Passa al contenuto principale

2. IKE Protocol Details and Variations (Dettagli e varianti del protocollo IKE)

2. IKE Protocol Details and Variations (Dettagli e varianti del protocollo IKE)

IKE in ascolto e in invio usa normalmente la porta UDP 500; i messaggi IKE possono essere ricevuti anche sulla porta UDP 4500 con formato leggermente diverso (Sezione 2.23). Poiché UDP è inaffidabile, IKE prevede il recupero da errori di trasmissione, inclusi perdita, replay e falsificazione di pacchetti. IKE è progettato per funzionare se (1) almeno un pacchetto di una serie di ritrasmissioni arriva a destinazione prima del timeout e (2) il canale non è così pieno di pacchetti falsi e rigiocati da esaurire rete o CPU. Anche senza tali requisiti minimi, IKE deve fallire in modo pulito.

I messaggi IKEv2 sono pensati per essere brevi, ma contengono strutture senza limite superiore rigido (in particolare certificati digitali) e IKEv2 non frammenta i messaggi grandi. IP può frammentare UDP di grandi dimensioni, ma le implementazioni variano nel massimo supportato. Inoltre la frammentazione IP espone a DoS [DOSUDPPROT]. Alcuni NAT o firewall possono bloccare i frammenti.

Tutte le implementazioni IKEv2 DEVONO poter inviare, ricevere ed elaborare messaggi IKE fino a 1280 ottetti e DOVREBBERO fino a 3000. Devono conoscere la dimensione massima UDP supportata e POSSONO accorciare i messaggi omettendo certificati o proposte di suite. L'uso di formati « Hash and URL » evita molti problemi. Se le ricerche URL sono possibili solo dopo il Child SA, possono esserci problemi di ricorsione.

Il payload UDP di tutti i pacchetti IKE sulla porta 4500 DEVE iniziare con quattro ottetti zero; altrimenti il ricevente non sa come gestirli.

Contents

Ultimo aggiornamento il