Contextgebaseerde toegangscontrole (CBAC) is een functie van firewall-software waarmee TCP- en UDP-pakketten op intelligente wijze worden gefilterd op basis van informatie over protocol-sessies in de toepassingslaag. Het kan worden gebruikt voor intranetten, extranetten en internetten.
CBAC kan zodanig worden geconfigureerd dat gespecificeerd TCP- en UDP-verkeer alleen door een firewall wordt toegestaan wanneer de verbinding wordt geïnitieerd vanuit het netwerk dat moet worden beschermd. (Met andere woorden, CBAC kan verkeer inspecteren voor sessies die afkomstig zijn van het externe netwerk). Hoewel in dit voorbeeld het verkeer wordt geïnspecteerd voor sessies die afkomstig zijn van het externe netwerk, kan CBAC verkeer inspecteren voor sessies die afkomstig zijn van beide zijden van de firewall. Dit is de basisfunctie van een stateful inspection firewall.
Zonder CBAC is het filteren van verkeer beperkt tot implementaties van toegangslijsten die pakketten onderzoeken op de netwerklaag, of hooguit de transportlaag. CBAC onderzoekt echter niet alleen informatie van de netwerklaag en de transportlaag, maar onderzoekt ook de protocolinformatie van de toepassingslaag (zoals informatie over een FTP-verbinding) om meer te weten te komen over de status van de TCP- of UDP-sessie. Dit maakt ondersteuning mogelijk van protocollen die meerdere kanalen omvatten die zijn ontstaan als gevolg van onderhandelingen in het FTP-controlekanaal. De meeste multimediaprotocollen en enkele andere protocollen (zoals FTP, RPC en SQL*Net) omvatten meerdere controlekanalen.
CBAC inspecteert verkeer dat door de firewall gaat om statusinformatie voor TCP- en UDP-sessies te ontdekken en te beheren. Deze statusinformatie wordt gebruikt om tijdelijke openingen te maken in de toegangslijsten van de firewall om retourverkeer en extra gegevensverbindingen toe te staan voor toegestane sessies (sessies die afkomstig zijn van binnen het beschermde interne netwerk).
CBAC werkt via deep packet inspection en wordt daarom door Cisco in hun Internetwork Operating System (IOS) ‘IOS-firewall’ genoemd.
CBAC biedt ook de volgende voordelen:
- Denial-of-service-preventie en -detectie
- Realtime waarschuwingen en audit trails