Kontekstbaseret adgangskontrol

Kontekstbaseret adgangskontrol (CBAC) er en funktion i firewallsoftware, som på intelligent vis filtrerer TCP- og UDP-pakker baseret på protokol-sessionsoplysninger fra applikationslaget. Den kan bruges til intranet, extranet og internets.

CBAC kan konfigureres til kun at tillade specificeret TCP- og UDP-trafik gennem en firewall, når forbindelsen er initieret fra det netværk, der har brug for beskyttelse. (Med andre ord kan CBAC inspicere trafik for sessioner, der stammer fra det eksterne netværk). Selv om dette eksempel omhandler inspektion af trafik for sessioner, der stammer fra det eksterne netværk, kan CBAC dog inspicere trafik for sessioner, der stammer fra begge sider af firewallen. Dette er den grundlæggende funktion for en stateful inspection firewall.

Uden CBAC er trafikfiltrering begrænset til implementeringer af adgangslister, der undersøger pakker i netværkslaget eller højst i transportlaget. CBAC undersøger imidlertid ikke kun oplysninger fra netværkslaget og transportlaget, men undersøger også protokoloplysninger fra applikationslaget (f.eks. FTP-forbindelsesoplysninger) for at få kendskab til TCP- eller UDP-sessionens tilstand. Dette giver mulighed for at understøtte protokoller, der involverer flere kanaler, som er oprettet som følge af forhandlinger i FTP-kontrolkanalen. De fleste multimedieprotokoller samt nogle andre protokoller (f.eks. FTP, RPC og SQL*Net) involverer flere kontrolkanaler.

CBAC inspicerer trafik, der passerer gennem firewallen, for at finde og administrere tilstandsoplysninger for TCP- og UDP-sessioner. Disse tilstandsoplysninger bruges til at oprette midlertidige åbninger i firewallens adgangslister for at tillade returtrafik og yderligere dataforbindelser for tilladte sessioner (sessioner, der stammer fra det beskyttede interne netværk).

CBAC fungerer ved hjælp af dyb pakkeinspektion, og derfor kalder Cisco det “IOS-firewall” i deres Internetwork Operating System (IOS).

CBAC giver også følgende fordele:

  • Forebyggelse og påvisning af Denial-of-service
  • Eksponering af advarsler og revisionsspor i realtid

Skriv en kommentar