Passa al contenuto principale

4. Auditing (Audit)

4. Auditing (Audit)

Non tutti i sistemi che implementano ESP implementeranno l'auditing. Tuttavia, se ESP è incorporato in un sistema che supporta l'auditing, allora l'implementazione ESP DEVE anche supportare l'auditing e DEVE consentire a un amministratore di sistema di abilitare o disabilitare l'auditing per ESP. Per la maggior parte, la granularità dell'auditing è una questione locale. Tuttavia, diversi eventi auditabili sono identificati in questa specifica e per ciascuno di questi eventi è definito un insieme minimo di informazioni che DOVREBBE essere incluso in un registro di audit.

  • Non esiste alcuna associazione di sicurezza (Security Association) valida per una sessione. La voce del registro di audit per questo evento DOVREBBE includere il valore SPI, data/ora di ricezione, indirizzo sorgente (Source Address), indirizzo di destinazione (Destination Address), numero di sequenza (Sequence Number) e (per IPv6) l'ID di flusso (Flow ID) in chiaro.

  • Un pacchetto offerto a ESP per l'elaborazione sembra essere un frammento IP, cioè il campo OFFSET è diverso da zero o il flag MORE FRAGMENTS è impostato. La voce del registro di audit per questo evento DOVREBBE includere il valore SPI, data/ora di ricezione, indirizzo sorgente, indirizzo di destinazione, numero di sequenza e (in IPv6) l'ID di flusso.

  • Tentativo di trasmettere un pacchetto che comporterebbe un overflow del numero di sequenza. La voce del registro di audit per questo evento DOVREBBE includere il valore SPI, data/ora corrente, indirizzo sorgente, indirizzo di destinazione, numero di sequenza e (per IPv6) l'ID di flusso in chiaro.

  • Il pacchetto ricevuto non supera i controlli anti-replay. La voce del registro di audit per questo evento DOVREBBE includere il valore SPI, data/ora di ricezione, indirizzo sorgente, indirizzo di destinazione, il numero di sequenza e (in IPv6) l'ID di flusso.

  • Il controllo di integrità fallisce. La voce del registro di audit per questo evento DOVREBBE includere il valore SPI, data/ora di ricezione, indirizzo sorgente, indirizzo di destinazione, il numero di sequenza e (per IPv6) l'ID di flusso.

Informazioni aggiuntive POSSONO anche essere incluse nel registro di audit per ciascuno di questi eventi, ed eventi aggiuntivi, non esplicitamente indicati in questa specifica, POSSONO anche risultare in voci del registro di audit. Non vi è alcun requisito per il ricevitore di trasmettere alcun messaggio al presunto mittente in risposta al rilevamento di un evento auditabile, a causa del potenziale di indurre un denial of service tramite tale azione.

Ultimo aggiornamento il