DHCP EAP Analysis or wheres my pony? Protocol overview - - PowerPoint PPT Presentation

dhcp eap analysis
SMART_READER_LITE
LIVE PREVIEW

DHCP EAP Analysis or wheres my pony? Protocol overview - - PowerPoint PPT Presentation

Apr 29, 2023 745 likes •885 views

DHCP EAP Analysis or wheres my pony? Protocol overview EAP Encapsulated in DHCP Protocol DHCP protocol starts normally Relay (proxy)

slide-1
SLIDE 1

DHCP ¡EAP ¡Analysis ¡

  • r ¡“where’s ¡my ¡pony?” ¡
slide-2
SLIDE 2

Protocol ¡overview ¡

  • EAP ¡Encapsulated ¡in ¡DHCP ¡Protocol ¡
  • DHCP ¡protocol ¡starts ¡normally ¡
  • Relay ¡(“proxy”) ¡demands ¡EAP ¡authenBcaBon ¡
  • If ¡it ¡does, ¡client ¡provides ¡credenBals ¡
  • If ¡successful, ¡DHCP ¡protocol ¡resumes ¡
slide-3
SLIDE 3

ObjecBons ¡

  • Large ¡packets ¡
  • Non-­‑conforming ¡implementaBons ¡
  • State ¡machine ¡issues ¡
  • Relay ¡vs. ¡Proxy ¡
  • Dual ¡stack ¡issues ¡
  • RFC5505 ¡
slide-4
SLIDE 4

Large ¡packets ¡

  • ObjecBon: ¡

– DHCP ¡packets ¡limited ¡by ¡default ¡to ¡576 ¡bytes ¡ – EAP ¡may ¡require ¡more ¡space ¡ – Some ¡relays ¡may ¡not ¡support ¡larger ¡packets ¡

  • ResoluBon ¡

– Fix ¡broken ¡relays ¡ – Spec ¡references ¡RFC3396 ¡(encoding ¡long ¡opBons) ¡

slide-5
SLIDE 5

Non-­‑conforming ¡implementaBons ¡ ¡

  • ObjecBon: ¡

– Conforming ¡DHCP ¡client ¡must ¡handle ¡non-­‑EAP ¡ response ¡to ¡DHCPDISCOVER ¡ – Non-­‑conforming ¡DHCP ¡client ¡may ¡receive ¡ DHCPEAP ¡message ¡

  • RecommendaBon: ¡

– Spec ¡should ¡analyze ¡possible ¡combinaBons ¡of ¡non-­‑ conforming ¡implementaBons ¡and ¡recommend ¡ appropriate ¡behaviors ¡ ¡

slide-6
SLIDE 6

State ¡machine ¡issues ¡

  • DHCPDISCOVER ¡is ¡cached ¡
  • XID ¡not ¡specified ¡for ¡DHCPEAP ¡messages ¡
  • EAP ¡and ¡DHCP ¡state ¡machines ¡opposed ¡
  • EAP ¡lifeBme ¡and ¡DHCP ¡lease ¡not ¡synced ¡
  • EAP ¡renewal ¡not ¡specified ¡
  • EAP ¡message ¡retransmission ¡not ¡specified ¡
slide-7
SLIDE 7

Relay ¡vs. ¡Proxy ¡

  • Spec ¡talks ¡about ¡a ¡DHCP ¡proxy ¡
  • DHCP ¡proxy ¡funcBonality ¡is ¡never ¡clearly ¡

delineated—it ¡sounds ¡like ¡a ¡relay ¡agent ¡

  • Proxy ¡seems ¡to ¡maintain ¡EAP ¡state ¡
  • BBF ¡requires ¡proxy ¡in ¡order ¡to ¡choose ¡DHCP ¡

server ¡based ¡on ¡results ¡of ¡authenBcaBon ¡

slide-8
SLIDE 8

Dual ¡Stack ¡issues ¡

  • A ¡dual ¡stack ¡client ¡may ¡authenBcate ¡twice, ¡

and ¡authenBcaBon ¡informaBon ¡may ¡be ¡out ¡of ¡

  • sync. ¡
slide-9
SLIDE 9

Decoupling ¡state ¡machines ¡

  • DHCPDISCOVER ¡triggers ¡EAP ¡
  • No ¡EAP ¡in ¡client ¡state ¡machine ¡
  • Client ¡recepBve ¡to ¡EAP ¡at ¡all ¡Bmes ¡
  • Separate ¡EAP ¡processing ¡from ¡DHCP ¡protocol ¡

– DHCP ¡Client ¡hands ¡EAP ¡messages ¡to ¡EAP ¡client ¡ – Relay ¡hands ¡EAP ¡responses ¡to ¡EAP ¡server ¡

  • This ¡fixes ¡previous ¡three ¡slides ¡
slide-10
SLIDE 10

RFC5505 ¡

  • Requires ¡us ¡to ¡separate ¡authenBcaBon ¡and ¡

configuraBon ¡

  • But ¡we ¡really ¡have ¡– ¡DHCP ¡is ¡not ¡

authenBcaBng—it’s ¡relaying. ¡

  • Also, ¡DHCP+EAP ¡lets ¡us ¡get ¡rid ¡of ¡PPPoe ¡
slide-11
SLIDE 11

ObservaBons ¡

  • SpecificaBon ¡is ¡very ¡weak. ¡

– Many ¡edge ¡cases ¡not ¡specified ¡or ¡even ¡menBoned ¡ – Actual ¡intent ¡of ¡spec ¡unclear ¡ – No ¡chance ¡at ¡all ¡that ¡someone ¡reading ¡spec ¡could ¡ do ¡interoperaBng ¡implementaBon ¡

  • SpecificaBon ¡could ¡be ¡fixed ¡

– There ¡are ¡soluBons ¡to ¡all ¡the ¡problems ¡in ¡the ¡spec ¡

slide-12
SLIDE 12

What ¡next? ¡

  • No ¡consensus ¡in ¡DHCwg ¡
  • Vocal ¡objecBon ¡from ¡outside ¡of ¡group ¡
  • Spec ¡as ¡wriden ¡is ¡harmful ¡
  • Spec ¡could ¡be ¡improved ¡
  • Very ¡contenBous ¡issue; ¡debaBng ¡whether ¡to ¡

do ¡this ¡has ¡wasted ¡a ¡ton ¡of ¡DHCwg ¡Bme ¡

  • We’re ¡going ¡to ¡try ¡to ¡pass ¡the ¡buck—brace ¡
  • yourself. ¡