Aller au contenu principal

6. Traitement ICMP (ICMP Processing)

Cette section décrit le traitement IPsec du trafic ICMP. Il existe deux catégories de trafic ICMP: les messages d'erreur (par exemple, type = destination inaccessible) et les messages sans erreur (par exemple, type = écho). Cette section s'applique exclusivement aux messages d'erreur. La disposition des messages ICMP sans erreur (qui ne sont pas adressés à l'implémentation IPsec elle-même) DOIT être explicitement prise en compte à l'aide d'entrées SPD.

La discussion dans cette section s'applique à ICMPv6 ainsi qu'à ICMPv4. De plus, un mécanisme DEVRAIT être fourni pour permettre à un administrateur de faire enregistrer les messages d'erreur ICMP (sélectionnés, tous ou aucun) comme aide au diagnostic des problèmes.

6.1. Traitement des Messages d'Erreur ICMP Dirigés vers une Implémentation IPsec

6.1.1. Messages d'Erreur ICMP Reçus du Côté Non Protégé de la Frontière

La Figure 3 dans la Section 5.2 montre un module de traitement ICMP distinct du côté non protégé de la frontière IPsec, pour traiter les messages ICMP (d'erreur ou autres) qui sont adressés au dispositif IPsec et qui ne sont pas protégés via AH ou ESP. Un message ICMP de ce type n'est pas authentifié, et son traitement peut entraîner un déni ou une dégradation du service.

Pour accommoder les deux extrémités de ce spectre, une implémentation IPsec conforme DOIT permettre à un administrateur local de configurer une implémentation IPsec pour accepter ou rejeter le trafic ICMP non authentifié. Ce contrôle DOIT être à la granularité du type ICMP et PEUT être à la granularité du type et du code ICMP.

Si un message ICMP PMTU passe les vérifications ci-dessus et que le système est configuré pour l'accepter, alors il y a deux possibilités. Si l'implémentation applique la fragmentation du côté texte chiffré de la frontière, alors les informations PMTU acceptées sont transmises au module de transfert (en dehors de l'implémentation IPsec). Si l'implémentation est configurée pour effectuer la fragmentation du côté texte en clair, alors les informations PMTU sont transmises au côté texte en clair et traitées comme décrit dans la Section 8.2.

6.1.2. Messages d'Erreur ICMP Reçus du Côté Protégé de la Frontière

Ces messages ICMP ne sont pas authentifiés, mais ils proviennent de sources du côté protégé de la frontière IPsec. Ainsi, ces messages sont généralement considérés comme plus "dignes de confiance" que leurs homologues arrivant de sources du côté non protégé de la frontière. La principale préoccupation de sécurité ici est qu'un hôte ou un routeur compromis pourrait émettre des messages d'erreur ICMP erronés qui pourraient dégrader le service pour d'autres dispositifs "derrière" la passerelle de sécurité.

6.2. Traitement des Messages d'Erreur ICMP de Transit Protégés

Lorsqu'un message d'erreur ICMP est transmis via une SA à un dispositif "derrière" une implémentation IPsec, la charge utile et l'en-tête du message ICMP nécessitent une vérification du point de vue du contrôle d'accès. Une implémentation IPsec DOIT être configurable pour vérifier que ces informations d'en-tête de charge utile sont cohérentes avec la SA via laquelle elles arrivent.

Les expéditeurs et récepteurs IPsec DOIVENT prendre en charge le traitement suivant pour les messages d'erreur ICMP qui sont envoyés et reçus via des SA:

  • Si une SA existe qui accommode un message d'erreur ICMP sortant, alors le message est mappé à la SA et seuls les en-têtes IP et ICMP sont vérifiés à la réception.

  • Si aucune SA n'existe qui correspond aux sélecteurs de trafic associés à un message d'erreur ICMP, alors la SPD est recherchée pour déterminer si une telle SA peut être créée.

  • Si aucune SA n'existe qui transporterait le message ICMP sortant en question, alors une implémentation IPsec DOIT mapper le message à la SA qui transporterait le trafic de retour associé au paquet qui a déclenché le message d'erreur ICMP.

  • Si une implémentation IPsec reçoit un message d'erreur ICMP entrant sur une SA et que les en-têtes IP et ICMP du message ne correspondent pas aux sélecteurs de trafic pour la SA, le récepteur DOIT traiter le message reçu de manière spéciale.

Sections Connexes:

Dernière mise à jour le