De verplaatsing richting cloud is in volle gang. Met name kleine en middelgrote organisaties nemen hun diensten zoals e-mail al grotendeels af uit de cloud en willen af van de laatste apparatuur. Het ligt dan voor de hand om ook de RADIUS-server(s) in Microsoft Azure onder te brengen. Stichting govroam adviseert nadrukkelijk om dit niet te doen. Het veroorzaakt namelijk het volgende probleem: de wifi-roaming raakt verstoord. Dit probleem is niet specifiek iets van govroam: het ontstaat in deze situatie bij alle professionele wifi-netwerken.
Wij krijgen af en toe een signaal dat govroam minder goed werkt, en in steeds meer gevallen is dit omdat de RADIUS-server van de betreffende organisatie naar de cloud is verplaatst. In het geval van Azure werkt dan een basaal mechanisme, de ‘UDP-fragmentatie’, niet meer. Het roaming-verkeer wordt dan onderbroken, ook in geval van legaal RADIUS-verkeer. Dat kan – met eigen RADIUS-server(s) – ook op andere, veilige manieren.
Belangrijk hierbij is of uw organisatie volledig afhankelijk van de cloud wil zijn, zelfs voor toegang tot het (lokale) netwerk. Dit is de eerste vereiste om überhaupt met diensten in de cloud te kunnen communiceren.
Do’s en don’ts UDP-fragmentatie
Wifi-roaming tussen access points en tussen wifi-netwerken werkt op basis van het RADIUS-protocol. Alle ‘enterprise’-netwerken maken daar gebruik van volgens de WPA2-Enterprise standaard. Dit protocol bestaat uit berichten waarmee de login van een eindgebruiker wordt doorgeleid naar de plek waar de login gecontroleerd wordt. Het protocol leunt op zijn beurt weer op het UDP-protocol, de basispakketjes voor verkeer dat snel afgewikkeld moet worden op het (inter)net. Niet alle RADIUS berichten passen in één UDP-pakket, het RADIUS bericht wordt in fragmenten gehakt. Dat is een generiek mechanisme dat ‘UDP-fragmentatie’ heet. En wat blijkt? Het tweede fragment wordt in sommige netwerken weggegooid. Het resultaat? Het RADIUS bericht raakt hierdoor verminkt en wordt verworpen. Een mislukte login en een gefrustreerde gebruiker.
Gevallen waarin de UDP-fragmentatie niet goed gaat:
Verkeerd geconfigureerde firewall. Leveranciers bieden de mogelijkheid om UDP-fragments te blokkeren om een specifieke aanval te blokkeren. Niet iets om gedachteloos aan te vinken, want dan gaat ook ‘legaal’ verkeer stuk.
Bij (RADIUS)-servers die in Azure gehost worden. Microsoft biedt de mogelijkheid om hierop een uitzondering aan te vragen maar wij zien in de praktijk dat die niet in alle gevallen wordt gehonoreerd (vreemd: een uitzondering aanvragen waardoor verkeer weer werkt zoals het altijd bedoeld was).
Verkeerd geconfigureerde load balancer. Het eerste fragment wordt één kant opgestuurd, het volgende wordt een andere kant opgestuurd en de fragmenten komen niet meer samen op de plaats van bestemming.