Passa al contenuto principale

1.7. Significant Differences between RFC 4306 and RFC 5996 (Differenze significative)

1.7 Significant Differences between RFC 4306 and RFC 5996 (Differenze significative)

Questo documento contiene chiarimenti e ampliamenti a IKEv2 [IKEV2], molti da [Clarif]. Le modifiche sono state discusse nel gruppo IPsec e sulla mailing list. Utile agli implementatori.

Il protocollo mantiene major 2 e minor 0 come RFC 4306; il numero di versione non cambia. I pochi cambiamenti tecnici non dovrebbero impattare implementazioni RFC 4306 già distribuite.

Figure e riferimenti sono più coerenti di [IKEV2].

I requisiti SHOULD del RFC 4306 spesso non dicevano quando derogare; esistevano MUST non legati all'interoperabilità. Questo documento spiega di più. SHOULD/MUST non maiuscoli sono inglese normale, non [MUSTSHOULD].

Molto materiale dalle tabelle di codici (RFC 4306, 3.10.1) è stato spostato nel corpo principale.

Rimossa la discussione su annidamento AH/ESP (errore per il ritardo rispetto a RFC 4301). IKEv2 si basa su RFC 4301 senza "SA bundles" del RFC 2401. Passaggi IPsec multipli usano SA separate; ognuna con CREATE_CHILD_SA separato.

Rimossa INTERNAL_ADDRESS_EXPIRY per problemi di implementazione. Le implementazioni conformi DEVONO ignorare proposte con attributo di configurazione tipo 5. Rimosso INTERNAL_IP6_NBNS come attributo.

Non si possono più rifiutare messaggi per ordine payload "sbagliato"; le implementazioni NON DEVONO rifiutarli (MUST NOT).

Liste IANA ridotte a quanto definito nel RFC 4306; avviso a consultare il registro durante lo sviluppo.

Chiarimenti su quando le notifiche sono cifrate o meno.

Più dettagli su cifrari combined-mode.

Sezione 1.3.2: KEi da SHOULD a MUST; cambiamenti in 2.18.

Sezione 2.1: SPI/IP initiator per distinguere IKE SA "half-open" da nuova richiesta.

Flag critical chiarito in 2.5.

Sezione 2.8: nuova Child SA NON DOVREBBE avere TS/algorithm diversi (SHOULD NOT) invece di MAY.

Nuova 2.8.2: rekey IKE simultaneo.

Sezione 2.13: tutte le PRF DEVONO accettare chiavi di lunghezza variabile (nessun impatto atteso).

Sezione 2.18: DH obbligatorio nel rekey IKE (opzionale nel 4306 era inutile).

Sezione 2.21 ampliata.

Sezione 2.23: ricezione sia pacchetti IPsec incapsulati UDP sia non incapsulati.

Nuova 2.23.1: NAT con transport mode.

Nuova 2.25: collisioni temporali, TEMPORARY_FAILURE, CHILD_SA_NOT_FOUND.

Sezione 3.6: supporto obbligatorio dello schema http: per hash-and-URL; altri schemi senza specifica NON DOVREBBERO essere usati.

Sezione 3.15.3: puntatore a nuovo documento su configurazione IPv6.

Appendice C ampliata e chiarita.

Ultimo aggiornamento il