1.5. Informational Messages outside of an IKE SA (IKE SA 外のInformationalメッセージ)
1.5 Informational Messages outside of an IKE SA (IKE SA 外のInformationalメッセージ)
ノードが処理できないパケットを受信したが, 送信者にこの状況を通知したい場合がある.
-
ESP または AH パケットが認識できない SPI で到着した場合. 受信ノードが最近クラッシュして状態を失ったため, または他のシステム障害または攻撃のためである可能性がある.
-
暗号化された IKE リクエストパケットがポート 500 または 4500 で認識できない IKE SPI で到着した場合. 受信ノードが最近クラッシュして状態を失ったため, または他のシステム障害または攻撃のためである可能性がある.
-
IKE リクエストパケットの major バージョン番号が実装がサポートするものより大きい場合.
最初の場合, 受信ノードがパケットの発元 IP アドレスに対してアクティブな IKE SA を持つ場合, INFORMATIONAL 交換を通じてその IKE SA 上で問題のパケットに対する INVALID_SPI 通知を送ってもよい (MAY). Notification Data には無効パケットの SPI が含まれる. この通知の受信者は SPI が AH 用か ESP 用か判断できないが, 多くの場合両者の SPI は異なるため重要ではない. 適切な IKE SA がない場合, ノードは暗号保護なしで送信元 IP アドレスへInformationalメッセージを送ってもよい (MAY). パケットが UDP (UDP カプセル化 ESP または AH) の場合は送信元 UDP ポートを宛先ポートとして用いる. この場合受信者は何か問題があるかもしれないヒントとしてのみ用いるべきである (容易に偽造されうる). このメッセージは INFORMATIONAL 交換の一部ではなく, 受信ノードは応答してはならない (MUST NOT), さもなくばメッセージループを引き起こしうる. メッセージの構成は次のとおり: この種の通知の受信者にとって意味のある IKE SPI 値はない, ゼロ値または乱数値のいずれも受け入れ可能であり, これは第 3.1 節のゼロ IKE Initiator SPI を禁じる規則の例外である. Initiator フラグは 1, Response フラグは 0, バージョンフラグは通常どおり設定され, これらのフラグは第 3.1 節に記載する.
2 番目と 3 番目の場合, メッセージは常に暗号保護なし (IKE SA の外) で送られ, INVALID_IKE_SPI または INVALID_MAJOR_VERSION 通知 (通知データなし) を含む. メッセージはレスポンスメッセージであり, したがって発元の IP アドレスとポートへ送られ, 同じ IKE SPI と, Message ID および Exchange Type はリクエストからコピーされる. Response フラグは 1, バージョンフラグは通常どおり設定される.