Kontextbasierte Zugriffskontrolle (CBAC) ist eine Funktion von Firewall-Software, die TCP- und UDP-Pakete auf der Grundlage von Protokollsitzungsinformationen der Anwendungsschicht intelligent filtert. Sie kann für Intranets, Extranets und Internets verwendet werden.
CBAC kann so konfiguriert werden, dass bestimmter TCP- und UDP-Verkehr nur dann durch eine Firewall zugelassen wird, wenn die Verbindung aus dem zu schützenden Netz initiiert wird. (Mit anderen Worten: CBAC kann den Verkehr für Sitzungen prüfen, die aus dem externen Netz stammen.) Während in diesem Beispiel die Überprüfung des Datenverkehrs für Sitzungen aus dem externen Netz behandelt wird, kann CBAC den Datenverkehr für Sitzungen überprüfen, die von beiden Seiten der Firewall ausgehen. Dies ist die grundlegende Funktion einer Stateful-Inspection-Firewall.
Ohne CBAC ist die Filterung des Datenverkehrs auf Zugriffslistenimplementierungen beschränkt, die Pakete auf der Netzwerkschicht oder höchstens auf der Transportschicht untersuchen. CBAC untersucht jedoch nicht nur die Informationen der Netzwerk- und Transportschicht, sondern auch die Protokollinformationen der Anwendungsschicht (z. B. FTP-Verbindungsinformationen), um den Status der TCP- oder UDP-Sitzung zu erfahren. Dies ermöglicht die Unterstützung von Protokollen, die mehrere Kanäle umfassen, die als Ergebnis von Verhandlungen im FTP-Kontrollkanal entstehen. Die meisten Multimedia-Protokolle sowie einige andere Protokolle (z. B. FTP, RPC und SQL*Net) umfassen mehrere Kontrollkanäle.
CBAC untersucht den Verkehr, der durch die Firewall läuft, um Statusinformationen für TCP- und UDP-Sitzungen zu ermitteln und zu verwalten. Diese Statusinformationen werden verwendet, um temporäre Öffnungen in den Zugriffslisten der Firewall zu erstellen, um Rückverkehr und zusätzliche Datenverbindungen für zulässige Sitzungen (Sitzungen, die aus dem geschützten internen Netzwerk stammen) zu ermöglichen.
CBAC arbeitet mit Deep Packet Inspection und wird daher von Cisco im Internetwork Operating System (IOS) als „IOS-Firewall“ bezeichnet.
CBAC bietet außerdem folgende Vorteile:
- Verhinderung und Erkennung von Denial-of-Service
- Echtzeitwarnungen und Audit-Trails