Passa al contenuto principale

1.4. The INFORMATIONAL Exchange (Scambio INFORMATIONAL)

1.4 The INFORMATIONAL Exchange (Scambio INFORMATIONAL)

Durante una IKE SA i peer possono inviare messaggi di controllo su errori o eventi. IKE definisce lo scambio INFORMATIONAL. Gli scambi INFORMATIONAL DEVONO avvenire solo dopo quelli iniziali e sono protetti con le chiavi negoziate. Alcuni messaggi informativi (non scambi) possono essere fuori IKE SA. Sezione 2.21 per gli errori.

Messaggi relativi a una IKE SA DEVONO essere sotto quella IKE SA. Messaggi sulle Child SA DEVONO essere sotto la IKE SA che le ha generate (o successore dopo rekey).

I messaggi contengono zero o più payload Notification, Delete, Configuration. Il destinatario di una richiesta INFORMATIONAL DEVE inviare una risposta (anche vuota), altrimenti ritrasmissione. La richiesta può essere senza payload per verificare l'attività.

Initiator                         Responder
-------------------------------------------------------------------
HDR, SK {[N,] [D,]
    [CP,] ...}  -->
                               <--  HDR, SK {[N,] [D,]
                                        [CP,] ...}

L'elaborazione dipende dai payload.

1.4.1. Deleting an SA with INFORMATIONAL Exchanges

Le SA ESP e AH sono in coppia. Chiudere una SA richiede eliminare entrambi i membri. Ogni endpoint chiude le proprie SA in ingresso; l'altro chiude l'altra metà. Delete elencano SPI come attesi negli header in ingresso. Il destinatario DEVE chiudere. Mai Delete per entrambi i lati in un solo messaggio. Molte SA: Delete per la metà in ingresso di ogni coppia.

Di solito la risposta contiene Delete per la direzione opposta. Eccezione: richieste di cancellazione incrociate; se si riceve delete per SA già in cancellazione, eliminare in uscita elaborando la richiesta e in ingresso elaborando la risposta; la risposta NON DEVE includere Delete duplicati (MUST NOT).

Le IKE SA si eliminano con INFORMATIONAL; chiudere IKE SA chiude implicitamente le Child SA rimanenti. Risposta a delete IKE: INFORMATIONAL vuota.

Connessioni ESP/AH semi-chiuse sono anomale; audit consigliato. Nessun timeout specificato. Si PUÒ rifiutare dati in ingresso (MAY) ma NON si DEVONO chiudere unilateralmente e riusare SPI (MUST NOT). In caso di stato incoerente si PUÒ chiudere IKE SA e ricostruire (MAY).

Ultimo aggiornamento il