Referat Controlul Accesului Bazat Pe Context
Mai jos puteti citi fragmente din
Referat Controlul Accesului Bazat Pe Context si de asemenea puteti face
Download Referat Controlul Accesului Bazat pe ContextCiteste fragmente din Referat Controlul Accesului Bazat Pe Context
CONTEXT BASED ACCES CONTROL (CBAC)
Controlul accesului bazat pe context –
Controlul accesului bazat pe context oferă o filtrare avansată a
traficului pe reţea şi poate fi folosit ca parte integrală a
sistemului de securitate al unei reţele de calculatoare –
“firewallâ€Â. Pentru a putea vorbi despre această caracteristică a
sistemului de securitate va trebui să facem câteva referinţe şi la
Sistemul Firewall (Cisco Firewall Feature Set (FFS) ) de
protecţie a reţelelor din care face parte începând cu versiunea 11.3
IOS a FFS. Deşi este doar o parte din acest sistem de protecţie ,
Controlul Accesului Bazat pe Context constituie unul dintre cele mai
importante aspecte, un pachet elementar de elemente de siguranţă care
protejează şi menţine securitatea internă a unei reţele de
calculatoare.
Sistemul Firewall este construit pentru a preveni accesul indivizilor
neautorizaţi la reţea şi pentru a bloca eventualele atacuri asupra
reţelei , oferind în acelaşi timp însă accesul personalului
autorizat la resursele reţelei.
De asemenea folosirea acestui sistem de protecţie oferă şi anumite
avantaje printre care : protejarea reţelelelor interne de accesul unor
intruşi, monitorizarea traficului între perimetrul reţelelor,
activarea accesului reţelei la Web.
Sistemul Firewall poate fi folosit pentru configurarea unui ruter
astfel:
ca firewall intern sau parte a unui firewall intern;
ca firewall între grupuri din reţeaua internă;
ca firewall asigurând conexiuni sigure spre sau de la sucursale;
ca firewall între reţeaua companiei proprii şi reţelele companiilor
partenere;
Pentru a crea un firewall menit să îndeplinească cerinţele politicii
de securitate a reţelei trebuiesc determinate mai întâi
caracteristicile FFS cele mai apropiate ÅŸi mai potrivite ÅŸi trebuiesc
apoi configurate corespunzător. Bineînţeles că puteţi opta pentru
un minim de securitate configurând caracteristicile FFS să
funcţioneze pentru o protecţie minimă a firewall-ului.
Setul de caracteristici FFS cuprinde următoarele :
filtrare de bază şi avansată a traficului ( HYPERLINK
"http://secinf.net/firewalls_and_VPN/Cisco_IOS_Firewall_Feature_Set_and_
ContextBased_Access_Control_.html" l "34899" Basic and Advanced
Traffic Filtering );
suportul de securitate al serverului ( HYPERLINK
"http://secinf.net/firewalls_and_VPN/Cisco_IOS_Firewall_Feature_Set_and_
ContextBased_Access_Control_.html" l "37163" Security Server Support
);
traducerea adreselor reţelei ( HYPERLINK
"http://secinf.net/firewalls_and_VPN/Cisco_IOS_Firewall_Feature_Set_and_
ContextBased_Access_Control_.html" l "22795" Network Address
Translation );
tehnologia de encriptare Cisco ( HYPERLINK
"http://secinf.net/firewalls_and_VPN/Cisco_IOS_Firewall_Feature_Set_and_
ContextBased_Access_Control_.html" l "32961" Cisco Encryption
Technology );
Å£elei ( HYPERLINK
"http://secinf.net/firewalls_and_VPN/Cisco_IOS_Firewall_Feature_Set_and_
ContextBased_Access_Control_.html" l "34165" IPSec Network Security );
autenticitatea ruter-ului vecin ( HYPERLINK
"http://secinf.net/firewalls_and_VPN/Cisco_IOS_Firewall_Feature_Set_and_
ContextBased_Access_Control_.html" l "26983" Neighbor Router
Authentication );
monitorizarea loggin-ului ( HYPERLINK
"http://secinf.net/firewalls_and_VPN/Cisco_IOS_Firewall_Feature_Set_and_
ContextBased_Access_Control_.html" l "25448" Event Logging );
ă doar prima dintre ele, filtrarea de bază şi avansată a traficului
(Basic and Advanced Traffic Filtering), ÅŸi mai exact filtrarea
avansată (Advanced Traffic Filtering), în cadrul căreia intră şi
Controlul Accesului Bazat pe Context. Despre celelalte caracteristici
putem găsi informaţii în diverse documentaţii legate de securitatea
reţelelor.
În cadrul filtrării de bază intră Listele de Acces Standard
(Standard Acces Lists) ÅŸi Listele de Acces Extinse Statice (Static
Extended Acces Lists).
Filtrarea avansată cuprinde Liste de Acces Dinamice (
Lock-and-Key (Dynamic Access Lists) ) ÅŸi Controlul Accesului Bazat pe
Context (Context Based Acces Control).
Ca o descriere generală Controlul Accesului Bazat pe Context
examinează nu numai straturile reţelei şi transportul lor, dar şi
informaţiile referitoare la protocoalele straturilor (cum ar fi
informaţii FTP) pentru a analiza starea conexiunilor TCP si UDP.
Controlul Accesului Bazat pe Context menţine informaţiile de stare ale
conexiunii pentru conexiuni individuale. Aceste informaţii de stare
sunt utile în luarea unor decizii inteligente cu privire la traficul
pachetelor. De asemenea aceste informaţii de stare creează şi şterg
în mod dinamic, activ ’’ferestre’’ în firewall.
De aici înainte vom începe descrierea amănunţită a
Controlului Accesului Bazat pe Context secţiune ce va cuprinde mai
multe părţi:
HYPERLINK l "CeFaceCBAC" o "Ce face CBAC" "_blank" Ce face CBAC
HYPERLINK l "CeNuFaceCBAC" Ce nu face CBAC
HYPERLINK l "Platforme" Platforme
HYPERLINK l "CumFunctioneazaCBAC" Cum funcţionează CBAC
HYPERLINK l "generalitati" generalităţi
HYPERLINK l "detalii" detalii
HYPERLINK l "CandsiundedfunctioneazaCBAC" Când şi unde se
configurează CBAC
HYPERLINK l "procesulCBAC" Procesul CBAC
HYPERLINK l "Protocoalesuportate" Protocoale suportate
HYPERLINK l "Restrictii" Restricţii
HYPERLINK l "ImpactulAsupraPerformanteiSiMemoriei" Impactul asupra
performanţei şi memoriei sistemului
Ce face Controlul Accesului Bazat pe Context (CBAC)
HYPERLINK l "Top" [Top]
Controlul Accesului Bazat pe Context filtrează inteligent pachetele TCP
şi UDP pe baza unei informaţii în legatură cu sesiunea de protocoale
stratificate (application-layer protocol session information) ÅŸi poate
fi folosit pentru reţele locale, reţele externe şi internet.
Configurarea CBAC poate permite traficul pachetelor TCP ÅŸi UDP prin
firewall doar atunci când conexiunea se face din interiorul reţelei ce
trebuie protejată. Cu alte cuvinte CBAC poate controla traficul
sesiunilor ce provin dintr-o reţea externă. În orice caz CBAC este
capabil de a controla traficul atât de-o parte cât şi de cealaltă a
unui firewall.
Fără CBAC filtrul traficului este limitat la implementările listelor
de acces care examinează pachetele la nivelul stratului, sau cel mult,
stratul de transport. CBAC însă examineaza nu numai straturile
reţelei şi informaţiile referitoare la transportul lor, dar şi
informaţiile referitoare la protocoalele straturilor (cum ar fi
informaţii FTP) pentru analizarea stării sesiunilor TCP şi UDP. Acest
lucru permite suportul protocoalelor care implică crearea canalelor
multiple ca rezultat al negocierilor pe controlul canalului. Majoritatea
protocoalelor multimedia la fel ca ÅŸi alte protocoale (FTP, RPC,
SQL*Net) implică mai multe canale.
CBAC inspectează traficul ce trece prin firewall pentru a descoperi şi
controla informaţii de stare pentru sesiunile TCP şi UDP. Aceste
informaţii de stare sunt folosite pentru a crea ’’ferestre’’
temporare în listele de acces ale firewall-ului cu scopul de a permite
’’întoarcerea’’ traficului şi conexiunilor de date alternative
pentru sesiunile permise (sesiuni care provin din interiorul reţelei
protejate).
CBAC mai oferă şi urmatoarele avantaje :
• blocajul java (Java blocking)
• respringerea serviciului de prevenire şi detectare
(Denial-of-Service prevention and detection )
• alerte în timp real şi revizuirea pistelor (Real-time alerts and
audit trails )
Ce nu face Controlul Accesului Bazat pe Context (CBAC)
HYPERLINK l "Top" [Top]
CBAC nu oferă filtrare inteligentă pentru toate protocoalele; el
funcţionează doar pentru protocoalele care sunt specificate. Dacă un
anumit protocol nu este specificat lista de acces deja existentă va
determina în ce mod va fi filtrat acel protocol. Nu vor fi create nici
un fel de „ferestre†pentru protocoalele nespecificate pentru CBAC.
CBAC nu este o sursă de protecţie pentru atacurile provenite din
interiorul reţelei protejate. CBAC protejează reţeaua doar de
atacurile care circulă prin firewall.
CBAC protejează reţeaua împotriva unor atacuri dar nu trebuie
considerat o defensivă perfectă şi impenetrabilă. Cei ce sunt bine
pregătiţi pot sa lanseze atacuri care au surse de izbândă. Atâta
timp cât nu există ceva de genul „protecţie perfectă†CBAC
detectează şi protejează majoritatea atacurilor adresate reţelei.
Platforme
HYPERLINK l "Top" [Top]
Caracteristica CBAC a sistemului Firewall este suportată pe
următoarele platforme :
â— Seria Cisco 1600
â— Seria Cisco 2500
Cum funcţionează Controlul Accesului Bazat pe Context (CBAC)
HYPERLINK l "Top" [Top]
ÃŽnainte de a configura Controlul Accesului Bazat pe Context ar trebui
înţeleasă foarte bine această parte a studiului acestei
caracteristici. Dacă funcţionarea Controlului Accesului Bazat pe
Context nu este bine înţeleasă atunci s-ar putea ca atunci când se
configurează să apară erori neprevăzute ce vor duce la instabilitate
ÅŸi riscuri.
a) generalităţi
HYPERLINK l "Top" [Top]
CBAC creează „ferestre†temporare în listele de acces ale
interfeţelor firewall-ului. Aceste „ferestre†sunt create atunci
când traficul cunoscut părăseşte reţeaua internă prin firewall.
„Ferestrele†permit întoarcerea traficului (care în mod normal ar
fi fost blocat) şi a canalelor suplimentare de date în reţeaua
internă prin intermediul firewall-ului. Traficului ii este permis să
pătrundă înapoi în reţea numai dacă face parte din aceeaşi
sesiune ca şi traficul iniţial care a declanşat CBAC atunci când a
trecut de firewall.
În HYPERLINK l "figura1" Figura 1 listele de acces „legate†la
S0 şi S1 sunt configurate să blocheze traficul Telnet, şi nu există
nici o listă de acces cu destinaţie îndepărtată configurată la E0.
Când solicitarea conexiunii pentru sesiunea Telnet a User-ului 1 trece
prin firewall, CBAC creează o „fereastră†temporară în listele
de acces „legate†la S0 pentru a permite întoarcerea traficului
Telnet pentru sesiunea Telnet a User-ului 1. (Dacă aceeeaşi listă de
acces este aplicată şi lui S0 şi lui S1 atunci aceeaşi fereastră va
apare la ambele interfeţe.). Dacă ar fi fost necesar CBAC ar fi creat
o „fereastră†similară într-o listă de acces cu destinaţie
îndepărtată la E0 permiţând întoarcerea traficului.
Figura 1: CBAC creează „ferestre†temporare de acces în listele de
acces ale firewall-ului
b) detalii
HYPERLINK l "Top"
[Top]
Această secţiune descrie modul în care CBAC inspectează pachetele
şi păstrează informaţii de stare despre sesiuni pentru a oferi un
trafic inteligent.
Verificarea pachetelor
Folosind CBAC se specifică care protocoale sunt verificate şi este
specificată o interfaţă şi o direcţie a interfeţei respective
(interior sau exterior) de unde provine verificarea iniţială. Numai
protocoalele specificate vor fi verificate de CBAC. Pentru aceste
protocoale, pachetele ce circulă prin firewall în orice direcţie sunt
verificate, atâta timp cât ele circulă prin interfaţa unde este
configurată verificarea.
Pachetele ce pătrund prin firewall sunt verificate de CBAC doar dacă
ele au trecut iniţial prin listele de acces „legate†din
interfaţă. Dacă un pachet nu este acceptat de lista de acces atunci
el este pur ÅŸi simplu abandonat ÅŸi nu mai este inspectat de CBAC.
CBAC verifică şi monitorizează numai canalele de control ale
conexiunilor; canalele de date nu sunt verificate. De exemplu în timpul
unei sesiuni FTP atât canalele de control cât şi canalele de date
(care sunt create atunci când un fişier de date este transferat) sunt
monitorizate în vederea apariţiilor unor modificări, dar numai
canalul de control este verificat (asta datorită faptului că CBAC
analizează comenzile şi răspunsurile FTP).
Verificarea CBAC conduce la recunoaÅŸterea comenzilor specifice
aplicaţiilor din canalul de control, cât şi la detectarea şi
prevenirea anumitor atacuri la nivelul aplicaţiilor.
Un tabel de stare păstrează informaţii de stare despre sesiune
De fiecare dată când un pachet este verificat un tabel de stare este
reînoit cu informaţii despre starea conexiunii pachetului.
Întorcerea traficului prin firewall va fi permisă numai dacă tabelul
de stare conţine informaţii indicând faptul că pachetul aparţine
unei sesiuni ce este permisă. Verificarea controlează traficul care
aparţine unei sesiuni ce este permisă şi sare peste traficul
necunoscut. Atunci când traficul ce se întoarce prin firewall este
verificat tabelul de stare este reînoit cu ultimele informaţii.
Aproximarea „sesiunilor†UDP
La UDP – un serviciu fără conexiune – nu există practic sesiuni
actuale, deci soft-ul aproximează sesiunile examinând informaţiile
din pachet şi determinând dacă pachetul este asemănător cu alte
pachete UDP (spre exemplu adrese sursă/destinaţie asemănătoare şi
numere de port), şi dacă pachetul a fost detectat la scurt timp după
detectarea altor pachete UDP. „La scurt timp†înseamnă în timpul
perioadei de configurare a timpului de latenţă UDP (configurable UDP
idle timeout period).
Intrările listelor de acces sunt create şi şterse în mod dinamic
pentru a permite întoarcerea traficului şi a conexiunilor de date
adiţionale
CBAC creează şi şterge în mod dinamic intrările listelor de acces
de la interfeţele firewall-ului în funcţie de informaţiile păstrate
în tabelul de stare. Aceste intrări ale listelor de acces sunt
aplicate interfeţelor în vederea examinării circulaţiei traficului
înapoi în reţeaua internă. Ele creează „ferestre†temporare în
firewall pentru a permite numai circulaţia traficului care face parte
dintr-o sesiune ce este permisă.
Intrările temporare ale listelor de acces nu sunt salvate niciodată
în memoria NVRAM.
Când şi unde se configurează CBAC
HYPERLINK l "Top" [Top]
Configurarea CBAC la nivelul firewall-ului protejează reţelele
interne. Astfel de firewall-uri ar trebui să fie rutere CISCO cu setul
de caracteristici configurat corespunzător.
CBAC trebuie folosit atunci când firewall-ul este străbătut de trafic
cum ar fi :
◠aplicaţii internet standard TCP şi UDP
◠aplicaţii multimedia
â— suport Oracle
CBAC ar trebui folosit pentru aceste aplicaţii dacă se vrea ca
traficul acestor aplicaţii să treacă prin firewall numai în cazul
în care sesiunea de trafic este iniţiată dintr-o anumită parte a
firewall-ului (de obicei din reţeaua internă protejată).
În cele mai multe cazuri CBAC va fi configurat numai într-o singură
direcţie la o singură interfaţă, ce duce la circulaţia traficului
înapoi în reţeaua internă numai în cazul în care el face parte
dintr-o sesiune ce este permisă.
Există şi cazuri mai rare când se doreşte configurarea CBAC în
două direcţii pentru o interfaţă sau mai multe, dar aceasta este o
soluţie mult mai complexă. CBAC este configurat în două direcţii
atunci când se doreşte protejarea reţelei de ambele părţi ale
firewall-ului ca în cazul configuraţiilor intranet sau extranet. Spre
exemplu dacă firewall-ul este situat între două reţele ale unor
companii partenere, s-ar dori restricţionarea traficului pentru anumite
aplicaţii într-o direcţie, şi pentru alte aplicaţii în altă
direcţie.
6. Procesul CBAC
HYPERLINK l "Top" [Top]
Această secţiune descrie o secvenţă simplă de evenimente ce au loc
atunci când CBAC este configurat la o interfaţă externă ce se
conectează la o reţea externă aşa cum este Internetul.
În acest exemplu un pachet TCP părăseşte reţeaua internă prin
interfaţa externă a firewall-ului. Pachetul TCP este primul pachet
dintr-o sesiune Telnet, iar Telnet este configurat pentru verificarea
CBAC.
Pachetul ajunge la interfaţa externă a firewall-ului.
Pachetul este evaluat în ciuda interfeţei existente a listei de acces
cu destinaţie ăndepărtată şi este acceptat. (Un pachet neacceptat
este pur şi simplu abandonat în acest moment).
Pachetul este verificat de CBAC pentru a determina şi înregistra
informaţii referitoare la starea conexiunii pachetului. Aceste
informaţii sunt înregistrate în noul tabel de stare creat pentru noua
conexiune. (Dacă aplicaţia pachetului – Telnet – nu este
configurată pentru verificarea CBAC pachetul va fi pur si simplu trimis
mai departe afară din interfaţă la acest moment fără a mai fi
verificat de CBAC.)
Pe baza informaţiilor de stare obţinute, CBAC creează o intrare în
lista de acces care este introdusă la începutul interfeţei externe a
listelor de acces „legate†extinse. Această intrare temporară în
lista de acces are scopul de a permite traficul pachetelor interne care
fac parte din aceeaÅŸi sesiune ca ÅŸi pachetul verificat.
Pachetul extern este trimis mai departe afară din interfaţă.
Peste un anumit timp un pachet intern ajunge la interfaţă. Acest
pachet face parte din aceeaşi conexiune Telnet stabilită anterior
odată cu pachetul extern. Pachetul intern este evaluat neţinându-se
cont de existenţa listei de acces interne şi este acceptat datorită
intrării în lista de acces creată anterior.
Pachetul intern acceptat este verificat de CBAC ÅŸi intrarea tabelului
de stare este înnoita conform noilor informaţii. Pe baza acestor noi
informaţii intrările în lista de acces extinsă „legată†pot fi
modificate pentru a permite numai traficul pachetelor care sunt valabile
pentru starea curentă a conexiunii.
Orice alte pachete interne sau externe care aparţin conexiunii sunt
verificate pentru reînnoirea tabelului de stare şi pentru modificarea
corespunzătoare a intrărilor temporare din lista de acces
„legatㆺi sunt trimise mai departe prin interfaţă.
Când conexiunea se încheie sau are time-out tabelul de stare este
şters la fel ca şi conexiunile intrărilor temporare din lista de
acces „legatăâ€Â.
ÃŽn procesul descris mai sus listele de acces ale firewall-ului sunt
configurate după cum urmează :
◠O listă de acces IP cu destinaţie îndepărtată (simplă sau
extinsă) este aplicată interfeţei externe. Această listă de acces
permite ieşirea oricărui pachet dorit din reţea inclusiv pachetele
ce trebuiesc verificate de CBAC. ÃŽn acest caz pachetele Telnet sunt
acceptate.
◠O listă de acces „legată†este aplicată interfeţei externe.
Această lista de acces nu permite nici un fel de verificare CBAC a
traficului - inclusiv a pachetelor Telnet. Atunci când CBAC este
declanşat odată cu apariţia unui pachet extern el creează o
„fereastră†temporară în lista de acces „legată†pentru a
permite numai traficul ce face parte dintr-o sesiune ce este permisă.
Dacă lista de acces „legată†a fost configurată să permită
traficul de orice fel, CBAC ar crea „ferestre†de acces inutile
pentru pachetele ce ar fi oricum acceptate.
7. Protocoale suportate
HYPERLINK l "Top" [Top]
CBAC poate fi configurat pentru a verifica următoarele tipuri de
sesiuni :
â— Toate sesiunile TCP, referitoare la protocolul
straturilor aplicaţiilor (numit uneori verificare UDP
„single-channel†sau „genericâ€Â)
â— Toate sesiunile UDP, referitoare la protocolul straturilor
aplicaţiilor (numit uneori verificare TCP „single-channel†sau
„genericâ€Â)
CBAC poate fi configurat să verifice numai anumite protocoale ale
straturilor de aplicaţii. Următoarele protocoale ale straturilor de
aplicaţii pot fi de asemenea configurate pentru CBAC :
â— Cu-SeeMe (numai versiunea White Pine)
â— FTP
â— H.323 (cum ar fi NetMeeting, ProShare)
â— Java
â— UNIX R-commands (cum ar fi r-login, r-exec, r-sh)
â— RealAudio
â— RPC (Sun RPC si nu DCE RPC sau Microsoft RPC)
â— SMTP
â— SQL*Net
â— StreamWorks
â— TFTP
â— VDOLive
Când un protocol este configurat pentru CBAC traficul acestui protocol
va fi verificat, informaţiile de stare vor rămâne şi, în general,
pachetele vor fi acceptate înapoi prin firewall numai dacă aparţin
unei sesiuni ce este permisă.
8. Restrictii
HYPERLINK l "Top" [Top]
CBAC este disponibil numai pentru traficul protocoalelor IP. Numai
pachetele TCP ÅŸi UDP sunt verificate. (Alt tip de trafic, cum ar fi
ICMP, nu poate fi filtrat de CBAC ÅŸi ar trebui filtrat cu listele de
acces de bază).
CBAC poate fi folosit împreuna cu celelalte caracteristici ale
firewall-ului menţionate mai devreme. CBAC funcţionează cu „fast
switching†şi „process switchingâ€Â.
Dacă se face o reconfigurare a listelor de acces atunci când se
configurează CBAC se cere multă atenţie pentru că dacă listele de
acces blochează traficul TFTP printr-o interfaţă nu se va putea face
bootare de pe acea interfaţă. (Aceasta nu este o limitare specifică
CBAC dar face parte din existenţa funcţionalităţii listelor de
acces).
CBAC ignoră mesajele ICMP care nu mai prezintă conexiune.
* Traficul FTP si CBAC
Referindu-ne la FTP, CBAC nu permite conexiuni „third-partyâ€Â
(transfer FTP „three-wayâ€Â). Atunci când CBAC verifică traficul FTP
nu permite decât canalele de date cu portul destinaţie ce ia valori
cuprinse între 1024 si 65535. CBAC nu va deschide un canal de date
dacă autenticitatea FTP client-server nu corespunde.
* Tehnologia de codificare CISCO si compatibilitatea CBAC
Dacă se efectuează trafic codat între două rutere, iar firewall-ul
se găseşte între cele două rutere, CBAC poate să nu funcţioneze
aşa cum ar trebui. Acest lucru se întâmplă deoarece sarcinile
pachetelor sunt codate, deci CBAC nu poate face o verificare corectă a
sarcinilor.
De asemenea dacă atât codificarea cât şi CBAC sunt configurate pe
acelaşi firewall , CBAC poate să nu funcţioneze pentru anumite
protocoale. În acest caz CBAC va funcţiona pe canale monovalente
(single-channels) TCP şi UDP, cu excepţiile Java şi SMTP. Dar CBAC nu
va funcţiona pentru protocoale cu canale plurivalente (multichannels),
cu excepţiile StreamWorks şi CU-SeeMe. Deci la o configurare a
codificării la nivelul firewall-ului va trebui făcută o configurare a
CBAC pentru următoarele protocoale :
â— Generic TCP
â— Generic UDP
â— CU-SeeMe
â— StreamWorks
* Compatibilitatea IPSEC si CBAC
Dacă CBAC şi IPSEC sunt acţionate pe acelaşi ruter şi ruterul
ţintă este nod final pentru traficul IPSEC, atunci IPSEC este
compatibil cu CBAC (acest lucru este posibil deoarece CBAC poate efectua
verificarea normală pe acest trafic).
Dacă ruterul nu este nod final pentru traficul IPSEC, dar pachetele
sunt pachete IPSEC atunci CBAC nu va verifica pachetele deoarece
numărul protocolului din header-ul IP al pachetului IPSEC nu este TCP
sau UDP. CBAC verifică numai pachetele TCP si UDP.
9. Impactul asupra performanţei şi memoriei sistemului
HYPERLINK l "Top" [Top]
Folosirea CBAC necesită mai puţin de 600 bytes pentru fiecare
conexiune. Din acest motiv folosirea CBAC ar trebui să se facă numai
atunci când prezenţa lui este absolut necesară. De asemenea există
şi o mică folosire a procesorului la fiecare verificare a pachetelor.
Uneori CBAC trebuie să verifice liste de acces destul de lungi, ceea ce
duce la un impact negativ asupra performanţei sistemului. Totuşi acest
impact este evitat deoarece CBAC verifica listele de acces folosind o
metodă de accelerare (CBAC împarte listele de acces şi verifică
fiecare din părţile rezultate din această împărţire).
Configurarea Controlului accesului bazat pe context
Dacă nu se cunoaşte exact ce face şi cum funcţionează CBAC s-ar
putea să existe unele configurări inadecvate ce vor afecta
firewall-ul. Configurarea CBAC fără o înţelegere exactă a ceea ce
face şi cum funcţionează nu este recomandată.
Pentru configurarea CBAC este necesară parcurgerea următoarelor etape
:
HYPERLINK l "AlegereaUneiInterfete" Alegerea unei interfeţe
(internă sau externă)
HYPERLINK l "ConfigurareaListelorDeAccesLaInterfata" Configurarea
listelor de acces la interfaţ ă
HYPERLINK l "ConfigurareaTimeouturilorGlobale" Configurarea
„timeout-urilor†globale şi a pragurilor de sensibilitate
HYPERLINK l "DefinireaUneiReguliDeVerificare" Definirea unei reguli
de verificare
HYPERLINK l "AplicareaReguliiDeVerificare" Aplicare regulii de
verificare unei interfeţe
De asemenea se mai pot parcurge şi următoarele două etape :
HYPERLINK l "ConfigurarileDeDisplay" Configurările de „displayâ€Â
, informaţiile de stare şi statisticile pentru CBAC
HYPERLINK l "DebugulCBAC" „Debug-ul†CBAC
Alegerea unei interfeţe (internă sau externă)
HYPERLINK l "ConfigurareaCBAC" [Top]
Înainte de toate trebuie luată decizia configurării CBAC ori pe o
interfaţă internă ori pe una externă a firewall-ului.
„Internă†se referă la partea de unde pornesc sesiunile pentru ca
traficul să fie lăsat sa treacă prin firewall.
„Externă†se referă la partea de unde sesiunile nu mai pot porni
(aceste sesiuni vor fi blocate).
Dacă configurarea CBAC se va face în două direcţii se va începe
prima oară cu configurarea CBAC într-o singură direcţie, folosind
denumirile cele mai apropiate pentru interfeţele „interne†sau
„externeâ€Â. Când se face configurarea CBAC în cealaltă direcÅ£ie
denumirile interfeţelor vor fi schimbate. (CBAC este rareori configurat
în două direcţii şi de obicei atunci când firewall-ul se află
între două reţele ce trebuie protejate una de cealaltă cum ar fi
două reţele a unor firme partenere).
Firewall-ul este folosit în cele mai multe cazuri cu una dintre cele
două topologii ale reţelelor. Determinând care dintre aceste două
topologii este cea mai în măsură să ajute se va determina dacă CBAC
va fi configurat pentru o interfaţă internă sau pentru una externă.
Prima topologie este prezentată în HYPERLINK l "Figura2" Figura 2 .
În această simplă topologie CABC este configurat pentru interfaţa
externă Serial 1. Acest lucru previne traficul de protocoale ce intră
în firewall şi în reţeaua internă, excepţie făcând cazurile
când traficul provine dintr-o sesiune iniţiata din reţeaua internă.
Figura 2: Topologie Simplă
(CBAC configurat la interfaţa externă)
Cea de-a doua tolpologie este prezentată în HYPERLINK l "Figura3"
Figura 3 . În această topologie CBAC este configurat pentru interfaţa
internă Ethernet 0. Acest lucru permite traficului să acceseze
serviciile din „Zona Demilitarizată†(DMZ), cum ar fi serviciile
DNS, dar previne pătrunderea unui anumit trafic de protocol în
reţeaua internă, cu excepţia cazului în care traficul provine
dintr-o sesiune iniţiată din reţeaua internă.
Figura 3: Topologia DMZ
(CBAC configurat la interfaţa externă)
Folosind aceste două topologii se va decide dacă CBAC va fi configurat
pentru o interfaţă internă sau pentru o interfaţă externă.
2. Configurarea listelor de acces la interfaţă
HYPERLINK l "ConfigurareaCBAC" [Top]
Pentru o funcţionare adecvată a CBAC trebuie verificat dacă
configurarea listelor de acces la nivelul interfeţei este corectă.
Pentru acest lucru trebuie urmărite următoarele reguli generale pentru
evaluarea listelor de acces IP la nivelul firewall-ului :
◠Permiterea traficului CBAC de a părasi firewall-ul
Toate listele de acces care evaluează traficul ce părăseşte reţeaua
protejată ar trebui să permită traficul ce va fi verificat de CBAC.
De exemplu, dacă Telnet va fi verificat de CBAC, atunci traficul Telnet
ar trebui să fie permis de toate listele de acces ce se aplică
traficului ce părăseşte reţeaua internă.
â— Folosirea listelor de acces extinse pentru a interzice CBAC
întoarcerea traficului ce intră în reţeaua internă prin firewall.
Pentru creearea „ferestrelor†temporare în listele de acces,
acestea ar trebui să fie liste de acces extinse. Deci indiferent dacă
avem de-a face cu liste de acces ce vor fi aplicate traficului de
întoarcere sau dacă nu avem de-a face cu astfel de liste de acces,
se va face uz de listele de acces extinse. Listele de acces extinse ar
trebui să interzică traficul de întoarcere CBAC deoarece CBAC va crea
„ferestre†temporare în listele de acces. (Se doreşte blocarea în
general a traficului atunci când acesta intră în reţea).
OBS. Dacă firewall-ul are numai două conexiuni, una la reţeaua
internă şi cealaltă la reţeaua externă, folosirea tuturor listelor
de acces „legate†e foarte utilă deoarece se opreşte pachetele
înainte ca ele să poată afecta ruterul.
Interfaţa externă
Iată câteva indicaţii despre listele de acces când se va face
configurarea CBAC pentru interfaţa externă.
◠Dacă la nivelul interfeţei externe se găseşte o listă de acces
cu destinaţie îndepărtată, această listă de acces poate fi o
listă de acces standard sau o listă de acces extinsă. Această listă
de acces cu destinaţie îndepărtată ar trebui să permită traficul
pe care CBAC ar trebui să-l verifice. Dacă traficul nu este permis
atunci el nu poate fi verificat de CBAC ÅŸi pur ÅŸi simplu se va
renunţa la el.
◠Lista IP de acces „legată†de la nivelul interfeţei externe ar
trebui să fie o listă de acces extinsă. Această listă de acces ar
trebui să interzică traficul ce ar trebui verificat de CBAC. (CBAC va
crea „ferestre†temporare în această listă de acces cât mai
potrivite pentru a permite numai întoarcerea traficului care provine
dintr-o sesiune ce este permisă, validă).
Interfaţa internă
Iată câteva indicaţii despre listele de acces când se va face
configurarea CBAC pentru interfaţa internă.
B
D
H
Ëâ€
Ã…Â
Å’
ž
!o listă IP de acces „legată†sau dacă la nivelul
interfeţei(lor) externe se găseşte o listă IP de acces cu
destinaţie îndepărtată, aceste liste de acces pot fi fie liste de
acces standard fie liste de acces extinse. Aceste liste de acces ar
trebui să permită traficul ce trebuie inspectat de CBAC. Dacă
traficul nu este permis atunci el nu va fi verificat de CBAC ci pur si
simpu se va renunţa la el.
◠Lista IP de acces cu destinaţie îndepărtată de la nivelul
interfeţei interne şi lista IP de acces „legată†de la nivelul
interfeţei externe ar trebui să fie liste de acces extinse. Aceste
liste de acces cu destinaţie îndepărtată ar trebui să interzică
traficul ce ar trebui verificat de CBAC. (CBAC va crea „ferestreâ€Â
temporare în aceste liste de acces cât mai potrivite pentru a permite
numai traficul ce face parte dintr-o sesiune ce este permisă.) Nu este
necesară o configurare a listelor de acces extinse atât la nivelul
interfeţei interne „legate†cât şi la nivelul interfeţei externe
cu destinaţie îndepărtată, dar este necesară cel puţin una dintre
cele două pentru restricţionarea circulaţiei traficului prin firewall
în reţeaua internă protejată.
3. Configurarea „timeout-urilorâ€Âglobale ÅŸi a pragurilor de
sensibilitate HYPERLINK l "ConfigurareaCBAC" [Top]
CBAC foloseşte „timeout-urile†şi pragurile de sensibilitate
pentru a determina cât timp va controla informaţiile de stare pentru o
anumită sesiune şi pentru a determina când să renunţe la sesiunile
care nu devin în intregime stabilite. Aceste „timeout-uri†şi
praguri de sensibilitate se aplică în general tuturor sesiunilor.
Se pot folosi valorile de bază ale „timeout-urilor†şi pragurilor
de sensibilitate sau se pot schimba aceste valori în funcţie de
necesităţile securităţii atribuite. Nu ar trebui să faceţi
modificări ale valorilor „timeout-urilor†sau pragurilor de
sensibilitate înainte de a continua cu configurarea CBAC. Dacă se vrea
activarea sistemul de prevenire mult mai agresiv „TCP host-specific
denial-of-service†care conţine şi blocarea iniţierii unei
conexiunii la un „host†trebuie setat „block-time-ul†specificat
în comanda „ HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "26258" ip inspect tcp max-incomplete host
â€Â. (din cadrul tebelului de mai jos).
Toate „timeout-urile†şi pragurile de sensibilitate CBAC sunt
prezentate în tabelul de mai jos împreună cu comanda specifică şi
valoarea de bază (default value).
Valoarea „timeout-ului†sau pragului de sensibilitate ce poate fi
modificată Comanda Valoarea de bază
Durata de timp în care soft-ul aşteaptă ca o sesiune TCP să ajungă
la starea stabilită înainte de a fi abandonată. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "18374" ip inspect tcp synwait-time
secunde 30 secunde
Durata de timp în care o sesiune TCP va fi încă analizată după ce
firewall-ul a detectat un schimb FIN (FIN-exchange). HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "33811" ip inspect tcp finwait-time
secunde 5 secunde
Durata de timp în care o sesiune TCP încă va fi analizată după
nivel de activitate 0 (TCP idle timeout). HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "27027" 1 HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "19589" ip inspect tcp idle-time secunde
3600 secunde (1 ora)
Durata de timp în care o sesiune UDP va fi încă analizată după
nivel de activitate 0(UDP idle timeout) . HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "27027" 1 HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "37278" ip inspect udp idle-time secunde
30 secunde
Durata de timp în care o sesiune de căutare a numelui DNS (DNS name
lookup session )va fi încă analizată dupa nivel de activitate 0.
HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "19529" ip inspect dns-timeout secunde 5
secunde
Numărul de sesiuni semi-deschise existente care vor duce la startul
ÅŸtergerii sesiunilor semi-deschise. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "4585" 2 HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "29515" ip inspect max-incomplete high
numar 500 sesiuni semi-deschise existente
Numărul de sesiuni semi-deschise care vor duce la stoparea ştergerii
sesiunilor semi-deschise. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "4585" 2 HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "17106" ip inspect max-incomplete low
numar 400 sesiuni semi-deschise existente
Rata de sesiuni nou stabilite care vor duce la startul ÅŸtergerii
sesiunilor semi-deschise. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "4585" 2 HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "20720" ip inspect one-minute high numar
500 sesiuni semi-deschise existente pe minut
Rata de sesiuni nou stabilite care vor duce la stoparea ÅŸtergerii
sesiunilor semi-deschise. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "4585" 2 HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "36578" ip inspect one-minute low numar
400 sesiuni semi-deschise existente pe minut
Numărul sesiunilor TCP semi-deschise existente cu aceeaşi adresă de
destinaţie la “host†(destination host address) care va duce la
startul renunţării la sesiunile semi-deschise la aceeaşi adresă de
destinaÅ£ie la “hostâ€Â. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "19209" 3 HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "26258" ip inspect tcp max-incomplete host
numar block-time minute 50 sesiuni TCP semi-deschise existente;
0 minutes
HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "27027" 1 Peste timeout-urile generale TCP
si UDP se pot suprapune anumite sesiuni de protocoale de
aplicaţii-strat (apllication-layer protocols) aşa cum este descris în
HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "10631" ip inspect name (global
configuration) .
HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "4585" 2 Pentru mai multe informaţii
urmăriţi următoarea secţiune : HYPERLINK
"CONTEXT%20%20BASED%20ACCES%20CONTROL.doc" „Sesiuni semi-deschiseâ€Â
.
HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "19209" 3 Oricând pragul de sensibilitate
„max-incomplete host†este depăşit, soft-ul va renunţa la
sesiunile semi-deschise în mod diferit dacă timeout-ul block-time-ului
este zero sau un număr pozitiv diferit de zero. Dacă timeout-ul block
time-ului este zero, softul va ÅŸterge cele mai vechi sesiuni
semi-deschise existente pentru „host†pentru fiecare cerere de
conexiune nouă la „host†şi va permite trecerea pachetului SYN.
Dacă timeout-ul block time-ului este mai mare decât zero, softul va
şterge toate sesiunile semi-deschise existente pentru „host†şi
apoi va bloca toate noile cereri de conexiune la „hostâ€Â. Soft-ul va
continua să blocheze toate noile cereri de conexiune până când block
time-ul expiră.
Pentru reintroducerea valorilor de bază a „timeout-urilor†şi
pragurilor de sensibilitate se foloseşte forma inversă a comenzilor
din tabelului de mai sus.
Sesiuni semi-deschise
Un număr neobişnuit de mare de sesiuni semi-deschise (fie absolute fie
raportate la rata de sosire) poate indica un atac
„denial-of-serviceâ€Â. Pentru TCP „semi-deschis†înseamnă că
sesiunea nu a atins starea stabilită – mecanismul „TCP three-way
handshake†nu este încă complet. Pentru UDP „semi-deschisâ€Â
înseamnă că firewall-ul nu a detectat nici un trafic de întoarcere.
CBAC măsoară atât numărul total al sesiunilor semi-deschise
existente cât şi rata încercărilor de stabilire a conexiunii de
către sesiuni. Atât sesiunile semi-deschise TCP cât şi UDP sunt
încadrate în numărul total şi rata de măsurare. Măsurările se fac
odată la fiecare minut.
Atunci când numărul de sesiuni semi-deschise existente depăşeşte
pragul de sensibilitate (the max-incomplete high number), soft-ul va
ÅŸterge sesiuni semi-deschise aÅŸa cum este necesar pentru a accepta noi
cereri de conexiune. Soft-ul va continua să şteargă sesiuni
semi-deschise corespunzător până când numărul de sesiuni
semi-deschise existente va fi sub o altă valoare a pragului de
sensibilitate (the max-incomplete low number).
Atunci când rata noilor încercări de conexiune depăşeşte pragul de
sensibilitate (the one-minute high number), soft-ul va ÅŸterge sesiuni
semi-deschise aşa cum este necesar pentru a accepta noi încercări de
conexiune. Soft-ul va continua să ştergă sesiuni semi-deschise
corespunzător până când rata noilor încercări de conexiune va fi
sub o altă valoare a pragului de sensibilitate (the one-minute low
number). Rata pragurilor de sensibilitate este calculată ca fiind
numărul de noi încercări de conexiune din sesiune detectate în
perioada din ultimul minut. (Rata este calculată invers proporţional
din punct de vedere exponenţial.)
4. Definirea unei reguli de verificare
HYPERLINK l "ConfigurareaCBAC" [Top]
După ce s-a facut configurarea „timeout-urilor†şi pragurilor de
sensibilitate generale trebuie definită o regulă de verificare.
(inspection rule). Această regulă va determina ce trafic IP (ce
protocoale de aplicaţii strat) va fi verificat de CBAC la o
interfaţă.
În mod normal se defineşte o singură regulă de verificare. Singura
excepţie este în cazul în care se vrea configurarea CBAC în două
direcţii cum s-a menţionat mai devreme în secţiunea „ HYPERLINK
l "CandsiundedfunctioneazaCBAC" Când şi unde se configurează CBAC
â€Â. ÃŽn cazul în care CBAC este configurat în două direcÅ£ii la
nivelul unei singure interfeţe a firewall-ului ar trebui configurate
două reguli, una pentru fiecare direcţie.
O regulă de verificare ar trebui să specifice fiecare protocol de
aplicaţii-strat dorit la fel ca şi în cazurile generale TCP şi UDP
dacă acest lucru este dorit. Regula de verificare constă într-o serie
de afirmaţii fiecare dintre ele menţionând un protocol şi
specificând numele aceleiaşi reguli de verificare.
Pentru a defini o regulă de verificare se va urmării materialul din
următoarele două secţiuni :
HYPERLINK l "ConfigurareaVerificariiProtocolului" Configurarea
verificării protocolului de aplicaţii-strat
HYPERLINK l "ConfigurareaVerificariiGenerale" Configurarea
verificării generale TCP şi UDP
Configurarea verificării protocolului de aplicaţii-strat
Obs. Dacă se doreşte funcţionarea verificării CBAC împreună cu
traficul NetMeeting 2.0 (un protocol de aplicaţii-strat H.323) va
trebui făcută şi configurarea verificării pentru TCP, aşa cum se va
descrie mai târziu în secţiunea „ HYPERLINK
"CONTEXT%20%20BASED%20ACCES%20CONTROL.doc" Configurarea verificării
generale TCP ÅŸi UDP â€Â. Acest lucu este necesar întrucât NetMeeting
2.0 foloseşte un canal adiţional TCP nedefinit în specificaţiile
H.323.
Pentru a configura verificarea protocolului de aplicaţii-strat va
trebui să procedaţi într-unul din cele două moduri generale descrise
în tabelul de mai jos:
Sarcina Comanda
Se va face configurarea verificării CBAC pentru un protocol de
aplicaţii-strat (cu excepţia RPC şi Java). Se foloseşte unul dintre
cuvintele cheie ale protocoalelor definite in HYPERLINK l "Tabel1"
Tabelul 1 , de mai jos.
Se repeta această comandă pentru fiecare protocol dorit. Se foloseşte
acelaşi “nume de verificare†pentru a crea o singură regulă de
verificare. ip inspect name inspection-name protocol [timeout secunde]
Se activează verificarea CBAC pentru protocolul de aplicaţii-strat
RPC.
Se poate specifica numere multiple de programe RPC repetând această
comandă penru fiecare număr de program.
Se foloseşte acelaşi “nume de verificare†pentru a crea o singură
regulă de verificare. ip inspect name inspection-name rpc
program-number number [wait-time minute] [timeout secunde]
Tabelul 1 : Cuvinte cheie pentru protocoale de aplicaţii
Protocol de aplicaţii Cuvântul cheie al protocolului
CU-See-Me cuseeme
FTP ftp
H.323 h323
UNIX R commands (r-login, r-exec, r-sh) rcmd
RealAudio realaudio
SMTP smtp
SQL*Net sqlnet
StreamWorks streamworks
TFTP tftp
VDOLive vdolive
Configurarea verificării generale TCP şi UDP
Se poate face configurarea verificării TCP şi UDP astfel încât să
fie permisă intrarea pachetelor TCP şi UDP în reţeaua internă prin
firewall chiar dacă protocolul de aplicaţii-strat nu este configurat
pentru verificare. ÃŽn orice caz verificarea TCP ÅŸi UDP nu recunoaÅŸte
comenzile specifice aplicaţiilor şi deci s-ar putea să nu permită
întoarcerea pachetelor pentru o aplicaţie, mai ales dacă pachetele de
întoarcere au un număr de port diferit faţă de pachetul ce tocmai a
părăsit firewall-ul.
Orice protocol de aplicaţii-strat care este verificat va lua
întâietate faţă de verificarea pachetelor TCP şi UDP. De exemplu,
dacă verificarea este configurată pentru FTP, toate informaţiile
canalelor de control vor fi înregistrate în tabelul de stare, şi
traficul FTP va fi acceptat înapoi prin firewall dacă informaţiile
canalelor de control sunt bune pentru starea sesiunii FTP. Faptul că
verificarea TCP este configurată nu este relevant pentru informaţiile
de stare FTP.
Cu verificarea TCP şi UDP pachetele ce pătrund în reţea trebuie să
corespundă întocmai cu pachetul corespunzător ce tocmai a ieşit din
reţea. Pachetele ce pătrund în reţea trebuie să aiba aceleaşi
adrese sursă/destinaţie şi aceleaşi numere de port
sursă/destinaţie ca şi pachetul ce a părăsit reţeaua (numai că
inversate); altfel pachetele ce vor să pătrundă în reţea vor fi
blocate la interfaţă. De asemenea, se va renunţa la toate pachetele
TCP cu o secvenţă de numere din afara „ferestreiâ€Â.
Cu verificarea UDP configurată, răspunsurile vor fi acceptate înapoi
prin firewall dacă sunt primite într-un timp configurabil după ce a
fost trimisă ultima solicitare de răspuns. (Acest timp este configurat
cu comanda ip inspect udp idle-time).
Pentru a configura verificarea CBAC pentru pachetele TCP ÅŸi UDP este
necesară folosirea uneia din cele două sarcini din tabelul de mai jos
:
Sarcina Comanda
Activarea verificării CBAC pentru pachetele TCP
Folosirea aceluiaşi “nume de verificare†ca atunci când se
specifică alte protocoale pentru a crea o singură regulă de
verificare. ip inspect name inspection-name tcp [timeout secunde]
Activarea verificării CBAC pentru pachetele UDP
Folosirea aceluiaşi “nume de verificare†ca atunci când se
specifică alte protocoale pentru a crea o singură regulă de
verificare. ip inspect name inspection-name udp [timeout secunde]
5. Aplicarea regulii de verificare unei interfeţe
HYPERLINK l "ConfigurareaCBAC" [Top]
Dupa ce s-a definit o regulă de verificare se va aplica această
regulă unei interfeţe.
În mod normal se aplică numai o singură regulă de verificare unei
interfeţe. Singura excepţie va avea loc atunci când se vrea
configurarea CBAC în două direcţii cum a fost descris anterior în
secţiunea „ HYPERLINK l "CandsiundedfunctioneazaCBAC" Când şi
unde se configurează CBAC †. Pentru CBAC configurat în două
direcţii la o singură interfaţă a firewall-ului ar trebui aplicate
două reguli, una pentru fiecare direcţie.
Dacă CBAC se configurează la o interfaţă externă, se aplică
această regulă traficului cu destinaţie îndepărtată.
Dacă CBAC se configurează la o interfaţă internă, se aplică
această regulă traficului â€Âlegatâ€Â.
Pentru a aplica o regulă de verificare unei interfeţe se foloseşte
următoarea sarcină de configurare la interfaţă :
Sarcina Comanda
Se aplică o regulă de verificare la o interfaţă. ip inspect
inspection-name {in | out}
Configurările de „displayâ€Â, informaÅ£iile de stare ÅŸi statisticile
pentru
CBAC
HYPERLINK l
"ConfigurareaCBAC" [Top]
Se pot vedea anumite informaţii CBAC executând unele din următoarele
comenzi EXEC :
Sarcina Comanda
Arată o regulă de verificare particulară. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "36996" show ip inspect name
inspection-name
Arată configurarea verificării complete CBAC. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "36996" show ip inspect config
Arată configurarea interfeţei cu referinţe la regulile de verificare
aplicate ÅŸi la listele de acces. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "36996" show ip inspect interfaces
Arată sesiunile existente care sunt monitorizate şi verificate de
CBAC. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "36996" show ip inspect session [detail]
Arată toate configuraţiile CBAC şi toate sesiunile existente care
sunt monitorizate ÅŸi verificate de CBAC. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "36996" show ip inspect all
7. „Debug-ul†CBAC
HYPERLINK l "ConfigurareaCBAC" [Top]
Pentru a activa debug-ul CBAC se pot activa mesajele „trail†care
vor fi afişate pe consolă după închiderea fiecărei sesiuni CBAC.
Pentru a activa mesajele „trail†trebuie să executaţi următoarea
sarcină:
Sarcina Comanda
Activarea mesajelor “trail†CBAC. HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "37125" ip inspect audit trail
Comenzi generale de „debugâ€Â
Sarcina Comanda
Afişarea mesajelor despre funcţiile software intentate de CBAC.
HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "42629" debug ip inspect function-trace
AfiÅŸarea mesajelor despre obiectele soft ce sunt create de CBAC.
Crearea obiectelor corespunde începerii sesiunilor CBAC verificate.
HYPERLINK
"http://www.banknet.kz/~info/cisco/cc/td/doc/product/software/ios113ed/1
13t/113t_3/firewall.htm" l "42629" debug i
