6. Elaborazione ICMP (ICMP Processing)
Questa sezione descrive la gestione IPsec del traffico ICMP. Ci sono due categorie di traffico ICMP: messaggi di errore (ad es., type = destinazione irraggiungibile) e messaggi non di errore (ad es., type = echo). Questa sezione si applica esclusivamente ai messaggi di errore. La disposizione dei messaggi ICMP non di errore (che non sono indirizzati all'implementazione IPsec stessa) DEVE essere esplicitamente contabilizzata utilizzando le voci SPD.
La discussione in questa sezione si applica a ICMPv6 così come a ICMPv4. Inoltre, DOVREBBE essere fornito un meccanismo per consentire a un amministratore di far registrare i messaggi di errore ICMP (selezionati, tutti o nessuno) come aiuto per la diagnosi dei problemi.
6.1. Elaborazione dei Messaggi di Errore ICMP Diretti a un'Implementazione IPsec
6.1.1. Messaggi di Errore ICMP Ricevuti sul Lato Non Protetto del Confine
La Figura 3 nella Sezione 5.2 mostra un modulo di elaborazione ICMP distinto sul lato non protetto del confine IPsec, per elaborare i messaggi ICMP (di errore o altro) che sono indirizzati al dispositivo IPsec e che non sono protetti tramite AH o ESP. Un messaggio ICMP di questo tipo non è autenticato e la sua elaborazione può comportare un rifiuto o un degrado del servizio.
Per soddisfare entrambe le estremità di questo spettro, un'implementazione IPsec conforme DEVE consentire a un amministratore locale di configurare un'implementazione IPsec per accettare o rifiutare il traffico ICMP non autenticato. Questo controllo DEVE essere alla granularità del tipo ICMP e PUÒ essere alla granularità del tipo e del codice ICMP.
Se un messaggio ICMP PMTU supera i controlli sopra e il sistema è configurato per accettarlo, ci sono due possibilità. Se l'implementazione applica la frammentazione sul lato cifrato del confine, le informazioni PMTU accettate vengono passate al modulo di inoltro (al di fuori dell'implementazione IPsec). Se l'implementazione è configurata per effettuare la frammentazione sul lato testo in chiaro, le informazioni PMTU vengono passate al lato testo in chiaro ed elaborate come descritto nella Sezione 8.2.
6.1.2. Messaggi di Errore ICMP Ricevuti sul Lato Protetto del Confine
Questi messaggi ICMP non sono autenticati, ma provengono da fonti sul lato protetto del confine IPsec. Pertanto, questi messaggi sono generalmente considerati più "affidabili" rispetto alle loro controparti che arrivano da fonti sul lato non protetto del confine.
6.2. Elaborazione dei Messaggi di Errore ICMP di Transito Protetti
Quando un messaggio di errore ICMP viene trasmesso tramite una SA a un dispositivo "dietro" un'implementazione IPsec, sia il payload che l'intestazione del messaggio ICMP richiedono un controllo dal punto di vista del controllo degli accessi. Un'implementazione IPsec DEVE essere configurabile per verificare che queste informazioni sull'intestazione del payload siano coerenti con la SA tramite cui arrivano.
I mittenti e i ricevitori IPsec DEVONO supportare la seguente elaborazione per i messaggi di errore ICMP che vengono inviati e ricevuti tramite SA:
-
Se esiste una SA che accoglie un messaggio di errore ICMP in uscita, il messaggio viene mappato alla SA e solo le intestazioni IP e ICMP vengono controllate alla ricezione.
-
Se non esiste alcuna SA che corrisponda ai selettori di traffico associati a un messaggio di errore ICMP, viene cercato l'SPD per determinare se tale SA può essere creata.
-
Se non esiste alcuna SA che trasporterebbe il messaggio ICMP in uscita in questione, un'implementazione IPsec DEVE mappare il messaggio alla SA che trasporterebbe il traffico di ritorno associato al pacchetto che ha attivato il messaggio di errore ICMP.
-
Se un'implementazione IPsec riceve un messaggio di errore ICMP in entrata su una SA e le intestazioni IP e ICMP del messaggio non corrispondono ai selettori di traffico per la SA, il ricevitore DEVE elaborare il messaggio ricevuto in modo speciale.
Sezioni Correlate: