firewalls
play

Firewalls CS461/ECE422 Spring 2012 Reading Material - PowerPoint PPT Presentation

Oct 11, 2023 •145 likes •501 views

Firewalls CS461/ECE422 Spring 2012 Reading Material Text chapter 9 Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick, Bellovin,

  1. Firewalls ¡ CS461/ECE422 ¡ Spring ¡2012 ¡

  2. Reading ¡Material ¡ • Text ¡chapter ¡9 ¡ • “Firewalls ¡and ¡Internet ¡Security: ¡Repelling ¡the ¡ Wily ¡Hacker”, ¡Cheswick, ¡Bellovin, ¡and ¡Rubin. ¡ ¡

  3. Firewall ¡Goal ¡ • Insert ¡ a"er ¡the ¡fact ¡security ¡by ¡wrapping ¡or ¡ interposing ¡a ¡filter ¡on ¡network ¡traffic ¡ ¡ Inside Outside

  4. Firewall ¡Requirements ¡ • All ¡traffic ¡between ¡network ¡secTon ¡A ¡and ¡ network ¡secTon ¡B ¡(and ¡visa ¡versa) ¡must ¡pass ¡ through ¡the ¡firewall ¡(or ¡a ¡consistently ¡ controlled ¡set ¡of ¡firewalls) ¡ • Only ¡authorized ¡traffic ¡(as ¡specified ¡by ¡the ¡ security ¡policy) ¡is ¡allowed ¡to ¡pass ¡ • The ¡firewall ¡itself ¡is ¡immune ¡to ¡penetraTon ¡

  5. “Typical” ¡corporate ¡network ¡ Firewall Demilitarized Intranet Zone (DMZ) Mail forwarding DNS (DMZ) Web Server File Server Web Server Mail server DNS (internal) Firewall User machines User machines User machines Internet

  6. Packet ¡Filter ¡Firewall ¡ • Operates ¡at ¡Layer ¡3 ¡in ¡router ¡or ¡HW ¡firewall ¡ • Has ¡access ¡to ¡the ¡Layer ¡3 ¡header ¡and ¡Layer ¡4 ¡header ¡ • Can ¡block ¡traffic ¡based ¡on ¡source ¡and ¡desTnaTon ¡ address, ¡ports, ¡and ¡protocol ¡ • Does ¡not ¡reconstruct ¡Layer ¡4 ¡payload, ¡so ¡cannot ¡do ¡ reliable ¡analysis ¡of ¡layer ¡4 ¡or ¡higher ¡content ¡

  7. Rule ¡Scenario ¡

  8. Example ¡Packet ¡Filter ¡Rules ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Src ¡ Dest ¡Addr ¡ Dest ¡ Protocol ¡ Comment ¡ Addr ¡ port ¡ Port ¡ Block ¡ Outside ¡host ¡ * ¡ * ¡ * ¡ * ¡ Don’t ¡trust ¡ Allow ¡ * ¡ * ¡ Our ¡Mail ¡ 25 ¡ Tcp ¡ Allow ¡mail ¡traffic ¡ Server ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡Addr ¡ Dest ¡Port ¡ Protocol ¡ Comment ¡ Addr ¡ Port ¡ Block ¡ * ¡ * ¡ Outside ¡ * ¡ ¡ * ¡ ¡ Don’t ¡trust ¡ host ¡ Allow ¡ Our ¡Mail ¡ 25 ¡ * ¡ * ¡ Tcp ¡ Allow ¡Mail ¡traffic ¡ Server ¡

  9. Same ¡Rules ¡in ¡iptables ¡ • Rules ¡in ¡the ¡filter ¡table ¡ • -A FORWARD –p ip -s outside_host –j REJECT -A FORWARD –p ip –d outside_host –j REJECT -A FORWARD –i outside –p tcp –d our_mail_server –m tcp --dport 25 –j ACCEPT -A FORWARD –i inside –p tcp –s our_mail_server –m tcp --sport 25 –j ACCEPT -A FORWARD –j REJECT

  10. More ¡Example ¡Pack ¡Filter ¡Rules ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ * ¡ * ¡ 25 ¡ TCP ¡ Allow ¡traffic ¡to ¡all ¡mail ¡ servers ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ 25 ¡ * ¡ * ¡ TCP ¡ Allow ¡return ¡traffic ¡from ¡all ¡ mail ¡servers ¡

  11. A ¡Be^er ¡Example ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ Inside ¡ * ¡ * ¡ 25 ¡ TCP ¡ Allow ¡traffic ¡to ¡all ¡mail ¡ networks ¡ servers ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Flags ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ 25 ¡ Inside ¡ * ¡ TCP ¡ ACK ¡ Allow ¡return ¡traffic ¡from ¡ networks ¡ all ¡mail ¡servers ¡

  12. FTP ¡Example ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Flags ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ Inside ¡ * ¡ * ¡ 21 ¡ TCP ¡ Allow ¡Control ¡channel ¡ networks ¡ traffic ¡out ¡ Allow ¡ Inside ¡ > ¡1024 ¡ * ¡ * ¡ ¡ TCP ¡ ACK ¡ Allow ¡data ¡traffic ¡back ¡ networks ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Flags ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ 21 ¡ Inside ¡ * ¡ TCP ¡ ACK ¡ Allow ¡return ¡traffic ¡for ¡ networks ¡ FTP ¡control ¡channel ¡ Allow ¡ * ¡ * ¡ Inside ¡ >1024 ¡ TCP ¡ IniTate ¡data ¡traffic ¡ networks ¡

  13. Stateful ¡InspecTon ¡Firewall ¡ • Evolved ¡as ¡packet ¡filters ¡aimed ¡for ¡proxy ¡funcTonality ¡ • In ¡addiTon ¡to ¡Layer ¡3 ¡reassembly, ¡it ¡can ¡reconstruct ¡layer ¡4 ¡traffic ¡ • Some ¡applicaTon ¡layer ¡analysis ¡exists, ¡e.g., ¡for ¡HTTP, ¡FTP, ¡H.323 ¡ – Called ¡context-­‑based ¡access ¡control ¡(CBAC) ¡on ¡IOS ¡ – Configured ¡by ¡fixup ¡command ¡on ¡PIX ¡ • Some ¡of ¡this ¡analysis ¡is ¡necessary ¡to ¡enable ¡address ¡translaTon ¡and ¡ dynamic ¡access ¡for ¡negoTated ¡data ¡channels ¡ • ReconstrucTon ¡and ¡analysis ¡can ¡be ¡expensive. ¡ ¡ ¡ – Must ¡be ¡configured ¡on ¡specified ¡traffic ¡streams ¡ – At ¡a ¡minimum ¡the ¡user ¡must ¡tell ¡the ¡Firewall ¡what ¡kind ¡of ¡traffic ¡to ¡ expect ¡on ¡a ¡port ¡ – Degree ¡of ¡reconstrucTon ¡varies ¡per ¡plaform, ¡e.g. ¡IOS ¡does ¡not ¡do ¡IP ¡ reassembly ¡

  14. Circuit ¡Firewall ¡ • Actually ¡creates ¡two ¡separate ¡TCP ¡connecTons ¡ – Completely ¡reconstructs ¡TCP ¡connecTons ¡ – SOCKS ¡is ¡an ¡example ¡implementaTon ¡

  15. Example ¡Stateful ¡Rules ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Src ¡ Dest ¡Addr ¡ Dest ¡ Protocol ¡ Comment ¡ Addr ¡ port ¡ Port ¡ Block ¡ Outside ¡host ¡ * ¡ * ¡ * ¡ * ¡ Don’t ¡trust ¡ Allow ¡ * ¡ * ¡ Our ¡Mail ¡ 25 ¡ Tcp ¡ Allow ¡mail ¡traffic ¡ Server ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡Addr ¡ Dest ¡Port ¡ Protocol ¡ Comment ¡ Addr ¡ Port ¡ Block ¡ * ¡ * ¡ Outside ¡ * ¡ ¡ * ¡ ¡ Don’t ¡trust ¡ host ¡

  16. Same ¡Rules ¡in ¡iptables ¡ • Rules ¡in ¡the ¡filter ¡table ¡ • -A FORWARD –p ip -s outside_host –j REJECT -A FORWARD –p ip –d outside_host –j REJECT -A FORWARD –m state --state ESTABLISHED, RELATED – j ACCEPT -A FORWARD –i outside –m state –state NEW –p tcp – d our_mail_server –m tcp --dport 25 –j ACCEPT -A FORWARD –j REJECT

  17. ApplicaTon ¡Proxy ¡Firewall ¡ • Firewall ¡sogware ¡runs ¡in ¡applicaTon ¡space ¡on ¡the ¡ firewall ¡ • The ¡traffic ¡source ¡must ¡be ¡aware ¡of ¡the ¡proxy ¡and ¡ add ¡an ¡addiTonal ¡header ¡ • Now ¡transparent ¡proxy ¡support ¡is ¡available ¡(TPROXY) ¡ • Leverage ¡basic ¡network ¡stack ¡funcTonality ¡to ¡saniTze ¡ applicaTon ¡level ¡traffic ¡ – Block ¡java ¡or ¡acTve ¡X ¡ – Filter ¡out ¡“bad” ¡URLs ¡ – Ensure ¡well ¡formed ¡protocols ¡or ¡block ¡suspect ¡aspects ¡of ¡ protocol ¡

  18. Traffic ¡reconstrucTon ¡ X Y FTP: X to Y GET /etc/passwd GET command causes Might have filter for files to firewall to dynamically block, like /etc/passwd open data channel initiate from Y to X

  19. Ingress ¡and ¡Egress ¡Filtering ¡ • Ingress ¡filtering ¡ – Filter ¡out ¡packets ¡from ¡invalid ¡addresses ¡before ¡entering ¡your ¡network ¡ • Egress ¡filtering ¡ – Filter ¡out ¡packets ¡from ¡invalid ¡addresses ¡before ¡leaving ¡your ¡network ¡ Owns network X Inside Outside Egress Filtering Ingress Filtering Block outgoing traffic not Block incoming traffic from sourced from network X one of the set of invalid networks

  20. Denial ¡of ¡Service ¡ ¡ • Example ¡a9acks ¡ – Smurf ¡A9ack ¡ – TCP ¡SYN ¡A9ack ¡ – Teardrop ¡ • DoS ¡general ¡exploits ¡resource ¡limita#ons ¡ – Denial ¡by ¡ConsumpTon ¡ – Denial ¡by ¡DisrupTon ¡ – Denial ¡by ¡ReservaTon ¡

Recommend

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls? Network Address Translation Types of Firewalls Linux/Windows Firewalls pfSense Blue Team Activity Brief History Firewall

348 views • 30 slides
Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple firewall using Netfilter Iptables firewall in Linux Stateful Firewall Application Firewall Evading Firewalls 2 Firewalls

811 views • 55 slides
FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls (Categories) Implementation Best practices What are Firewalls? Internet Firewall Client/Host Network Network Security

585 views • 39 slides
Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however it creates a threat Effective means of protecting LANs Inserted between the premises network and the Internet to establish a controlled

699 views • 34 slides
Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks out of your network while still letting you get your job done. [Limiting] what kinds of connectivity is allowed between different

538 views • 30 slides
Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or software which functions in a networked environment to prevent some communications forbidden by the security policy. Choke point between secured

613 views • 34 slides
Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software choke point between secured and unsecured network filter incoming and outgoing traffic prevent communications which are forbidden by the

1.06k views • 57 slides
Firewalls Firewalls October 16, 2020 Administrative Administrative submittal

Firewalls Firewalls October 16, 2020 Administrative Administrative submittal

Firewalls Firewalls October 16, 2020 Administrative Administrative submittal instructions submittal instructions answer the lab assignments questions in written report form, as a text, pdf, or Word document file (no obscure

585 views • 21 slides
Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and Honeypots that enforces a boundary between two CS 239 or more networks - NCSA Firewall Functional Summary Computer Security Usually, a

271 views • 10 slides
Firewalls, IPsec and Linux by Harald Welte <laforge@netfilter.org> Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte <laforge@netfilter.org> Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte <laforge@netfilter.org> Firewalls, IPsec and Linux Contents Introduction Highly Scalable Linux Network Stack Netfilter Hooks Packet selection based on IP Tables The Connection Tracking

444 views • 9 slides
Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network from the Internet Trusted hosts and networks Firewall Router Intranet Demilitarized Zone: DMZ publicly accessible servers and networks

746 views • 31 slides
Stateful Firewalls Hank and Foo Types of firewalls Packet filter (stateless) Proxy

Stateful Firewalls Hank and Foo Types of firewalls Packet filter (stateless) Proxy

1 Stateful Firewalls Hank and Foo Types of firewalls Packet filter (stateless) Proxy firewalls Stateful inspection Deep packet inspection 2 Packet filter (Access Control Lists) Treats each packet in isolation

510 views • 30 slides
Firewalls and intrusion detection systems Markus Peuhkuri 2005-03-22 Lecture topics Firewalls

Firewalls and intrusion detection systems Markus Peuhkuri 2005-03-22 Lecture topics Firewalls

Firewalls and intrusion detection systems Markus Peuhkuri 2005-03-22 Lecture topics Firewalls Security model with firewalls Intrusion detection systems Intrusion prevention systems

644 views • 7 slides
Firewalls Summary ITS335: IT Security Sirindhorn International Institute of Technology

Firewalls Summary ITS335: IT Security Sirindhorn International Institute of Technology

ITS335 Firewalls Characteristics Types Locations Firewalls Summary ITS335: IT Security Sirindhorn International Institute of Technology Thammasat University Prepared by Steven Gordon on 25 October 2013 its335y13s2l08,

245 views • 23 slides
Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

CSE/ISE 311: Systems Administra5on Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on Firewalls: An Essen2al Tool Previous Lectures: Every service

469 views • 20 slides
Network Firewalls the outside world is a poten7al aCack

Network Firewalls the outside world is a poten7al aCack

4/29/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on Firewalls: An Essen7al Tool Previous Lectures: Every service on a system visible

400 views • 4 slides
Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the following network. Note that these are stateful , bidirectional firewalls . The only flags you need to worry about are SYN and SYN-ACK. The following

415 views • 3 slides
Firewalls with iptables Linux Sirindhorn International Institute of Technology Thammasat

Firewalls with iptables Linux Sirindhorn International Institute of Technology Thammasat

Linux Firewalls with iptables Concepts Examples Firewalls with iptables Linux Sirindhorn International Institute of Technology Thammasat University Prepared by Steven Gordon on 14 October 2013 Common/Reports/iptables-introduction.tex, r715

470 views • 14 slides
Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements

Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements

Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements intermission Day 21: Firewalls, NATs, and IDSes Stephen McCamant Intrusion detection systems University of Minnesota, Computer Science &

260 views • 5 slides
Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements

Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements

Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements intermission Day 22: Firewalls, NATs, and IDSes Stephen McCamant Intrusion detection systems University of Minnesota, Computer Science &

308 views • 4 slides
Firewalls David Parter University of Wisconsin Computer Sciences Department Computer Systems

Firewalls David Parter University of Wisconsin Computer Sciences Department Computer Systems

Firewalls David Parter University of Wisconsin Computer Sciences Department Computer Systems Lab dparter@cs.wisc.edu November 11, 2010 1 Topics Firewall basics Types of Firewalls Deployment scenarios Related Technologies

965 views • 83 slides
Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

CSE343/443 Lehigh University Fall 2015 Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement http://www.cs.northwestern.edu/~ychen/ classes/mitp-458/firewalls.ppt http://web.cse.ohio-state.edu/~xuan/

1.29k views • 81 slides
Effects of Processing Delay on Function-Parallel Firewalls Ryan J. Farley and Errin W. Fulp

Effects of Processing Delay on Function-Parallel Firewalls Ryan J. Farley and Errin W. Fulp

Effects of Processing Delay on Function-Parallel Firewalls Ryan J. Farley and Errin W. Fulp IASTED PDCN February 15, 2006 Abstract Firewalls filter packets between networks. Unfortunately, they introduce significant delay to a system.

211 views • 18 slides
CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015 Southeastern Security for Enterprise and Infrastructure (SENSEI) Center Firewalls A firewall ... is a physical barrier inside a building or vehicle,

555 views • 23 slides

More recommend