| Referate informatica | Bac 2008 informatica | Recomanda unui prieten

Controlul accesului bazat pe context oferă o filtrare avansată a traficului pe reţea şi poate fi folosit ca parte integrală a sistemului de securitate al unei reţele de calculatoare – “firewall”. Pentru a putea vorbi despre această caracteristică a sistemului de securitate va trebui să facem câteva referinţe şi la Sistemul Firewall (Cisco Firewall Feature Set (FFS) ) de protecţie a reţelelor din care face parte începând cu versiunea 11.3 IOS a FFS. Deşi este doar o parte din acest sistem de protecţie , Controlul Accesului Bazat pe Context constituie unul dintre cele mai importante aspecte, un pachet elementar de elemente de siguranţă care protejează şi menţine securitatea internă a unei reţele de calculatoare.
Sistemul Firewall este construit pentru a preveni accesul indivizilor neautorizaţi la reţea şi pentru a bloca eventualele atacuri asupra reţelei , oferind în acelaşi timp însă accesul personalului autorizat la resursele reţelei.
De asemenea folosirea acestui sistem de protecţie oferă şi anumite avantaje printre care : protejarea reţelelelor interne de accesul unor intruşi, monitorizarea traficului între perimetrul reţelelor, activarea accesului reţelei la Web.
Sistemul Firewall poate fi folosit pentru configurarea unui ruter astfel:
- ca firewall intern sau parte a unui firewall intern;
- ca firewall între grupuri din reţeaua internă;
- ca firewall asigurând conexiuni sigure spre sau de la sucursale;
- ca firewall între reţeaua companiei proprii şi reţelele companiilor partenere;
Pentru a crea un firewall menit să îndeplinească cerinţele politicii de securitate a reţelei trebuiesc determinate mai întâi caracteristicile FFS cele mai apropiate şi mai potrivite şi trebuiesc apoi configurate corespunzător. Bineînţeles că puteţi opta pentru un minim de securitate configurând caracteristicile FFS să funcţioneze pentru o protecţie minimă a firewall-ului.
Setul de caracteristici FFS cuprinde următoarele :
- filtrare de bază şi avansată a traficului (Basic and Advanced Traffic Filtering);
- suportul de securitate al serverului (Security Server Support );
- traducerea adreselor reţelei (Network Address Translation);
- tehnologia de encriptare Cisco (Cisco Encryption Technology);
- securitatea IPSec a reţelei (IPSec Network Security);
- autenticitatea ruter-ului vecin (Neighbor Router Authentication);
- monitorizarea loggin-ului (Event Logging);
Dintre aceste caracteristici pe noi ne interesează doar prima dintre ele, filtrarea de bază şi avansată a traficului (Basic and Advanced Traffic Filtering), şi mai exact filtrarea avansată (Advanced Traffic Filtering), în cadrul căreia intră şi Controlul Accesului Bazat pe Context. Despre celelalte caracteristici putem găsi informaţii în diverse documentaţii legate de securitatea reţelelor.
În cadrul filtrării de bază intră Listele de Acces Standard (Standard Acces Lists) şi Listele de Acces Extinse Statice (Static Extended Acces Lists).
Filtrarea avansată cuprinde Liste de Acces Dinamice ( Lock-and-Key (Dynamic Access Lists) ) şi Controlul Accesului Bazat pe Context (Context Based Acces Control).
Ca o descriere generală Controlul Accesului Bazat pe Context examinează nu numai straturile reţelei şi transportul lor, dar şi informaţiile referitoare la protocoalele straturilor (cum ar fi informaţii FTP) pentru a analiza starea conexiunilor TCP si UDP. Controlul Accesului Bazat pe Context menţine informaţiile de stare ale conexiunii pentru conexiuni individuale. Aceste informaţii de stare sunt utile în luarea unor decizii inteligente cu privire la traficul pachetelor. De asemenea aceste informaţii de stare creează şi şterg în mod dinamic, activ ’’ferestre’’ în firewall.

De aici înainte vom începe descrierea amănunţită a Controlului Accesului Bazat pe Context secţiune ce va cuprinde mai multe părţi:
1. Ce face CBAC
2. Ce nu face CBAC
3. Platforme
4. Cum funcţionează CBAC
a) generalităţi
b) detalii
5. Când şi unde se configurează CBAC
6. Procesul CBAC
7. Protocoale suportate
8. Restricţii
9. Impactul asupra performanţei şi memoriei sistemului




1. Ce face Controlul Accesului Bazat pe Context (CBAC) [Top]


Controlul Accesului Bazat pe Context filtrează inteligent pachetele TCP şi UDP pe baza unei informaţii în legatură cu sesiunea de protocoale stratificate (application-layer protocol session information) şi poate fi folosit pentru reţele locale, reţele externe şi internet. Configurarea CBAC poate permite traficul pachetelor TCP şi UDP prin firewall doar atunci când conexiunea se face din interiorul reţelei ce trebuie protejată. Cu alte cuvinte CBAC poate controla traficul sesiunilor ce provin dintr-o reţea externă. În orice caz CBAC este capabil de a controla traficul atât de-o parte cât şi de cealaltă a unui firewall.
Fără CBAC filtrul traficului este limitat la implementările listelor de acces care examinează pachetele la nivelul stratului, sau cel mult, stratul de transport. CBAC însă examineaza nu numai straturile reţelei şi informaţiile referitoare la transportul lor, dar şi informaţiile referitoare la protocoalele straturilor (cum ar fi informaţii FTP) pentru analizarea stării sesiunilor TCP şi UDP. Acest lucru permite suportul protocoalelor care implică crearea canalelor multiple ca rezultat al negocierilor pe controlul canalului. Majoritatea protocoalelor multimedia la fel ca şi alte protocoale (FTP, RPC, SQL*Net) implică mai multe canale.
CBAC inspectează traficul ce trece prin firewall pentru a descoperi şi controla informaţii de stare pentru sesiunile TCP şi UDP. Aceste informaţii de stare sunt folosite pentru a crea ’’ferestre’’ temporare în listele de acces ale firewall-ului cu scopul de a permite ’’întoarcerea’’ traficului şi conexiunilor de date alternative pentru sesiunile permise (sesiuni care provin din interiorul reţelei protejate).