6. ICMP-Verarbeitung (ICMP Processing)
Dieser Abschnitt beschreibt die IPsec-Behandlung von ICMP-Verkehr. Es gibt zwei Kategorien von ICMP-Verkehr: Fehlermeldungen (z. B. Typ = Ziel nicht erreichbar) und Nicht-Fehlermeldungen (z. B. Typ = Echo). Dieser Abschnitt gilt ausschließlich für Fehlermeldungen. Die Behandlung von Nicht-Fehler-ICMP-Nachrichten (die nicht an die IPsec-Implementierung selbst adressiert sind) MUSS explizit unter Verwendung von SPD-Einträgen berücksichtigt werden.
Die Diskussion in diesem Abschnitt gilt für ICMPv6 sowie für ICMPv4. Außerdem SOLLTE ein Mechanismus bereitgestellt werden, um einem Administrator zu ermöglichen, ICMP-Fehlermeldungen (ausgewählte, alle oder keine) als Hilfe zur Problemdiagnose protokollieren zu lassen.
6.1. Verarbeitung von ICMP-Fehlermeldungen, die an eine IPsec-Implementierung gerichtet sind
6.1.1. ICMP-Fehlermeldungen, die auf der ungeschützten Seite der Grenze empfangen werden
Abbildung 3 in Abschnitt 5.2 zeigt ein separates ICMP-Verarbeitungsmodul auf der ungeschützten Seite der IPsec-Grenze zur Verarbeitung von ICMP-Nachrichten (Fehler oder andere), die an das IPsec-Gerät adressiert sind und nicht über AH oder ESP geschützt sind. Eine ICMP-Nachricht dieser Art ist nicht authentifiziert, und ihre Verarbeitung kann zu einer Dienstverweigerung oder -verschlechterung führen.
Um beiden Enden dieses Spektrums gerecht zu werden, MUSS eine konforme IPsec-Implementierung einem lokalen Administrator ermöglichen, eine IPsec-Implementierung zu konfigurieren, um nicht authentifizierten ICMP-Verkehr zu akzeptieren oder abzulehnen. Diese Kontrolle MUSS auf der Granularität des ICMP-Typs erfolgen und KANN auf der Granularität des ICMP-Typs und -Codes erfolgen.
Wenn eine ICMP-PMTU-Nachricht die oben genannten Prüfungen besteht und das System so konfiguriert ist, dass es sie akzeptiert, gibt es zwei Möglichkeiten. Wenn die Implementierung die Fragmentierung auf der Chiffretext-Seite der Grenze anwendet, werden die akzeptierten PMTU-Informationen an das Weiterleitungsmodul (außerhalb der IPsec-Implementierung) übergeben. Wenn die Implementierung so konfiguriert ist, dass sie die Fragmentierung auf der Klartext-Seite bewirkt, werden die PMTU-Informationen an die Klartext-Seite übergeben und wie in Abschnitt 8.2 beschrieben verarbeitet.
6.1.2. ICMP-Fehlermeldungen, die auf der geschützten Seite der Grenze empfangen werden
Diese ICMP-Nachrichten sind nicht authentifiziert, stammen jedoch von Quellen auf der geschützten Seite der IPsec-Grenze. Daher werden diese Nachrichten im Allgemeinen als "vertrauenswürdiger" angesehen als ihre Gegenstücke, die von Quellen auf der ungeschützten Seite der Grenze ankommen.
6.2. Verarbeitung geschützter Transit-ICMP-Fehlermeldungen
Wenn eine ICMP-Fehlermeldung über eine SA an ein Gerät "hinter" einer IPsec-Implementierung übertragen wird, erfordern sowohl die Nutzlast als auch der Header der ICMP-Nachricht eine Überprüfung aus Zugangskontrollperspektive. Eine IPsec-Implementierung MUSS so konfigurierbar sein, dass sie überprüft, ob diese Nutzlast-Header-Informationen mit der SA konsistent sind, über die sie ankommen.
IPsec-Sender und -Empfänger MÜSSEN die folgende Verarbeitung für ICMP-Fehlermeldungen unterstützen, die über SAs gesendet und empfangen werden:
-
Wenn eine SA existiert, die eine ausgehende ICMP-Fehlermeldung aufnimmt, wird die Nachricht der SA zugeordnet und beim Empfang werden nur die IP- und ICMP-Header überprüft.
-
Wenn keine SA existiert, die den mit einer ICMP-Fehlermeldung verbundenen Verkehrsselektoren entspricht, wird die SPD durchsucht, um festzustellen, ob eine solche SA erstellt werden kann.
-
Wenn keine SA existiert, die die fragliche ausgehende ICMP-Nachricht tragen würde, MUSS eine IPsec-Implementierung die Nachricht der SA zuordnen, die den Rückverkehr transportieren würde, der mit dem Paket verbunden ist, das die ICMP-Fehlermeldung ausgelöst hat.
-
Wenn eine IPsec-Implementierung eine eingehende ICMP-Fehlermeldung auf einer SA empfängt und die IP- und ICMP-Header der Nachricht nicht mit den Verkehrsselektoren für die SA übereinstimmen, MUSS der Empfänger die empfangene Nachricht auf besondere Weise verarbeiten.
Verwandte Abschnitte: