2.4. State Synchronization and Connection Timeouts (Zustandssynchronisation und Timeouts)
2.4. State Synchronization and Connection Timeouts (Zustandssynchronisation und Timeouts)
Eine IKE-Endstelle DARF jederzeit allen Zustand zu einer IKE-SA und den zugehörigen Child-SAs vergessen (z. B. nach Absturz). Die andere Seite MUSS das erkennen und keine Bandbreite mehr über verworfene SAs verschwenden.
INITIAL_CONTACT besagt, dass diese IKE-SA die einzige aktive zwischen den authentifizierten Identitäten ist. Sie KANN nach einem Absturz gesendet werden; der Empfänger KANN andere IKE-SAs zu derselben Identität ohne Timeout löschen. Sie DARF nicht von replizierbaren Entitäten gesendet werden. Wenn gesendet, MUSS sie in der ersten IKE_AUTH-Anfrage oder -Antwort stehen, nicht später; Empfänger KÖNNEN sie sonst ignorieren.
Wegen DoS-Resistenz DARF eine Endstelle das Ausfallen des Peers nicht allein aus Routing (ICMP) oder ungeschützten IKE-Nachrichten schließen. Ausfall nur bei wiederholter Kontaktaufnahme ohne Antwort bis Timeout oder bei geschütztem INITIAL_CONTACT auf einer anderen IKE-SA zur gleichen Identität. Verdacht aus Routing → Lebendigkeit prüfen. Leere INFORMATIONAL-Anfrage mit Bestätigung (in IKE-SA: Header plus leere verschlüsselte Hülle). Frische geschützte Nachricht kürzlich → ungeschützte Notifys KÖNNEN ignoriert werden. Aktionen auf ungeschützten Nachrichten MÜSSEN ratenbegrenzt sein.
Anzahl Wiederholungen und Timeoutlängen sind nicht normativ; mindestens ein Dutzend über mehrere Minuten wird empfohlen; Retransmissions MÜSSEN exponentiell wachsen. Nur ausgehender Verkehr auf allen SAs einer IKE-SA → Lebendigkeit des Peers prüfen. Keine geschützte Nachricht kürzlich auf IKE- oder Child-SA → Lebendigkeitscheck („DPD“, eigentlich Erkennung lebendiger Peers). Frische geschützte Nachricht auf IKE- oder Child-SA bestätigt IKE-SA und alle Child-SAs. Implementierung MUSS Senden auf einer SA stoppen, wenn Empfang auf allen zugehörigen SAs scheitert. Unabhängig ausfallende Child-SAs ohne Delete über IKE-SA MÜSSEN über separate IKE-SAs verhandelt werden.
DoS auf Initiator in den ersten zwei ungeschützten Nachrichten: Initiator KANN mehrere Antworten auf die erste Nachricht akzeptieren, jeweils beantworten und nach gültiger geschützter Antwort ungültige Halbverbindungen verwerfen; danach alle weiteren Antworten ignorieren.
Mit diesen Regeln ist keine vereinbarte SA-Lebensdauer nötig; wiederholtes Fehlen von Bestätigungen → IKE-SA und Child-SAs löschen.
Inaktive Child-SAs DÜRFEN gelöscht werden; dann MÜSSEN Delete-Payloads gesendet werden. IKE-SA kann ebenfalls zeitlich ablaufen; Schließen impliziert Child-SAs; Delete für IKE-SA SOLLTEN gesendet werden, wenn der Peer noch antwortet.