IKEv2 y la detección de pares muertos

0

Algunos artículos y sitios web ( Wikipedia y Cisco por ejemplo) afirman que, a diferencia de IKEv1, IKEv2 brinda soporte para la detección de pares muertos. Sin embargo, a diferencia de los ataques transversales o DoS de NAT, por ejemplo, el RFC 4306 oficial no mencionó cómo abordar este problema. En realidad, hay un RFC 3706 oficial "Un método basado en el tráfico para detectar pares de intercambio de claves de Internet (IKE) muertos" cuya fecha (febrero de 2004) precedió a la fecha de la RFC oficial de IKEv2 (diciembre de 2005), sin embargo, la primera no se mencionó en la última, ni implícita ni explícitamente. ¿Podría alguien aclarar este malentendido? ¿IKEv2 implementa DPD? En caso afirmativo, ¿hay alguna referencia oficial?

    
pregunta sasuke_X220 13.07.2017 - 18:40
fuente

1 respuesta

1

RFC 4306 no es la referencia oficial actual para IKEv2, RFC 7296 es. Justo en la introducción dice:

  

Cada solicitud requiere un      respuesta. Una solicitud informativa sin carga útil (distinta de la      vacío La carga útil encriptada requerida por la sintaxis) se usa comúnmente como      verifique si hay vida.

Luego, en la sección 1.4 se define lo siguiente para los intercambios INFORMACIONALES:

  

La solicitud      mensaje en un intercambio INFORMACION PUEDE no contener cargas útiles.      Esta es la forma esperada en que un punto final puede solicitar al otro punto final      verifica que esté vivo.

Y en sección 2.4 dice lo siguiente:

  

Para verificar si el otro lado está vivo, IKE      especifica una solicitud informativa vacía que (como todas las solicitudes IKE)      requiere un reconocimiento (tenga en cuenta que dentro del contexto de un IKE      SA, un mensaje "vacío" consiste en un encabezado IKE seguido de un      Carga útil encriptada que no contiene ninguna carga útil).

Y en la misma sección un poco más tarde:

  

Si no      Se han recibido mensajes protegidos criptográficamente en una IKE SA      o cualquiera de sus SA de niños recientemente, el sistema necesita realizar una      control de vida para evitar enviar mensajes a un par muerto.      (Esto a veces se llama "detección de pares muertos" o "DPD", aunque      es realmente detectar compañeros vivos, no muertos.)

    
respondido por el ecdsa 14.07.2017 - 07:28
fuente

Lea otras preguntas en las etiquetas