Zum Hauptinhalt springen

7.2. SSM and RFC 2401 IPsec Caveats (SSM und RFC 2401 IPsec-Vorbehalte)

7.2. SSM and RFC 2401 IPsec Caveats (SSM und RFC 2401 IPsec-Vorbehalte)

Für bestehende Implementierungen von RFC 2401 IPsec (inzwischen durch [RFC4301] ersetzt) gibt es einige SSM-bezogene Vorbehalte. Diese werden hier aufgeführt. In RFC 2401 IPsec wird die Quelladresse nicht als Teil des Schlüssels bei der SAD-Suche (Security Association Database) verwendet. Infolgedessen werden zwei Sender, die zufällig dieselbe SSM-Zieladresse und denselben Security Parameter Index (SPI) verwenden, in der SAD jedes Hosts, der beide Kanäle empfängt, "kollidieren". Da sowohl die Kanaladresse als auch der SPI vom Sender autonom zugewiesen werden, gibt es keine vernünftige Möglichkeit sicherzustellen, dass jeder Sender eine eindeutige Zieladresse oder einen eindeutigen SPI verwendet.

Ein Problem tritt auf, wenn ein Empfänger gleichzeitig zwei nicht zusammenhängende Kanäle abonniert, die IPsec verwenden und deren Quellen zufällig dieselbe IP-Zieladresse (IPDA) und denselben IPsec-SPI verwenden. Da die Kanal-Zieladresse vom Sender autonom zugewiesen wird, können zwei beliebige Hosts gleichzeitig dieselbe Zieladresse verwenden, und es gibt keine vernünftige Möglichkeit sicherzustellen, dass dies nicht geschieht. Das Tupel <IPDA, SPI> besteht jedoch aus typischerweise zufällig gewählten 56 Bits (24 Bits des IP-Ziels und 32 Bits des SPI), sodass eine Kollision durch Zufall unwahrscheinlich ist.

Wenn eine solche Kollision auftritt, kann der Empfänger nicht gleichzeitig IPsec-geschützten Verkehr von beiden kollidierenden Quellen empfangen. Der Empfänger kann diese Situation erkennen, indem er bemerkt, dass er Verkehr von zwei verschiedenen Quellen mit demselben SPI und derselben SSM-Zieladresse empfängt.

Letztes Update am