Controlul accesului bazat pe context ofera o filtrare avansata a traficului pe retea si poate fi folosit ca parte integrala a sistemului de securitate al unei retele de calculatoare - "firewall". Pentru a putea vorbi despre aceasta caracteristica a sistemului de securitate va trebui sa facem cateva referinte si la Sistemul Firewall (Cisco Firewall Feature Set (FFS) ) de protectie a retelelor din care face parte incepand cu versiunea 11.3 IOS a FFS. Desi este doar o parte din acest sistem de protectie , Controlul Accesului Bazat pe Context constituie unul dintre cele mai importante aspecte, un pachet elementar de elemente de siguranta care protejeaza si mentine securitatea interna a unei retele de calculatoare.
Sistemul Firewall este construit pentru a preveni accesul indivizilor neautorizati la retea si pentru a bloca eventualele atacuri asupra retelei , oferind in acelasi timp insa accesul personalului autorizat la resursele retelei.
De asemenea folosirea acestui sistem de protectie ofera si anumite avantaje printre care : protejarea retelelelor interne de accesul unor intrusi, monitorizarea traficului intre perimetrul retelelor, activarea accesului retelei la Web.
Sistemul Firewall poate fi folosit pentru configurarea unui ruter astfel:
- ca firewall intern sau parte a unui firewall intern;
- ca firewall intre grupuri din reteaua interna;
- ca firewall asigurand conexiuni sigure spre sau de la sucursale;
- ca firewall intre reteaua companiei proprii si retelele companiilor partenere;
Pentru a crea un firewall menit sa indeplineasca cerintele politicii de securitate a retelei trebuiesc determinate mai intai caracteristicile FFS cele mai apropiate si mai potrivite si trebuiesc apoi configurate corespunzator. Bineinteles ca puteti opta pentru un minim de securitate configurand caracteristicile FFS sa functioneze pentru o protectie minima a firewall-ului.
Setul de caracteristici FFS cuprinde urmatoarele :
- filtrare de baza si avansata a traficului (Basic and Advanced Traffic Filtering);
- suportul de securitate al serverului (Security Server Support );
- traducerea adreselor retelei (Network Address Translation);
- tehnologia de encriptare Cisco (Cisco Encryption Technology);
- securitatea IPSec a retelei (IPSec Network Security);
- autenticitatea ruter-ului vecin (Neighbor Router Authentication);
- monitorizarea loggin-ului (Event Logging);
Dintre aceste caracteristici pe noi ne intereseaza doar prima dintre ele, filtrarea de baza si avansata a traficului (Basic and Advanced Traffic Filtering), si mai exact filtrarea avansata (Advanced Traffic Filtering), in cadrul careia intra si Controlul Accesului Bazat pe Context. Despre celelalte caracteristici putem gasi informatii in diverse documentatii legate de securitatea retelelor.
In cadrul filtrarii de baza intra Listele de Acces Standard (Standard Acces Lists) si Listele de Acces Extinse Statice (Static Extended Acces Lists).
Filtrarea avansata cuprinde Liste de Acces Dinamice ( Lock-and-Key (Dynamic Access Lists) ) si Controlul Accesului Bazat pe Context (Context Based Acces Control).
Ca o descriere generala Controlul Accesului Bazat pe Context examineaza nu numai straturile retelei si transportul lor, dar si informatiile referitoare la protocoalele straturilor (cum ar fi informatii FTP) pentru a analiza starea conexiunilor TCP si UDP. Controlul Accesului Bazat pe Context mentine informatiile de stare ale conexiunii pentru conexiuni individuale. Aceste informatii de stare sunt utile in luarea unor decizii inteligente cu privire la traficul pachetelor. De asemenea aceste informatii de stare creeaza si sterg in mod dinamic, activ ''ferestre'' in firewall.
1) Cisco Systems
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/secur_c/scprt3/sccbac.htm
2) Network Security Library Online, February 1999
http://secinf.net/info/fw/cisco/cisco.html
3) National Security Agency, Guide to Cisco Router Setup, December 27, 2001
http://nsa1.www.conxion.com/
4) Held & Hundley, Cisco Access Lists Field Guide
McGraw Hill Publishing, 2000
5) Morrissey, Peter, The cost of Security on Cisco Routers, February 1, 1999
http://www.networkcomputing.com/1004/1004ws2.html
6) Strebe & Perkins, Firewalls 24 Seven, Alameda, CA.
Sybex Network Press, 2000
7) Buchmann & Hogrell, CCNP Routing Guide, Berkeley CA.
Osborne Publishing, 2000
8) Bugtraq List
http://lists.nas.nasa.gov/archives/ext/bugtraq/1998/09/msg00099.html
9) Router God Website
http://routergod.com/donking/
10)http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/113t/113t_3/firewall.htm
11)http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/secur_c/scprt3/sccbac.htm#xtocid168970
12) Antoine, Vanessa, et al., NSA/SNAC Router Security Configuration Guide Version 1.0j, National Security Agency, November 2001
http://nsa1.www.conxion.com/cisco/index.html
Pentru a descărca acest document,
trebuie să te autentifici in contul tău.
