Zum Hauptinhalt springen

4. Auditing (Prüfung)

4. Auditing (Prüfung)

Nicht alle Systeme, die ESP implementieren, werden auch Auditing implementieren. Wenn ESP jedoch in ein System integriert wird, das Auditing unterstützt, dann MUSS die ESP-Implementierung ebenfalls Auditing unterstützen und MUSS einem Systemadministrator ermöglichen, Auditing für ESP zu aktivieren oder zu deaktivieren. Zum größten Teil ist die Granularität des Auditings eine lokale Angelegenheit. Allerdings werden in dieser Spezifikation mehrere auditierbare Ereignisse identifiziert, und für jedes dieser Ereignisse ist ein Mindestsatz an Informationen definiert, der im Auditprotokoll enthalten sein SOLLTE.

  • Es existiert keine gültige Sicherheitsassoziation (Security Association) für eine Sitzung. Der Auditprotokolleintrag für dieses Ereignis SOLLTE den SPI-Wert, Empfangsdatum/-zeit, Quelladresse (Source Address), Zieladresse (Destination Address), Sequenznummer (Sequence Number) und (für IPv6) die Klartext-Flow-ID (Flow ID) enthalten.

  • Ein zur ESP-Verarbeitung angebotenes Paket scheint ein IP-Fragment zu sein, d.h. das OFFSET-Feld ist nicht null oder das MORE FRAGMENTS-Flag ist gesetzt. Der Auditprotokolleintrag für dieses Ereignis SOLLTE den SPI-Wert, Empfangsdatum/-zeit, Quelladresse, Zieladresse, Sequenznummer und (in IPv6) die Flow-ID enthalten.

  • Versuch, ein Paket zu übertragen, das zu einem Überlauf der Sequenznummer führen würde. Der Auditprotokolleintrag für dieses Ereignis SOLLTE den SPI-Wert, aktuelles Datum/Zeit, Quelladresse, Zieladresse, Sequenznummer und (für IPv6) die Klartext-Flow-ID enthalten.

  • Das empfangene Paket besteht die Anti-Replay-Prüfungen nicht. Der Auditprotokolleintrag für dieses Ereignis SOLLTE den SPI-Wert, Empfangsdatum/-zeit, Quelladresse, Zieladresse, die Sequenznummer und (in IPv6) die Flow-ID enthalten.

  • Die Integritätsprüfung schlägt fehl. Der Auditprotokolleintrag für dieses Ereignis SOLLTE den SPI-Wert, Empfangsdatum/-zeit, Quelladresse, Zieladresse, die Sequenznummer und (für IPv6) die Flow-ID enthalten.

Zusätzliche Informationen KÖNNEN auch im Auditprotokoll für jedes dieser Ereignisse enthalten sein, und zusätzliche Ereignisse, die in dieser Spezifikation nicht explizit genannt werden, KÖNNEN ebenfalls zu Auditprotokolleinträgen führen. Es gibt keine Anforderung für den Empfänger, als Reaktion auf die Erkennung eines auditierbaren Ereignisses eine Nachricht an den angeblichen Absender zu übertragen, da das Potenzial besteht, über eine solche Aktion einen Denial-of-Service zu induzieren.

Letztes Update am