Zum Hauptinhalt springen

1.7. Significant Differences between RFC 4306 and RFC 5996 (Wesentliche Unterschiede)

1.7 Significant Differences between RFC 4306 and RFC 5996 (Wesentliche Unterschiede)

Dieses Dokument enthält Klärungen und Ergänzungen zu IKEv2 [IKEV2], viele basierend auf [Clarif]. Änderungen wurden in der IPsec-Arbeitsgruppe und später auf der IPsec-Mailingliste diskutiert. Das Dokument ist für Implementierer nützlich.

Das Protokoll behält Major 2 und Minor 0 wie RFC 4306; die Versionsnummer ändert sich nicht. Die wenigen technischen Änderungen sollten bestehende RFC-4306-Deployments nicht beeinträchtigen.

Abbildungen und Referenzen sind etwas konsistenter als in [IKEV2].

SHOULD-Anforderungen in RFC 4306 waren oft unklar, wann Abweichung erlaubt ist; es gab MUST ohne Bezug zur Interoperabilität. Dieses Dokument erläutert mehr. Nicht großgeschriebene SHOULD/MUST sind normales Englisch, nicht [MUSTSHOULD].

Viel Material aus Code-Tabellen (RFC 4306, Abschnitt 3.10.1) wurde in den Haupttext verschoben.

Diskussion über Verschachtelung von AH und ESP entfällt (Fehler wegen Zeitabstands zu RFC 4301). IKEv2 basiert auf RFC 4301 ohne „SA bundles“ von RFC 2401. Mehrfache IPsec-Durchläufe nutzen jeweils eigene SAs, koordiniert über Forwarding; jede SA braucht eigenen CREATE_CHILD_SA.

INTERNAL_ADDRESS_EXPIRY entfällt wegen Implementierungsproblemen. Konforme Implementierungen MÜSSEN Angebote mit Konfigurationsattributtyp 5 ignorieren. INTERNAL_IP6_NBNS entfällt.

Ablehnung wegen „falscher“ Payload-Reihenfolge ist nicht mehr erlaubt; Implementierungen DÜRFEN NICHT ablehnen (MUST NOT).

IANA-Listen wurden auf in RFC 4306 Definiertes beschnitten; Hinweis, das IANA-Register zur Entwicklungszeit zu prüfen.

Klarstellung, wann Benachrichtigungen verschlüsselt sind oder nicht.

Mehr zu kombinierten Modi (combined-mode).

Abschnitt 1.3.2: KEi von SHOULD auf MUST; Auswirkungen in 2.18.

Abschnitt 2.1: SPI/IP des Initiators zur Unterscheidung „half-open“ vs. neue Anfrage.

Critical-Flag in 2.5 geklärt.

Abschnitt 2.8: neue Child SA SOLL NICHT andere TS/Algorithmen haben (SHOULD NOT) statt MAY.

Neuer 2.8.2: gleichzeitiges IKE-Rekey.

Abschnitt 2.13: PRFs MÜSSEN variable Schlüssellängen unterstützen (ohne praktische Auswirkung).

Abschnitt 2.18: DH beim IKE-Rekey Pflicht (optional in RFC 4306 war unnütz).

Abschnitt 2.21 stark erweitert.

Abschnitt 2.23: Empfang von UDP-kapselten und nicht kapselten IPsec-Paketen.

Neu 2.23.1: NAT bei Transportmodus.

Neu 2.25: Kollisionen beim Löschen/Rekey, TEMPORARY_FAILURE, CHILD_SA_NOT_FOUND.

Abschnitt 3.6: http:-Schema für Hash-and-URL MUSS unterstützt werden; andere Schemes ohne Spezifikation SOLLTEN NICHT verwendet werden.

Abschnitt 3.15.3: Verweis auf neues IPv6-Konfigurationsdokument.

Anhang C erweitert und geklärt.

Letztes Update am