|
Controlul accesului bazat pe context oferă o filtrare avansată a traficului pe reÅ£ea ÅŸi poate fi folosit ca parte integrală a sistemului de securitate al unei reÅ£ele de calculatoare – “firewall”. Pentru a putea vorbi despre această caracteristică a sistemului de securitate va trebui să facem câteva referinÅ£e ÅŸi la Sistemul Firewall (Cisco Firewall Feature Set (FFS) ) de protecÅ£ie a reÅ£elelor din care face parte începând cu versiunea 11.3 IOS a FFS. DeÅŸi este doar o parte din acest sistem de protecÅ£ie , Controlul Accesului Bazat pe Context constituie unul dintre cele mai importante aspecte, un pachet elementar de elemente de siguranţă care protejează ÅŸi menÅ£ine securitatea internă a unei reÅ£ele de calculatoare.
Sistemul Firewall este construit pentru a preveni accesul indivizilor neautorizaÅ£i la reÅ£ea ÅŸi pentru a bloca eventualele atacuri asupra reÅ£elei , oferind în acelaÅŸi timp însă accesul personalului autorizat la resursele reÅ£elei.
De asemenea folosirea acestui sistem de protecÅ£ie oferă ÅŸi anumite avantaje printre care : protejarea reÅ£elelelor interne de accesul unor intruÅŸi, monitorizarea traficului între perimetrul reÅ£elelor, activarea accesului reÅ£elei la Web.
Sistemul Firewall poate fi folosit pentru configurarea unui ruter astfel:
ca firewall intern sau parte a unui firewall intern;
ca firewall între grupuri din reÅ£eaua internă;
ca firewall asigurând conexiuni sigure spre sau de la sucursale;
ca firewall între reÅ£eaua companiei proprii ÅŸi reÅ£elele companiilor partenere;
Pentru a crea un firewall menit să îndeplinească cerinÅ£ele politicii de securitate a reÅ£elei trebuiesc determinate mai întâi caracteristicile FFS cele mai apropiate ÅŸi mai potrivite ÅŸi trebuiesc apoi configurate corespunzător. BineînÅ£eles că puteÅ£i opta pentru un minim de securitate configurând caracteristicile FFS să funcÅ£ioneze pentru o protecÅ£ie minimă a firewall-ului.
Setul de caracteristici FFS cuprinde următoarele :
filtrare de bază şi avansată a traficului (Basic and Advanced Traffic Filtering);
suportul de securitate al serverului (Security Server Support );
traducerea adreselor reţelei (Network Address Translation);
tehnologia de encriptare Cisco (Cisco Encryption Technology);
securitatea IPSec a reţelei (IPSec Network Security);
autenticitatea ruter-ului vecin (Neighbor Router Authentication);
monitorizarea loggin-ului (Event Logging);
Dintre aceste caracteristici pe noi ne interesează doar prima dintre ele, filtrarea de bază ÅŸi avansată a traficului (Basic and Advanced Traffic Filtering), ÅŸi mai exact filtrarea avansată (Advanced Traffic Filtering), în cadrul căreia intră ÅŸi Controlul Accesului Bazat pe Context. Despre celelalte caracteristici putem găsi informaÅ£ii în diverse documentaÅ£ii legate de securitatea reÅ£elelor.
În cadrul filtrării de bază intră Listele de Acces Standard (Standard Acces Lists) ÅŸi Listele de Acces Extinse Statice (Static Extended Acces Lists).
Filtrarea avansată cuprinde Liste de Acces Dinamice ( Lock-and-Key (Dynamic Access Lists) ) şi Controlul Accesului Bazat pe Context (Context Based Acces Control).
Ca o descriere generală Controlul Accesului Bazat pe Context examinează nu numai straturile reÅ£elei ÅŸi transportul lor, dar ÅŸi informaÅ£iile referitoare la protocoalele straturilor (cum ar fi informaÅ£ii FTP) pentru a analiza starea conexiunilor TCP si UDP. Controlul Accesului Bazat pe Context menÅ£ine informaÅ£iile de stare ale conexiunii pentru conexiuni individuale. Aceste informaÅ£ii de stare sunt utile în luarea unor decizii inteligente cu privire la traficul pachetelor. De asemenea aceste informaÅ£ii de stare creează ÅŸi ÅŸterg în mod dinamic, activ ’’ferestre’’ în firewall.
De aici înainte vom începe descrierea amănunÅ£ită a Controlului Accesului Bazat pe Context secÅ£iune ce va cuprinde mai multe părÅ£i:
Ce face CBAC
Ce nu face CBAC
Platforme
Cum funcţionează CBAC
a) generalităţi
b) detalii
Când ÅŸi unde se configurează CBAC
Procesul CBAC
Protocoale suportate
Restricţii
Impactul asupra performanţei şi memoriei sistemului
Pentru a vedea tot referatul CLICK AICI
|
