IPsec problem? - dlouhe

[Dan Lukes]

Josef Brzak wrote:

>   IPsec. Vse funguje tak jak ma jen se mi nekdy v logach
>   vypisuje nasledujici hlaska:
> 
>   IPv4 ESP input: no key association found for spi 113014365
>   IPv4 ESP input: no key association found for spi 113014365

	Prijmete, bez delsiho vysvetlovani informaci, ze kazdy paket, chraneny 
IPSECem jeoznacen identifikaci, kterou mu pridelil odesilajici stroj a podle 
ktere se prijimajici stroj pokousi overit, ze paket je autenticky a/nebo 
nemodifikovany (v zavislosti na konfiguraci).  Ta identifikace vlastne 
oznacuje (mimo jine) desifrovaci klic. A jak se, v prubehu komunikace, 
renegociuji klice, meni se i tato identifikace.

	Vyse uvedena hlaska se objevi tehdy, kdyz prijde paket oznaceny identifikaci, 
kterou prijemce ve svych tabulkach nema.

>   Tato hlaska se take nekdy vypisuje po resetu jednoho routeru
>   a nejakou dobu trva nez se navaze spojeni mezi routery.

	To je jedna ze situaci, kdy se muze objevit. Prijimaci router informaci 
ztratil a tak jsou mu prichazejici pakety "cizi". Pricemz odesilaci router 
nema poneti, ze prijimaci router nerozumi.

	Situace se zlepsi v okamziku, kdy se routery dohodnou na nove sade klicu.

	S tim nebyva problem, pokud klic schazi odesilaci strane - v takovem pripade 
se iniciuje ISAKMP hanshaking a stroje si klice ustanovi. Horsi je, kdyz klic 
nezna stroj prijimaci - on "vi", ze paket neni autenticky - takovy se, podle 
jeho informaci, vubec nema vyskytovat. Jde tedy o paket vadny nebo odeslany 
utocnikem. V obou pripadech prijemce na prijem jakkoli nereaguje. K naprave 
dojde az v okamziku, kdy na odesilaci strane vyprsi platnost klice a dojde k 
renegociaci. A to je ta "nejaka doba" nez se navaze spojeni ...


							Dan