CBAC (Context Based Access Control)とは、状況に応じて異なる動作を行うものに基づいてACL制御を行う機能のことです。つまり、通常の手動で設定をしたACLのようにではなく、CBACでは状況に応じて動的にACL制御と、L7のACL制御が行われます。
Cisco IOS Firewallとも呼ばれ、ステートフルインスペクションと同様の動作が実現ができ内側から出力されるトラフィックを監視して、戻りのトラフィックの数値を確認して自動的にACLを作成します。ハーフコネクションを監視したりする事も出来る為、DOSやSYNフラッド攻撃対策にも有効な対策となります。
CBAC (Context Based Access Control) の設定
コマンドモード:グローバルコンフィグレーションモード。
CBACの検査対象プロトコルの指定して設定
TCP / UDP / ICMP / FTPを検査対象として設定します。
Router(config)# ip inspect name CBAC tcp
TCPパケットの検査を実施します。
Router(config)# ip inspect name CBAC udp
UDPパケットの検査を実施します。
Router(config)# ip inspect name CBAC icmp
ICMPパケットの検査を実施します。
Router(config)# ip inspect name CBAC ftp
FTPパケットの検査を実施します。
Router(config)# ip inspect log drop-pkt
CBACにてパケットを破棄した際にログを取得します。
以上の設定を行う事で、別途ACLで定義(許可)しているパケットは許可され、ACLにて許可をしていないパケットについては、「戻りパケット」のみがアクセスを許可されます。
外部インタフェースのアウトバウンド側にACLを適用
ここでは、外部インタフェースはfastEthernet0とします。
Router(config)# interface fastEthernet 0
Router(config-if)# ip inspect CBAC out
Router(config-if)# end
設定の保存
Router# copy running-config startup-config
確認例
作成したACLが機能しているかの確認は、show access-listコマンドを使用します。
Router# show access-list Extended IP access list 100 10 permit ip 192.168.0.0 0.0.0.255 any (1125417 matches) Extended IP access list 150 10 deny ip 0.0.0.0 0.255.255.255 any 20 deny ip 10.0.0.0 0.255.255.255 any (154 matches) 30 deny ip 127.0.0.0 0.255.255.255 any 40 deny ip 169.254.0.0 0.0.255.255 any 50 deny ip 172.16.0.0 0.15.255.255 any (52 matches) 60 deny ip 192.168.0.0 0.0.0.255 any (69 matches) 70 deny ip 224.0.0.0 15.255.255.255 any 80 deny ip 240.0.0.0 15.255.255.255 any 90 deny tcp any any range 137 139 100 deny tcp any range 137 139 any 110 deny udp any any range netbios-ns netbios-ss 120 deny udp any range netbios-ns netbios-ss any 170 deny tcp any any eq telnet (56 matches) 175 deny tcp any any eq 22 (55 matches) 176 deny tcp any any eq www (41 matches) 180 permit ip any any (4789999 matches) Extended IP access list sl_def_acl 10 deny tcp any any eq telnet log 20 deny tcp any any eq www log 30 deny tcp any any eq 22 log 40 permit tcp any any eq 22 log Router#
Extended IP access list sl_def_acl以下に、CBACで自動生成したACLが作成されている。