4. Auditing (監査)
4. Auditing (監査)
ESP を実装するすべてのシステムが監査機能を実装するわけではありません。しかし, ESP が監査をサポートするシステムに組み込まれる場合, ESP 実装も監査をサポートしなければならず (MUST), システム管理者が ESP の監査を有効または無効にできるようにしなければなりません (MUST)。ほとんどの場合, 監査の粒度はローカルな問題です。ただし, この仕様ではいくつかの監査可能なイベントが識別されており, これらの各イベントについて監査ログに含めるべき (SHOULD) 最小限の情報セットが定義されています。
-
セッションに有効なセキュリティアソシエーション (Security Association) が存在しない。このイベントの監査ログエントリには, SPI 値, 受信日時, 送信元アドレス (Source Address), 宛先アドレス (Destination Address), シーケンス番号 (Sequence Number), および (IPv6 の場合) 平文フロー ID (Flow ID) を含めるべきです (SHOULD)。
-
ESP で処理されるパケットが IP フラグメント (fragment) であるように見える, つまり OFFSET フィールドが非ゼロであるか, MORE FRAGMENTS フラグが設定されている。このイベントの監査ログエントリには, SPI 値, 受信日時, 送信元アドレス, 宛先アドレス, シーケンス番号, および (IPv6 の場合) フロー ID を含めるべきです (SHOULD)。
-
シーケンス番号のオーバーフローを引き起こすパケットを送信しようとした。このイベントの監査ログエントリには, SPI 値, 現在の日時, 送信元アドレス, 宛先アドレス, シーケンス番号, および (IPv6 の場合) 平文フロー ID を含めるべきです (SHOULD)。
-
受信したパケットがアンチリプレイ (anti-replay) チェックに失敗した。このイベントの監査ログエントリには, SPI 値, 受信日時, 送信元アドレス, 宛先アドレス, シーケンス番号, および (IPv6 の場合) フロー ID を含めるべきです (SHOULD)。
-
整合性チェックが失敗した。このイベントの監査ログエントリには, SPI 値, 受信日時, 送信元アドレス, 宛先アドレス, シーケンス番号, および (IPv6 の場合) フロー ID を含めるべきです (SHOULD)。
これらの各イベントについて, 監査ログに追加情報を含めることもできます (MAY)。また, この仕様で明示的に指定されていない追加イベントも監査ログエントリにつながる可能性があります (MAY)。監査可能なイベントの検出に応じて, 受信者が送信元とされる者にメッセージを送信する要件はありません。これは, そのような操作がサービス拒否 (denial of service) を誘発する可能性があるためです。