1.5. Informational Messages outside of an IKE SA (Informational außerhalb IKE SA)
1.5 Informational Messages outside of an IKE SA (Informational außerhalb IKE SA)
Manchmal kann ein Knoten ein Paket nicht verarbeiten, will aber den Sender informieren.
-
ESP/AH mit unbekanntem SPI (Crash, Störung, Angriff).
-
Verschlüsselte IKE-Anfrage auf Port 500/4500 mit unbekanntem IKE-SPI (gleiche Gründe).
-
IKE-Anfrage mit höherer Major-Version als unterstützt.
Im ersten Fall: bei aktiver IKE SA zur Quell-IP KANN INVALID_SPI per INFORMATIONAL auf dieser SA gesendet werden (MAY). Notification Data enthält den SPI. Ohne passende IKE SA KANN ungeschützt zur Quell-IP gesendet werden, UDP-Zielport = Quellport bei UDP-Kapselung (MAY). Nur als Hinweis (fälschbar); kein INFORMATIONAL-Austausch; Empfänger DARF NICHT antworten (MUST NOT), Schleifen vermeiden. SPIs können 0 oder zufällig sein; Ausnahme zu Abschnitt 3.1 (kein Null-Initiator-SPI). Initiator-Flag 1, Response 0, Version normal (Abschnitt 3.1).
In den anderen Fällen: immer ungeschützt, INVALID_IKE_SPI oder INVALID_MAJOR_VERSION ohne Daten. Antwort an Quell-IP/-Port, SPI/Message ID/Exchange Type aus Anfrage, Response-Flag 1, Version normal.