Wi-Fi-roaming tussen individuele access points, en ook tussen complete Wi-Fi-netwerken of locaties, werkt op basis van het RADIUS protocol. Alle ‘enterprise’-netwerken maken daar gebruik van, want het is integraal onderdeel van de WPA2-Enterprise standaard. Dat protocol bestaat uit berichten waarmee de login van een eindgebruiker wordt doorgeleid naar de plek waar de login gecontroleerd wordt.
Dit protocol leunt op zijn beurt weer op het UDP-protocol, de basispakketjes voor verkeer dat snel afgewikkeld moet worden op het (inter)net. Niet alle RADIUS berichten passen in één UDP-pakket. Met name wanneer certificaten gebruikt worden voor authenticatie (EAP-TLS), of wanneer meer of langere attributen meegestuurd worden. Het RADIUS bericht wordt dan in UDP-fragmenten gehakt. Dat is een generiek mechanisme dat ‘UDP-fragmentatie’ heet.
En wat blijkt? Het tweede fragment wordt in sommige netwerken weggegooid. Het resultaat? Het RADIUS bericht raakt hierdoor verminkt en wordt verworpen. Een mislukte login en een gefrustreerde gebruiker. Gevallen waarin de UDP-fragmentatie niet goed gaat:
Bij (RADIUS-) servers die in Azure gehost worden. Microsoft biedt de mogelijkheid om hierop een uitzondering aan te vragen maar wij zien in de praktijk dat die niet in alle gevallen wordt gehonoreerd.
Verkeerd geconfigureerde load balancer. Het eerste fragment wordt één kant opgestuurd, het volgende wordt een andere kant opgestuurd en de fragmenten komen niet meer samen op de plaats van bestemming.
Verkeerd geconfigureerde firewall. Leveranciers bieden de mogelijkheid om UDP-fragments te blokkeren om een specifieke aanval te blokkeren. Niet iets om gedachteloos aan te vinken, want dan gaat ook ‘legaal’ verkeer stuk.