Zum Hauptinhalt springen

2. IKE Protocol Details and Variations (IKE-Protokolldetails und -varianten)

2. IKE Protocol Details and Variations (IKE-Protokolldetails und -varianten)

IKE lauscht und sendet üblicherweise auf UDP-Port 500; Nachrichten können auch auf Port 4500 mit leicht anderem Format empfangen werden (Abschnitt 2.23). Da UDP unzuverlässig ist, sieht IKE die Wiederherstellung nach Übertragungsfehlern, einschließlich Verlust, Wiedergabe und Fälschung, vor. IKE funktioniert, solange (1) mindestens ein Paket einer Retransmissionsreihe vor Timeout ankommt und (2) der Kanal nicht derart mit gefälschten und wiedergegebenen Paketen gefüllt ist, dass Netz- oder CPU-Kapazität erschöpft wird. Andernfalls soll IKE sauber fehlschlagen.

IKEv2-Nachrichten sind kurz gedacht, enthalten aber Strukturen ohne feste Obergrenze (z. B. Zertifikate); IKEv2 fragmentiert nicht. IP kann große UDP-Datagramme fragmentieren; Implementierungen unterscheiden sich in der maximalen Größe. IP-Fragmentierung ermöglicht DoS [DOSUDPPROT]. Manche NAT/Firewalls blockieren Fragmente.

Alle IKEv2-Implementierungen MÜSSEN Nachrichten bis 1280 Oktette senden, empfangen und verarbeiten können und SOLLTEN bis 3000 Oktette. Sie MÜSSEN die maximale UDP-Größe kennen und DÜRFEN Nachrichten kürzen (weniger Zertifikate oder Vorschläge). „Hash and URL“ statt eingebetteter Zertifikate vermeidet meist Probleme. Wenn URL-Lookups erst nach Child-SA möglich sind, können Rekursionsprobleme auftreten.

Die UDP-Nutzlast aller auf Port 4500 gesendeten IKE-Pakete MUSS mit vier Null-Oktetten beginnen; sonst weiß der Empfänger nicht, wie er sie behandeln soll.

Contents

Letztes Update am