IKEv2 e Dead Peer Detection

Question

IKEv2 e Dead Peer Detection

#1 da (1 voti)

0

Alcuni articoli e siti web ( Wikipedia e Cisco per esempio) affermano che a differenza di IKEv1, IKEv2 fornisce un supporto per Dead Peer Detection. Tuttavia, a differenza degli attacchi NAT traversal o DoS, ad esempio, la RFC 4306 ufficiale non ha menzionato come risolvere questo problema. In realtà esiste un RFC 3706 "ufficiale di un metodo basato sul traffico per rilevare i peer di IKE (Dead Internet Key Exchange) morti" la cui data (febbraio 2004) ha preceduto la data ufficiale della RFC di IKEv2 (dicembre 2005), tuttavia la prima non è stata menzionata in quest'ultima non in modo implicito né esplicito. Qualcuno potrebbe cancellare questo equivoco? IKEv2 implementa DPD? Se sì, ci sono dei riferimenti ufficiali?

ipsec ike

posta sasuke_X220 13.07.2017 - 18:40

fonte

1 risposta

Leggi altre domande sui tag ipsec ike

Aiuta a identificare i contenuti di strane email Un utente può avere un certificato o solo una macchina ha un certificato?

score 1 · Accepted Answer

L'RFC 4306 non è il riferimento ufficiale corrente per IKEv2, è RFC 7296 . Proprio nella introduzione si afferma:

Every request requires a response. An INFORMATIONAL request with no payloads (other than the empty Encrypted payload required by the syntax) is commonly used as a check for liveness.

Quindi nella sezione 1.4 definisce quanto segue per gli scambi INFORMATIONAL:

The request message in an INFORMATIONAL exchange MAY also contain no payloads. This is the expected way an endpoint can ask the other endpoint to verify that it is alive.

E nella sezione 2.4 si dice quanto segue:

To check whether the other side is alive, IKE specifies an empty INFORMATIONAL request that (like all IKE requests) requires an acknowledgement (note that within the context of an IKE SA, an "empty" message consists of an IKE header followed by an Encrypted payload that contains no payloads).

E nella stessa sezione un po 'più tardi:

If no cryptographically protected messages have been received on an IKE SA or any of its Child SAs recently, the system needs to perform a liveness check in order to prevent sending messages to a dead peer. (This is sometimes called "dead peer detection" or "DPD", although it is really detecting live peers, not dead ones.)