IKE接続実験 '98/10/E at KAME

$Id: report-ike-interop9810.html,v 1.1.1.1 1999/10/26 17:19:17 sakane Exp $
%Hd: IKE接続実験 '98/10/E at KAME

参加実装

組織	実装名	OS	その他
FreeS/WAN	pluto plus?	Linux ?.?.?	pluto の独自拡張版
日立	iked?	BSD/OS ?.?
IIJ	racoon改	BSD/OS ?.?	IIJ IPsec用にracoonを改造
KAME	racoon	FreeBSD 2.2.7	KAME入りBSD/OSでも動作可
TIMESTEP	PERMIT/Gate	独自	DIT殿にお借りした
YAMAHA	RT103i	独自
東芝

テスト結果 10/E 現在

initiator responder result comment

pluto 日立

pluto IIJ

pluto racoon/KAME X racoon が phase1 の proposal を旨く処理出来ない。

pluto PERMIT/Gate X PERMIT が phase1 の proposal をはねる。security level 問題？

pluto YAMAHA

pluto 東芝

日立 pluto O

日立 IIJ

日立 racoon/KAME O racoon が鍵とSPIを逆に扱っていた。

日立 PERMIT/Gate O

日立 YAMAHA O 互いのIDペイロードの扱いの違い。

日立東芝

racoon/KAME pluto

racoon/KAME 日立

racoon/KAME racoon/IIJ

racoon/KAME PERMIT/Gate O data attribute の variable length 処理が互いに違う。 racoon が 6Bで送ると PERMIT は 8B でHASHする。

racoon/KAME YAMAHA X YAMAHA のパディングの処理問題

racoon/KAME 東芝

PERMIT/Gate pluto

PERMIT/Gate 日立

PERMIT/Gate racoon/IIJ

PERMIT/Gate racoon/KAME

PERMIT/Gate YAMAHA

PERMIT/Gate 東芝 X PERMITが aggressive mode を提案してくる。設定問題

YAMAHA pluto

YAMAHA 日立 O

YAMAHA racoon/IIJ

YAMAHA racoon/KAME

YAMAHA PERMIT/Gate

YAMAHA 東芝

東芝 pluto

東芝日立

東芝 racoon/IIJ

東芝 racoon/KAME

東芝 PERMIT/Gate

東芝 YAMAHA/Gate X Phase 1 の最後のハッシュが合わない。

initiator	responder	result	comment
pluto	日立
pluto	IIJ
pluto	racoon/KAME	X	racoon が phase1 の proposal を旨く処理出来ない。
pluto	PERMIT/Gate	X	PERMIT が phase1 の proposal をはねる。security level 問題？
pluto	YAMAHA
pluto	東芝
日立	pluto	O
日立	IIJ
日立	racoon/KAME	O	racoon が鍵とSPIを逆に扱っていた。
日立	PERMIT/Gate	O
日立	YAMAHA	O	互いのIDペイロードの扱いの違い。
日立	東芝
racoon/KAME	pluto
racoon/KAME	日立
racoon/KAME	racoon/IIJ
racoon/KAME	PERMIT/Gate	O	data attribute の variable length 処理が互いに違う。 racoon が 6Bで送ると PERMIT は 8B でHASHする。
racoon/KAME	YAMAHA	X	YAMAHA のパディングの処理問題
racoon/KAME	東芝
PERMIT/Gate	pluto
PERMIT/Gate	日立
PERMIT/Gate	racoon/IIJ
PERMIT/Gate	racoon/KAME
PERMIT/Gate	YAMAHA
PERMIT/Gate	東芝	X	PERMITが aggressive mode を提案してくる。設定問題
YAMAHA	pluto
YAMAHA	日立	O
YAMAHA	racoon/IIJ
YAMAHA	racoon/KAME
YAMAHA	PERMIT/Gate
YAMAHA	東芝
東芝	pluto
東芝	日立
東芝	racoon/IIJ
東芝	racoon/KAME
東芝	PERMIT/Gate
東芝	YAMAHA/Gate	X	Phase 1 の最後のハッシュが合わない。

メモ
o Data Attributes の解釈の相違。
	variable length の時に 4 octets alignment にするか？
o hitachi - racoon 間の phase 2 での Informational の IV の不一致。
o PERMIT の phase 1 の expiration の挙動が怪しい。
	SOFT expiration で新SAを交換する。古いSAで送ると PERMIT が新しいSAで information を送って来る。

	このInformationの中身をよく調べたら，PERMITがINVALID-COOKIEと判定したメッ
	セージがNotifyペイロードのNotification Dataフィールドにそのまま納められて
	いました。こんな仕様ドラフトに書いてありましたっけ？ PERMITのローカル仕様
	なのでしょうか。

o SOFT expiration time を HARD に対する割合で設定可能にすると嬉しい。
o SPI のレンジが分かれば、受信側でトンネルの区別が出来る。
o padding の仕方にバラツキ。
	isakmp-oakley-08, 5.3 では 0 で埋めて最後を pad length.
	Appendix B では 0 埋めのみ。

o 分割できない複数プロポーザルを示された時の反応
	日立からPERMITへ，Proposal#を同じにしたAH ProposalとESP Proposalを
	送ったら，ESP Proposalのみが返ってきました。Proposal#が同じ複数のProposal
	ペイロードは分割できないと理解しているので，このケースではPERMITは
	NO-PROPOSAL-CHOSENのInformationを返すのが正しいのではと思います。