Controlul accesului bazat pe context ofera o filtrare avansata a traficului pe retea si poate fi folosit ca parte integrala a sistemului de securitate al unei retele de calculatoare - "firewall". Pentru a putea vorbi despre aceasta caracteristica a sistemului de securitate va trebui sa facem cateva referinte si la Sistemul Firewall (Cisco Firewall Feature Set (FFS) ) de protectie a retelelor din care face parte incepand cu versiunea 11.3 IOS a FFS. Desi este doar o parte din acest sistem de protectie , Controlul Accesului Bazat pe Context constituie unul dintre cele mai importante aspecte, un pachet elementar de elemente de siguranta care protejeaza si mentine securitatea interna a unei retele de calculatoare.
Sistemul Firewall este construit pentru a preveni accesul indivizilor neautorizati la retea si pentru a bloca eventualele atacuri asupra retelei , oferind in acelasi timp insa accesul personalului autorizat la resursele retelei.
De asemenea folosirea acestui sistem de protectie ofera si anumite avantaje printre care : protejarea retelelelor interne de accesul unor intrusi, monitorizarea traficului intre perimetrul retelelor, activarea accesului retelei la Web.
Sistemul Firewall poate fi folosit pentru configurarea unui ruter astfel:
- ca firewall intern sau parte a unui firewall intern;
- ca firewall intre grupuri din reteaua interna;
- ca firewall asigurand conexiuni sigure spre sau de la sucursale;
- ca firewall intre reteaua companiei proprii si retelele companiilor partenere;
Pentru a crea un firewall menit sa indeplineasca cerintele politicii de securitate a retelei trebuiesc determinate mai intai caracteristicile FFS cele mai apropiate si mai potrivite si trebuiesc apoi configurate corespunzator. Bineinteles ca puteti opta pentru un minim de securitate configurand caracteristicile FFS sa functioneze pentru o protectie minima a firewall-ului.
Setul de caracteristici FFS cuprinde urmatoarele :
- filtrare de baza si avansata a traficului (Basic and Advanced Traffic Filtering);
- suportul de securitate al serverului (Security Server Support );
- traducerea adreselor retelei (Network Address Translation);
- tehnologia de encriptare Cisco (Cisco Encryption Technology);
- securitatea IPSec a retelei (IPSec Network Security);
- autenticitatea ruter-ului vecin (Neighbor Router Authentication);
- monitorizarea loggin-ului (Event Logging);
Dintre aceste caracteristici pe noi ne intereseaza doar prima dintre ele, filtrarea de baza si avansata a traficului (Basic and Advanced Traffic Filtering), si mai exact filtrarea avansata (Advanced Traffic Filtering), in cadrul careia intra si Controlul Accesului Bazat pe Context. Despre celelalte caracteristici putem gasi informatii in diverse documentatii legate de securitatea retelelor.
In cadrul filtrarii de baza intra Listele de Acces Standard (Standard Acces Lists) si Listele de Acces Extinse Statice (Static Extended Acces Lists).
Filtrarea avansata cuprinde Liste de Acces Dinamice ( Lock-and-Key (Dynamic Access Lists) ) si Controlul Accesului Bazat pe Context (Context Based Acces Control).
Ca o descriere generala Controlul Accesului Bazat pe Context examineaza nu numai straturile retelei si transportul lor, dar si informatiile referitoare la protocoalele straturilor (cum ar fi informatii FTP) pentru a analiza starea conexiunilor TCP si UDP. Controlul Accesului Bazat pe Context mentine informatiile de stare ale conexiunii pentru conexiuni individuale. Aceste informatii de stare sunt utile in luarea unor decizii inteligente cu privire la traficul pachetelor. De asemenea aceste informatii de stare creeaza si sterg in mod dinamic, activ ''ferestre'' in firewall.
De aici inainte vom incepe descrierea amanuntita a Controlului Accesului Bazat pe Context sectiune ce va cuprinde mai multe parti:
1. Ce face CBAC
2. Ce nu face CBAC
3. Platforme
4. Cum functioneaza CBAC
a) generalitati
b) detalii
5. Cand si unde se configureaza CBAC
6. Procesul CBAC
7. Protocoale suportate
8. Restrictii
9. Impactul asupra performantei si memoriei sistemului
1. Ce face Controlul Accesului Bazat pe Context (CBAC) [Top]
Controlul Accesului Bazat pe Context filtreaza inteligent pachetele TCP si UDP pe baza unei informatii in legatura cu sesiunea de protocoale stratificate (application-layer protocol session information) si poate fi folosit pentru retele locale, retele externe si internet. Configurarea CBAC poate permite traficul pachetelor TCP si UDP prin firewall doar atunci cand conexiunea se face din interiorul retelei ce trebuie protejata. Cu alte cuvinte CBAC poate controla traficul sesiunilor ce provin dintr-o retea externa. In orice caz CBAC este capabil de a controla traficul atat de-o parte cat si de cealalta a unui firewall.
Fara CBAC filtrul traficului este limitat la implementarile listelor de acces care examineaza pachetele la nivelul stratului, sau cel mult, stratul de transport. CBAC insa examineaza nu numai straturile retelei si informatiile referitoare la transportul lor, dar si informatiile referitoare la protocoalele straturilor (cum ar fi informatii FTP) pentru analizarea starii sesiunilor TCP si UDP. Acest lucru permite suportul protocoalelor care implica crearea canalelor multiple ca rezultat al negocierilor pe controlul canalului. Majoritatea protocoalelor multimedia la fel ca si alte protocoale (FTP, RPC, SQL*Net) implica mai multe canale.
