Aller au contenu principal

3.3.4. Fragmentation

Si nécessaire, la fragmentation IP se produit après le traitement AH au sein d'une implémentation IPsec. Ainsi, le mode transport AH est appliqué uniquement aux datagrammes IP entiers (pas aux fragments IP). Un paquet IPv4 auquel AH a été appliqué peut lui-même être fragmenté par des routeurs en route, et ces fragments doivent être réassemblés avant le traitement AH au niveau d'un récepteur. (Cela ne s'applique pas à IPv6, où il n'y a pas de fragmentation initiée par le routeur.) En mode tunnel, AH est appliqué à un paquet IP, dont la charge utile peut être un paquet IP fragmenté. Par exemple, une passerelle de sécurité ou une implémentation IPsec "bump-in-the-stack" ou "bump-in-the-wire" (voir le document Security Architecture pour les détails) peut appliquer le mode tunnel AH à de tels fragments.

NOTE: Pour le mode transport -- Comme mentionné à la fin de la section 3.1.1, les implémentations bump-in-the-stack et bump-in-the-wire peuvent devoir d'abord réassembler un paquet fragmenté par la couche IP locale, puis appliquer IPsec, puis fragmenter le paquet résultant.

NOTE: Pour IPv6 -- Pour les implémentations bump-in-the-stack et bump-in-the-wire, il sera nécessaire d'examiner tous les en-têtes d'extension pour déterminer s'il y a un en-tête de fragmentation et donc que le paquet nécessite un réassemblage avant le traitement IPsec.

La fragmentation, qu'elle soit effectuée par une implémentation IPsec ou par des routeurs le long du chemin entre les pairs IPsec, réduit considérablement les performances. De plus, l'exigence pour un récepteur AH d'accepter des fragments pour le réassemblage crée des vulnérabilités de déni de service. Ainsi, une implémentation AH PEUT choisir de ne pas prendre en charge la fragmentation et peut marquer les paquets transmis avec le bit DF, pour faciliter la découverte du MTU de chemin (PMTU). Dans tous les cas, une implémentation AH DOIT prendre en charge la génération de messages ICMP PMTU (ou une signalisation interne équivalente pour les implémentations d'hôte natif) pour minimiser la probabilité de fragmentation. Les détails du support requis pour la gestion du MTU sont contenus dans le document Security Architecture.

Dernière mise à jour le