Aller au contenu principal

1.5. Informational Messages outside of an IKE SA

1.5 Informational Messages outside of an IKE SA

Il arrive qu'un nœud reçoive un paquet qu'il ne peut pas traiter mais souhaite néanmoins en informer l'émetteur.

  • Si un paquet ESP ou AH arrive avec un SPI inconnu, peut-être après un crash ayant effacé l'état, ou autre panne ou attaque.

  • Si une requête IKE chiffrée arrive sur le port 500 ou 4500 avec un SPI IKE inconnu, pour les mêmes raisons possibles.

  • Si une requête IKE a un numéro de version majeure supérieur à ce que l'implémentation supporte.

Dans le premier cas, si le nœud a une IKE SA active vers l'adresse d'origine, il PEUT envoyer une notification INVALID_SPI pour ce paquet via un échange INFORMATIONAL sur cette SA. Les Notification Data contiennent le SPI invalide. Le destinataire ne sait pas s'il s'agit d'AH ou d'ESP, ce qui est souvent sans importance. Sans IKE SA adaptée, le nœud PEUT envoyer un message informationnel non chiffré vers l'adresse source, en utilisant le port UDP source comme port de destination si le paquet était UDP (ESP/AH encapsulé UDP). Ce message ne sert qu'indice (facilement falsifiable). Ce n'est pas un échange INFORMATIONAL et le nœud qui le reçoit NE DOIT PAS répondre, pour éviter une boucle. Construction : aucun SPI IKE n'est significatif ; zéros ou valeurs aléatoires sont acceptables, exception à la section 3.1 interdisant un SPI initiator nul. Drapeau Initiator à 1, Response à 0, version normale (section 3.1).

Dans les deuxième et troisième cas, le message est toujours non chiffré (hors IKE SA) et contient INVALID_IKE_SPI ou INVALID_MAJOR_VERSION (sans données). C'est une réponse : même adresse et port d'origine, mêmes SPI IKE, Message ID et Exchange Type copiés depuis la requête. Drapeau Response à 1, version normale.

Dernière mise à jour le