Aller au contenu principal

4. Auditing (Audit)

4. Auditing (Audit)

Tous les systèmes qui implémentent ESP n'implémenteront pas l'audit. Cependant, si ESP est incorporé dans un système qui prend en charge l'audit, alors l'implémentation ESP DOIT également prendre en charge l'audit et DOIT permettre à un administrateur système d'activer ou de désactiver l'audit pour ESP. Pour la plupart, la granularité de l'audit est une question locale. Cependant, plusieurs événements auditables sont identifiés dans cette spécification et pour chacun de ces événements, un ensemble minimum d'informations qui DEVRAIT être inclus dans un journal d'audit est défini.

  • Aucune association de sécurité (Security Association) valide n'existe pour une session. L'entrée du journal d'audit pour cet événement DEVRAIT inclure la valeur SPI, la date/heure de réception, l'adresse source (Source Address), l'adresse de destination (Destination Address), le numéro de séquence (Sequence Number) et (pour IPv6) l'ID de flux (Flow ID) en texte clair.

  • Un paquet offert à ESP pour traitement semble être un fragment IP, c'est-à-dire que le champ OFFSET est non nul ou que le drapeau MORE FRAGMENTS est défini. L'entrée du journal d'audit pour cet événement DEVRAIT inclure la valeur SPI, la date/heure de réception, l'adresse source, l'adresse de destination, le numéro de séquence et (dans IPv6) l'ID de flux.

  • Tentative de transmettre un paquet qui entraînerait un débordement du numéro de séquence. L'entrée du journal d'audit pour cet événement DEVRAIT inclure la valeur SPI, la date/heure actuelle, l'adresse source, l'adresse de destination, le numéro de séquence et (pour IPv6) l'ID de flux en texte clair.

  • Le paquet reçu échoue aux vérifications anti-rejeu (anti-replay). L'entrée du journal d'audit pour cet événement DEVRAIT inclure la valeur SPI, la date/heure de réception, l'adresse source, l'adresse de destination, le numéro de séquence et (dans IPv6) l'ID de flux.

  • La vérification d'intégrité échoue. L'entrée du journal d'audit pour cet événement DEVRAIT inclure la valeur SPI, la date/heure de réception, l'adresse source, l'adresse de destination, le numéro de séquence et (pour IPv6) l'ID de flux.

Des informations supplémentaires PEUVENT également être incluses dans le journal d'audit pour chacun de ces événements, et des événements supplémentaires, non explicitement mentionnés dans cette spécification, PEUVENT également entraîner des entrées dans le journal d'audit. Il n'y a aucune exigence pour le récepteur de transmettre un message à l'expéditeur présumé en réponse à la détection d'un événement auditable, en raison du potentiel d'induire un déni de service via une telle action.

Dernière mise à jour le