatieproblemen:
Certificaatoptimalisatie: Minimaliseer certificaatgroottes door onnodige extensies te verwijderen, kortere certificaatketens te gebruiken en certificaten te gebruiken met sleutelgroottes die minimaal geschikt zijn voor de beveiligingsvereisten. Overweeg het gebruik van Elliptic Curve Cryptography (ECC)-certificaten, die vergelijkbare beveiliging bieden met kleinere sleutelgroottes.
Netwerkinfrastructuuroptimalisatie: Optimaliseer waar mogelijk (EAP) MTU-groottes in de gehele netwerkinfrastructuur. Maar in veel gevallen heb je geen invloed op de MTU grootte met name als fragmentation plaats vindt in tussenliggende ISP netwerken.
Tegenwoordig bieden veel leveranciers van netwerk apparatuur de mogelijkheid om instellingen aan te passen die EAP-fragmentation kunnen voorkomen zoals bijvoorbeeld een EAP MTU-size voor specifiek deze netwerk pakketten. Een veel gebruikte grootte voor deze MTU size is overigens 1100. In de praktijk heb ik dit zelf kunnen ondervinden en aan moeten passen op de switches omdat EAP-fragmentation werd veroorzaakt in een IP-VPN ISP netwerk. De NAC oplossing gebruikte de specifieke EAP MTU size van 1100, maar de switches dus niet. Hierdoor kwamen EAP pakketten die terug werden gestuurd naar de NAC servers maar deels aan en mislukte de afhandeling van de volledige authenticatie
Maar hetzelfde is ook gezien ook in een Fortigate VPN netwerk waarbij in de VPN Phase1 de IP-fragmentation pre-encapsulation parameter aangezet moest worden.
Zorg er dus voor dat alle netwerkapparaten in het authenticatiepad gefragmenteerde pakketten goed kunnen verwerken en voldoende bufferruimte hebben.
EAP-methodeselectie: Kies EAP-methoden die minder gevoelig zijn voor fragmentatieproblemen wanneer dit geschikt is voor uw beveiligingsvereisten. EAP-PWD- of EAP-SIM-methoden genereren bijvoorbeeld doorgaans kleinere berichten dan certificaatgebaseerde methoden.
Fragmentatiebewuste implementatie: Zorg ervoor dat EAP-implementaties fragmentatieverwerking correct ondersteunen volgens de RFC-specificaties. Dit omvat correcte time-outverwerking, fragment-reassembly en foutherstelmechanismen.
Netwerkbewaking: Implementeer bewakingsoplossingen die EAP-fragmentatieproblemen kunnen detecteren en ervoor kunnen waarschuwen. Dit omvat het volgen van authenticatiefoutpercentages, time-outgebeurtenissen en fragmentverliespatronen.
Implementatieoverwegingen
Bij de implementatie van EAP in omgevingen waar fragmentatie waarschijnlijk is:
Bufferbeheer: Zorg voor voldoende bufferruimte op alle netwerkapparaten die EAP-verkeer verwerken. Onvoldoende buffers kunnen leiden tot fragmentverlies en authenticatiefouten.
Time-outconfiguratie: Configureer geschikte time-outs voor gefragmenteerde berichtverwerking. Te korte time-outs kunnen voortijdige fouten veroorzaken, terwijl te lange time-outs de gebruikerservaring kunnen beïnvloeden.
Load balancing: Houd rekening met de extra verwerkingsoverhead van fragmentatie bij het ontwerpen van load balancing-strategieën voor authenticatieservers. Testen en valideren: Test authenticatiesystemen grondig met realistische certificaatgroottes en netwerkomstandigheden om potentiële fragmentatieproblemen te identificeren vóór de implementatie.
Toekomstige overwegingen
Naarmate de netwerkbeveiliging zich blijft ontwikkelen, kunnen verschillende trends van invloed zijn op EAP-fragmentatie:
Kwantumresistente cryptografie: De overgang naar post-kwantumcryptografische algoritmen kan de berichtgrootte aanzienlijk vergroten, waardoor fragmentatieproblemen verergeren.
Verbeterde certificaatvalidatie: Aanvullende vereisten voor certificaatvalidatie en uitgebreide certificaatinformatie kunnen de berichtgrootte verder vergroten.
Netwerkevolutie: De invoering van nieuwe netwerktechnologieën en -protocollen kan mogelijkheden bieden om fragmentatiebeperkingen aan te pakken door middel van grotere MTU-ondersteuning of efficiëntere fragmentatieverwerking.
Conclusie
EAP-fragmentatie vormt een aanzienlijke uitdaging in moderne netwerkauthenticatiesystemen, maar is niet onoverkomelijk. Door de oorzaken te begrijpen en passende oplossingen te implementeren, kunnen netwerkbeheerders de impact van fragmentatie op de authenticatieprestaties en -betrouwbaarheid minimaliseren.
De sleutel tot succesvol EAP-fragmentatiebeheer ligt in een allesomvattende aanpak die certificaatoptimalisatie, configuratie van de netwerkinfrastructuur en de juiste implementatie van fragmentatiebewuste systemen omvat. Naarmate de beveiligingseisen zich blijven ontwikkelen, is het essentieel om op de hoogte te blijven van de gevolgen van fragmentatie en robuuste testpraktijken te handhaven voor het behoud van effectieve authenticatiesystemen.
Regelmatige monitoring, proactieve optimalisatie en zorgvuldige selectie van EAP-methoden op basis van specifieke omgevingsvereisten helpen ervoor te zorgen dat authenticatiesystemen zowel veilig als performant blijven, ondanks de uitdagingen die EAP-fragmentatie met zich meebrengt.
