network firewalls
play

Network Firewalls the outside world is a poten7al aCack - PDF document

Nov 18, 2022 •345 likes •400 views

4/29/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on Firewalls: An Essen7al Tool Previous Lectures: Every service on a system visible

  1. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Firewalls: ¡An ¡Essen7al ¡Tool ¡ • Previous ¡Lectures: ¡Every ¡service ¡on ¡a ¡system ¡visible ¡to ¡ Network ¡Firewalls ¡ the ¡outside ¡world ¡is ¡a ¡poten7al ¡aCack ¡vector ¡ • Observa7ons: ¡ ¡ Don ¡Porter ¡ – It ¡is ¡really ¡hard ¡to ¡police ¡every ¡single ¡system ¡for ¡insecure ¡ soIware ¡(although ¡you ¡should ¡do ¡this) ¡ – Some ¡network ¡services ¡are ¡intended ¡only ¡for ¡use ¡inside ¡your ¡ network ¡ • Idea: ¡Filter ¡incoming ¡network ¡connec7ons ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ Example ¡ 80 ¡ 80 ¡ Da’ ¡ Da’ ¡ Public ¡web ¡server ¡ Public ¡web ¡server ¡ Internet ¡ Internet ¡ 3306 ¡ 3306 ¡ Router ¡ Switch ¡ Router ¡ Switch ¡ Super-­‑Secret ¡ Super-­‑Secret ¡ Incoming : ¡ Internal ¡Database ¡Server ¡ Internal ¡Database ¡Server ¡ Allow: ¡Web ¡server, ¡port ¡80 ¡ Else ¡Deny ¡ ¡ Outgoing: ¡ Allow ¡all ¡ How ¡to ¡let ¡users ¡access ¡database, ¡but ¡not ¡bad ¡guy? ¡ Direct ¡outside ¡connec7ons ¡to ¡database ¡blocked ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡Recap ¡ Types ¡of ¡Firewalls ¡ • A ¡firewall ¡(aka ¡packet ¡filter) ¡looks ¡at ¡packet ¡headers ¡ • Most ¡personal ¡computers ¡include ¡firewall ¡soIware ¡ and ¡filters ¡them ¡based ¡on ¡aCributes ¡such ¡as ¡IP ¡ – Linux: ¡iptables ¡ address ¡and ¡port ¡number ¡ – Windows: ¡part ¡of ¡MicrosoI ¡Security ¡Essen7als ¡ • Can ¡filter ¡incoming ¡and ¡outgoing ¡traffic ¡ • For ¡enterprise ¡deployments, ¡you ¡can ¡buy ¡stand-­‑ alone ¡firewall ¡boxes ¡from ¡companies ¡like ¡Cisco ¡ • Can ¡log ¡dodgy ¡packets ¡for ¡further ¡inspec7on ¡ • For ¡smaller ¡deployments, ¡a ¡Linux ¡system ¡can ¡also ¡act ¡ as ¡a ¡firewall, ¡using ¡same ¡soIware ¡ – In ¡fact, ¡many ¡personal ¡router/firewall/access ¡point ¡boxes ¡ run ¡a ¡lightweight ¡Linux ¡build ¡+ ¡iptables ¡ 1 ¡

  2. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ More ¡Layered ¡Security ¡ Refinement: ¡DMZ ¡ • Some ¡servers ¡are ¡intended ¡to ¡be ¡publicly ¡accessible ¡ • Idea: ¡Put ¡a ¡second ¡firewall ¡between ¡public ¡and ¡ (e.g., ¡the ¡web ¡server) ¡ private ¡services ¡ • Others ¡are ¡for ¡internal-­‑use ¡only ¡and ¡contain ¡sensi7ve ¡ • We ¡call ¡the ¡public ¡part ¡of ¡the ¡network ¡the ¡ informa7on ¡(e.g., ¡the ¡database ¡server) ¡ Demilitarized ¡Zone ¡(DMZ) ¡ • What ¡happens ¡if ¡the ¡web ¡server ¡is ¡compromised? ¡ – Web ¡server ¡is ¡inside ¡the ¡firewall ¡ – Can ¡access ¡the ¡sensi7ve ¡database ¡server ¡ – ACacker ¡can ¡use ¡web ¡server ¡to ¡aCack ¡database ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ DMZ ¡Recap ¡ Deny ¡All ¡in ¡ • Best ¡prac7ce: ¡2 ¡firewalls ¡ DMZ ¡ Allow ¡80 ¡in ¡ – One ¡between ¡you ¡and ¡internet ¡ Da’ ¡ – One ¡between ¡public ¡and ¡private ¡servers ¡ Router ¡ Switch ¡ Switch ¡ Internet ¡ • Limits ¡damage ¡if ¡your ¡web ¡server ¡is ¡compromised ¡ 3306 ¡ 80 ¡ Public ¡web ¡server ¡ Super-­‑Secret ¡ DMZ ¡ Internal ¡Database ¡Server ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Incoming ¡Traffic ¡Caveats ¡ Firewall ¡Overview ¡Summary ¡ • As ¡presented, ¡the ¡rules ¡are ¡preCy ¡simple: ¡ ¡ • Placing ¡packet ¡filters ¡near ¡your ¡router ¡can ¡protect ¡ your ¡network ¡ – E.g., ¡block ¡everything ¡except ¡traffic ¡to ¡web ¡server ¡ • But ¡what ¡about ¡responses ¡to ¡external ¡traffic? ¡ – Block ¡access ¡to ¡private ¡systems ¡ – Mi7gate ¡risk ¡of ¡user ¡running ¡a ¡vulnerable ¡service ¡without ¡ – E.g., ¡hCp ¡GET ¡of ¡www.google.com? ¡ your ¡knowledge ¡ • Firewalls ¡generally ¡track ¡some ¡connec7on-­‑level ¡ • Mul7ple ¡firewalls ¡can ¡be ¡useful ¡ state, ¡allow ¡incoming ¡responses ¡to ¡requests ¡from ¡ – DMZ ¡ inside ¡the ¡firewall ¡ – Host-­‑level ¡firewall ¡ – Some7mes ¡called ¡stateful ¡inspec7on ¡ • Only ¡one ¡piece ¡of ¡the ¡puzzle! ¡ – States ¡of ¡note: ¡Established ¡and ¡Related ¡ – Disabling ¡vulnerable ¡services, ¡security ¡patches, ¡etc., ¡s7ll ¡ maCer ¡ 2 ¡

  3. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ iptables ¡ ¡ Key ¡abstrac7ons ¡ • Let’s ¡walk ¡through ¡how ¡you ¡might ¡configure ¡iptables ¡ • Rules : ¡If ¡packet ¡matches ¡X, ¡take ¡ac7on ¡Y ¡ on ¡a ¡Linux ¡machine ¡ • Examples: ¡ -p tcp --dport 80 –j ACCEPT • (If ¡the ¡packet ¡is ¡a ¡TCP ¡packet ¡des7ned ¡for ¡port ¡80, ¡allow) ¡ -s 87.84.250.101 –j DROP • (If ¡the ¡packet ¡comes ¡from ¡IP ¡address ¡87.84.250.101, ¡silently ¡drop) ¡ -p icmp --limit 2/sec –j ACCEPT • (Limit ¡incoming ¡pings ¡to ¡2 ¡per ¡second) ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡Abstrac7ons ¡ Key ¡Abstrac7ons ¡ • Chains : ¡An ¡ordered ¡list ¡of ¡rules ¡ • Tables: ¡Collec7on ¡of ¡chains ¡ – Evalua7on ¡stops ¡on ¡a ¡match ¡ – Each ¡chain ¡applied ¡to ¡different ¡stages ¡of ¡packet ¡processing ¡ • Generally ¡has ¡the ¡structure: ¡ • Default ¡table: ¡“filter”, ¡has ¡3 ¡chains: ¡ If ¡A, ¡Accept ¡ – INPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡coming ¡into ¡local ¡ machine ¡ If ¡B, ¡Accept ¡ – OUTPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡leaving ¡the ¡local ¡ … ¡(more ¡accept ¡rules) ¡ machine ¡(and ¡that ¡originated ¡on ¡the ¡machine) ¡ Drop ¡everything ¡else ¡ – FORWARD ¡– ¡chain ¡of ¡rules ¡for ¡routed ¡packets ¡ ¡ • I.e., ¡packets ¡that ¡enter ¡one ¡device ¡and ¡leave ¡on ¡another ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Detailed ¡Example ¡(command ¡line) ¡ How ¡to ¡automa7cally ¡reload? ¡ iptables -F • You ¡can ¡just ¡type ¡ sudo iptables -L to ¡see ¡ current ¡state ¡ iptables -P INPUT DROP • You ¡can ¡dump ¡the ¡current ¡iptables ¡state ¡using: ¡ iptables –P FORWARD DROP sudo iptables-save > saved-rules ¡ iptables -P OUTPUT ACCEPT • You ¡can ¡restore ¡the ¡same ¡rules ¡again ¡using: ¡ iptables –A INPUT –-state RELATED,ESTABLISHED -j ACCEPT sudo iptables-restore < saved-rules ¡ ¡ iptables –A INPUT –p icmp --limit 2/sec –j ACCEPT iptables –A INPUT –i lo –j ACCEPT Iptables –p tcp --dport 22 –j ACCEPT 3 ¡

  4. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ As ¡part ¡of ¡boot… ¡ Summary ¡ • You ¡can ¡generally ¡configure ¡rules ¡when ¡a ¡machine ¡is ¡ • Firewalls ¡can ¡harden ¡your ¡network ¡ brought ¡up ¡in ¡/etc/network/interfaces ¡ – But ¡are ¡not ¡a ¡panacea ¡ – This ¡is ¡the ¡standard ¡network ¡configura7on ¡file ¡ • In ¡fact, ¡use ¡2 ¡firewalls, ¡and ¡have ¡a ¡DMZ ¡for ¡public ¡ – Direc7ve: ¡pre-­‑up ¡ systems ¡ • Example: ¡ • Iptables ¡is ¡good ¡to ¡have ¡in ¡your ¡toolbox ¡ auto eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables.up.rules 4 ¡

Recommend

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls? Network Address Translation Types of Firewalls Linux/Windows Firewalls pfSense Blue Team Activity Brief History Firewall

348 views • 30 slides
Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network from the Internet Trusted hosts and networks Firewall Router Intranet Demilitarized Zone: DMZ publicly accessible servers and networks

746 views • 31 slides
FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls (Categories) Implementation Best practices What are Firewalls? Internet Firewall Client/Host Network Network Security

585 views • 39 slides
Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and Honeypots that enforces a boundary between two CS 239 or more networks - NCSA Firewall Functional Summary Computer Security Usually, a

271 views • 10 slides
Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however it creates a threat Effective means of protecting LANs Inserted between the premises network and the Internet to establish a controlled

699 views • 34 slides
Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks out of your network while still letting you get your job done. [Limiting] what kinds of connectivity is allowed between different

538 views • 30 slides
Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple firewall using Netfilter Iptables firewall in Linux Stateful Firewall Application Firewall Evading Firewalls 2 Firewalls

811 views • 55 slides
Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software choke point between secured and unsecured network filter incoming and outgoing traffic prevent communications which are forbidden by the

1.06k views • 57 slides
Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

CSE/ISE 311: Systems Administra5on Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on Firewalls: An Essen2al Tool Previous Lectures: Every service

469 views • 20 slides
Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and Linux Contents Introduction Highly Scalable Linux Network Stack Netfilter Hooks Packet selection based on IP Tables The Connection Tracking

444 views • 9 slides
Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

CSE343/443 Lehigh University Fall 2015 Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement http://www.cs.northwestern.edu/~ychen/ classes/mitp-458/firewalls.ppt http://web.cse.ohio-state.edu/~xuan/

1.29k views • 81 slides
CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015 Southeastern Security for Enterprise and Infrastructure (SENSEI) Center Firewalls A firewall ... is a physical barrier inside a building or vehicle,

555 views • 23 slides
Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external attacks Typically a machine that sits between a LAN/WAN and the Internet Running special software to regulate network traffic Lecture 9 Page 1

602 views • 29 slides
WANWide Area Network. The internet at large, the outside. LANLocal Area

WANWide Area Network. The internet at large, the outside. LANLocal Area

Typical Network Topology SOHO Firewalls WAN 2006-11-25 (Internet) What is it: Networks and Firewalls / Routers firewall/ DMZ router Typical Network Topology LAN LAN LAN WANWide Area Network. The internet at large, the

624 views • 6 slides
Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

IN3210 Network Security Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general): Packet forwarding incl. routing Properties: Connection-less Adressing: source + destination IP address No

725 views • 47 slides
Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman, Mobin Javed, Antonio Lupher, Paul Pearce &amp; Matthias Vallentin http://inst.eecs.berkeley.edu/~cs161/ February 14, 2013 Game Plan Network

734 views • 38 slides
in Presence of Firewalls and Network Address Translation Knut Omang Ifi/Oracle 1 About Knut

in Presence of Firewalls and Network Address Translation Knut Omang Ifi/Oracle 1 About Knut

Realtime Multimedia in Presence of Firewalls and Network Address Translation Knut Omang Ifi/Oracle 1 About Knut Omang Knut Omang: PhD. from UiO Worked on network technology and network centric applications in industry for many

840 views • 57 slides
Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the following network. Note that these are stateful , bidirectional firewalls . The only flags you need to worry about are SYN and SYN-ACK. The following

415 views • 3 slides
Network Endpoint Data 1 TLS 1.3 : Solving new challenges for next-generation firewalls (NGFW)

Network Endpoint Data 1 TLS 1.3 : Solving new challenges for next-generation firewalls (NGFW)

Network Endpoint Data 1 TLS 1.3 : Solving new challenges for next-generation firewalls (NGFW) Pass The Salt 2019 2 Who are we ? Nicolas Pamart Damien Deville Thomas Malherbe Apprentice Developer T echnical Leader Developer Does

833 views • 52 slides
Authorization: Firewalls Prof. Tom Austin San Jos State University Networking Basics Network

Authorization: Firewalls Prof. Tom Austin San Jos State University Networking Basics Network

CS 166: Information Security Authorization: Firewalls Prof. Tom Austin San Jos State University Networking Basics Network Includes Computers Servers Routers Wireless devices Etc. Purpose is to transmit data

839 views • 64 slides
Distributed Systems Firewalls: Defending the Network Paul Krzyzanowski pxk@cs.rutgers.edu

Distributed Systems Firewalls: Defending the Network Paul Krzyzanowski pxk@cs.rutgers.edu

Distributed Systems Firewalls: Defending the Network Paul Krzyzanowski pxk@cs.rutgers.edu Except as otherwise noted, the content of this presentation is licensed under the Creative Commons Attribution 2.5 License. inetd Most U NIX systems ran

581 views • 21 slides
Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or software which functions in a networked environment to prevent some communications forbidden by the security policy. Choke point between secured

613 views • 34 slides
Firewalls are a mess! Compiling and decompiling network policies Lorenzo Veronese Universit

Firewalls are a mess! Compiling and decompiling network policies Lorenzo Veronese Universit

Firewalls are a mess! Compiling and decompiling network policies Lorenzo Veronese Universit Ca Foscari, Venezia wert310.github.io 310wert@gmail.com | 852058@stud.unive.it @310wert Politecnico di Torino / November 30th /IT speaker $ id

467 views • 25 slides
Network Security Architecture 1 Additional Reading Firewalls and Internet Security:

Network Security Architecture 1 Additional Reading Firewalls and Internet Security:

Network Security Architecture 1 Additional Reading Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick, Bellovin, and Rubin. New second edition Firewall and Internet Security, the Second Hundred (Internet)

801 views • 78 slides

More recommend