ответы на них) целесообразно обрабатывать как и другой трафик и он может
быть защищен межтерминальным SA обычным порядком.
ICMP-сообщения об ошибках, формируемые маршрутизатором и
защищаемые AH- или ESP-протоколом, целесообразно обрабатывать и
доставлять по SA в РТУ. Локальная стратегия обеспечения безопасности
определяет, является ли IP-адрес отправителя объектом проверки со стороны
маршрутизатора, находящегося в “начале/конце” виртуального туннеля.
(Замечание. Если маршрутизатор, расположенный в “начале”
виртуального туннеля, ретранслирует по туннелю ICMP-сообщение об
ошибке о другого маршрутизатора, то в этом случае проверку IP-адреса
отправителя желательно не проводить.) ICMP-сообщение, формируемое
маршрутизатором и защищаемое AH- или ESP-протоколом, не должно
доставляться по SA в РТР (за исключение SA, которое было сформировано для
маршрутизатора, выступающего в роли IP-узла, например, для управления
маршрутизатором может использоваться TELNET-соединение). ICMP-
сообщение, формируемое IP-узлом, целесообразно проверять на предмет
согласованности IP-адреса отправителя с информацией, содержащейся в
определителях для этого SA, по которому оно и было доставлено. (Замечание.
Даже если отправитель ICMP-сообщения об ошибке был
аутентифицирован, то возвращаемый IP-заголовок в ответном сообщении
может оказаться недействительным.) Кроме того, целесообразно проверять
значения определителей в IP-заголовке, чтобы быть уверенным в том, что они
согласуются с определителями для SA, по которому ICMP-сообщение было
доставлено.
Если ICMP-сообщение, не защищенное AH- или ESP-протоколом, не
было аутентифицировано, то в результате ему может быть отказано в
дальнейшей обработке и/или доставке. В общем, это предполагает
игнорирование таких сообщений. Однако, это предполагает, что большинство
маршрутизаторов (через шлюзы безопасности) не будет использовать IPsec-
обработку для транзитного трафика и поэтому, если строго придерживаться
этому правилу, большое количество ICMP-сообщений будет уничтожаться. В
результате становиться очевидным, что некоторые важные функции IP-
управления будут просто потеряны (например, изменение маршрута, PMTU-
обработка). Таким образом, любой программный IPsec-модуль должен обладать
возможность настройки для обработки/уничтожения ICMP-трафика на основе
правил локальной стратегии обеспечения безопасности.
6.1. PMTU / DF -обработка
6.1.1. Бит “ DF ”