network firewalls
play

Network Firewalls Don Porter CSE/ISE 311: Systems - PowerPoint PPT Presentation

Apr 07, 2024 •257 likes •469 views

CSE/ISE 311: Systems Administra5on Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on Firewalls: An Essen2al Tool Previous Lectures: Every service

  1. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Network ¡Firewalls ¡ Don ¡Porter ¡

  2. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Firewalls: ¡An ¡Essen2al ¡Tool ¡ • Previous ¡Lectures: ¡Every ¡service ¡on ¡a ¡system ¡visible ¡to ¡ the ¡outside ¡world ¡is ¡a ¡poten2al ¡a>ack ¡vector ¡ • Observa2ons: ¡ ¡ – It ¡is ¡really ¡hard ¡to ¡police ¡every ¡single ¡system ¡for ¡insecure ¡ soDware ¡(although ¡you ¡should ¡do ¡this) ¡ – Some ¡network ¡services ¡are ¡intended ¡only ¡for ¡use ¡inside ¡your ¡ network ¡ • Idea: ¡Filter ¡incoming ¡network ¡connec2ons ¡

  3. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ 80 ¡ Da’ ¡ Public ¡web ¡server ¡ Internet ¡ 3306 ¡ Router ¡ Switch ¡ Super-­‑Secret ¡ Internal ¡Database ¡Server ¡ How ¡to ¡let ¡users ¡access ¡database, ¡but ¡not ¡bad ¡guy? ¡

  4. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ 80 ¡ Da’ ¡ Public ¡web ¡server ¡ Internet ¡ 3306 ¡ Router ¡ Switch ¡ Super-­‑Secret ¡ Incoming : ¡ Internal ¡Database ¡Server ¡ Allow: ¡Web ¡server, ¡port ¡80 ¡ Else ¡Deny ¡ ¡ Outgoing: ¡ Allow ¡all ¡ Direct ¡outside ¡connec2ons ¡to ¡database ¡blocked ¡

  5. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡Recap ¡ • A ¡firewall ¡(aka ¡packet ¡filter) ¡looks ¡at ¡packet ¡headers ¡ and ¡filters ¡them ¡based ¡on ¡a>ributes ¡such ¡as ¡IP ¡ address ¡and ¡port ¡number ¡ • Can ¡filter ¡incoming ¡and ¡outgoing ¡traffic ¡ • Can ¡log ¡dodgy ¡packets ¡for ¡further ¡inspec2on ¡

  6. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Types ¡of ¡Firewalls ¡ • Most ¡personal ¡computers ¡include ¡firewall ¡soDware ¡ – Linux: ¡iptables ¡ – Windows: ¡part ¡of ¡MicrosoD ¡Security ¡Essen2als ¡ • For ¡enterprise ¡deployments, ¡you ¡can ¡buy ¡stand-­‑ alone ¡firewall ¡boxes ¡from ¡companies ¡like ¡Cisco ¡ • For ¡smaller ¡deployments, ¡a ¡Linux ¡system ¡can ¡also ¡act ¡ as ¡a ¡firewall, ¡using ¡same ¡soDware ¡ – In ¡fact, ¡many ¡personal ¡router/firewall/access ¡point ¡boxes ¡ run ¡a ¡lightweight ¡Linux ¡build ¡+ ¡iptables ¡

  7. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ More ¡Layered ¡Security ¡ • Some ¡servers ¡are ¡intended ¡to ¡be ¡publicly ¡accessible ¡ (e.g., ¡the ¡web ¡server) ¡ • Others ¡are ¡for ¡internal-­‑use ¡only ¡and ¡contain ¡sensi2ve ¡ informa2on ¡(e.g., ¡the ¡database ¡server) ¡ • What ¡happens ¡if ¡the ¡web ¡server ¡is ¡compromised? ¡ – Web ¡server ¡is ¡inside ¡the ¡firewall ¡ – Can ¡access ¡the ¡sensi2ve ¡database ¡server ¡ – A>acker ¡can ¡use ¡web ¡server ¡to ¡a>ack ¡database ¡

  8. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Refinement: ¡DMZ ¡ • Idea: ¡Put ¡a ¡second ¡firewall ¡between ¡public ¡and ¡ private ¡services ¡ • We ¡call ¡the ¡public ¡part ¡of ¡the ¡network ¡the ¡ Demilitarized ¡Zone ¡(DMZ) ¡

  9. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ Deny ¡All ¡in ¡ DMZ ¡ Allow ¡80 ¡in ¡ Da’ ¡ Router ¡ Switch ¡ Switch ¡ Internet ¡ 3306 ¡ 80 ¡ Public ¡web ¡server ¡ Super-­‑Secret ¡ Internal ¡Database ¡Server ¡ DMZ ¡

  10. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ DMZ ¡Recap ¡ • Best ¡prac2ce: ¡2 ¡firewalls ¡ – One ¡between ¡you ¡and ¡internet ¡ – One ¡between ¡public ¡and ¡private ¡servers ¡ • Limits ¡damage ¡if ¡your ¡web ¡server ¡is ¡compromised ¡

  11. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Incoming ¡Traffic ¡Caveats ¡ • As ¡presented, ¡the ¡rules ¡are ¡pre>y ¡simple: ¡ ¡ – E.g., ¡block ¡everything ¡except ¡traffic ¡to ¡web ¡server ¡ • But ¡what ¡about ¡responses ¡to ¡external ¡traffic? ¡ – E.g., ¡h>p ¡GET ¡of ¡www.google.com? ¡ • Firewalls ¡generally ¡track ¡some ¡connec2on-­‑level ¡ state, ¡allow ¡incoming ¡responses ¡to ¡requests ¡from ¡ inside ¡the ¡firewall ¡ – Some2mes ¡called ¡stateful ¡inspec2on ¡ – States ¡of ¡note: ¡Established ¡and ¡Related ¡

  12. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Firewall ¡Overview ¡Summary ¡ • Placing ¡packet ¡filters ¡near ¡your ¡router ¡can ¡protect ¡ your ¡network ¡ – Block ¡access ¡to ¡private ¡systems ¡ – Mi2gate ¡risk ¡of ¡user ¡running ¡a ¡vulnerable ¡service ¡without ¡ your ¡knowledge ¡ • Mul2ple ¡firewalls ¡can ¡be ¡useful ¡ – DMZ ¡ – Host-­‑level ¡firewall ¡ • Only ¡one ¡piece ¡of ¡the ¡puzzle! ¡ – Disabling ¡vulnerable ¡services, ¡security ¡patches, ¡etc., ¡s2ll ¡ ma>er ¡

  13. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ iptables ¡ ¡ • Let’s ¡walk ¡through ¡how ¡you ¡might ¡configure ¡iptables ¡ on ¡a ¡Linux ¡machine ¡

  14. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡abstrac2ons ¡ • Rules : ¡If ¡packet ¡matches ¡X, ¡take ¡ac2on ¡Y ¡ • Examples: ¡ -p tcp --dport 80 –j ACCEPT • (If ¡the ¡packet ¡is ¡a ¡TCP ¡packet ¡des2ned ¡for ¡port ¡80, ¡allow) ¡ -s 87.84.250.101 –j DROP • (If ¡the ¡packet ¡comes ¡from ¡IP ¡address ¡87.84.250.101, ¡silently ¡drop) ¡ -p icmp --limit 2/sec –j ACCEPT • (Limit ¡incoming ¡pings ¡to ¡2 ¡per ¡second) ¡

  15. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡Abstrac2ons ¡ • Chains : ¡An ¡ordered ¡list ¡of ¡rules ¡ – Evalua2on ¡stops ¡on ¡a ¡match ¡ • Generally ¡has ¡the ¡structure: ¡ If ¡A, ¡Accept ¡ If ¡B, ¡Accept ¡ … ¡(more ¡accept ¡rules) ¡ Drop ¡everything ¡else ¡

  16. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡Abstrac2ons ¡ • Tables: ¡Collec2on ¡of ¡chains ¡ – Each ¡chain ¡applied ¡to ¡different ¡stages ¡of ¡packet ¡processing ¡ • Default ¡table: ¡“filter”, ¡has ¡3 ¡chains: ¡ – INPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡coming ¡into ¡local ¡ machine ¡ – OUTPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡leaving ¡the ¡local ¡ machine ¡(and ¡that ¡originated ¡on ¡the ¡machine) ¡ – FORWARD ¡– ¡chain ¡of ¡rules ¡for ¡routed ¡packets ¡ ¡ • I.e., ¡packets ¡that ¡enter ¡one ¡device ¡and ¡leave ¡on ¡another ¡

  17. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Detailed ¡Example ¡(command ¡line) ¡ iptables -F iptables -P INPUT DROP iptables –P FORWARD DROP iptables -P OUTPUT ACCEPT iptables –A INPUT –-state RELATED,ESTABLISHED -j ACCEPT iptables –A INPUT –p icmp --limit 2/sec –j ACCEPT iptables –A INPUT –i lo –j ACCEPT Iptables –p tcp --dport 22 –j ACCEPT

  18. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ How ¡to ¡automa2cally ¡reload? ¡ • You ¡can ¡just ¡type ¡ sudo iptables -L to ¡see ¡ current ¡state ¡ • You ¡can ¡dump ¡the ¡current ¡iptables ¡state ¡using: ¡ sudo iptables-save > saved-rules ¡ • You ¡can ¡restore ¡the ¡same ¡rules ¡again ¡using: ¡ sudo iptables-restore < saved-rules ¡ ¡

  19. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ As ¡part ¡of ¡boot… ¡ • You ¡can ¡generally ¡configure ¡rules ¡when ¡a ¡machine ¡is ¡ brought ¡up ¡in ¡/etc/network/interfaces ¡ – This ¡is ¡the ¡standard ¡network ¡configura2on ¡file ¡ – Direc2ve: ¡pre-­‑up ¡ • Example: ¡ auto eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables.up.rules

  20. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Summary ¡ • Firewalls ¡can ¡harden ¡your ¡network ¡ – But ¡are ¡not ¡a ¡panacea ¡ • In ¡fact, ¡use ¡2 ¡firewalls, ¡and ¡have ¡a ¡DMZ ¡for ¡public ¡ systems ¡ • Iptables ¡is ¡good ¡to ¡have ¡in ¡your ¡toolbox ¡

Recommend

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls? Network Address Translation Types of Firewalls Linux/Windows Firewalls pfSense Blue Team Activity Brief History Firewall

348 views • 30 slides
Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network from the Internet Trusted hosts and networks Firewall Router Intranet Demilitarized Zone: DMZ publicly accessible servers and networks

746 views • 31 slides
FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls (Categories) Implementation Best practices What are Firewalls? Internet Firewall Client/Host Network Network Security

585 views • 39 slides
Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and Honeypots that enforces a boundary between two CS 239 or more networks - NCSA Firewall Functional Summary Computer Security Usually, a

271 views • 10 slides
Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however it creates a threat Effective means of protecting LANs Inserted between the premises network and the Internet to establish a controlled

699 views • 34 slides
Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks out of your network while still letting you get your job done. [Limiting] what kinds of connectivity is allowed between different

538 views • 30 slides
Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple firewall using Netfilter Iptables firewall in Linux Stateful Firewall Application Firewall Evading Firewalls 2 Firewalls

811 views • 55 slides
Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software choke point between secured and unsecured network filter incoming and outgoing traffic prevent communications which are forbidden by the

1.06k views • 57 slides
Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and Linux Contents Introduction Highly Scalable Linux Network Stack Netfilter Hooks Packet selection based on IP Tables The Connection Tracking

444 views • 9 slides
Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

CSE343/443 Lehigh University Fall 2015 Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement http://www.cs.northwestern.edu/~ychen/ classes/mitp-458/firewalls.ppt http://web.cse.ohio-state.edu/~xuan/

1.29k views • 81 slides
CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015 Southeastern Security for Enterprise and Infrastructure (SENSEI) Center Firewalls A firewall ... is a physical barrier inside a building or vehicle,

555 views • 23 slides
Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external attacks Typically a machine that sits between a LAN/WAN and the Internet Running special software to regulate network traffic Lecture 9 Page 1

602 views • 29 slides
Network Firewalls the outside world is a poten7al aCack

Network Firewalls the outside world is a poten7al aCack

4/29/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on Firewalls: An Essen7al Tool Previous Lectures: Every service on a system visible

400 views • 4 slides
WANWide Area Network. The internet at large, the outside. LANLocal Area

WANWide Area Network. The internet at large, the outside. LANLocal Area

Typical Network Topology SOHO Firewalls WAN 2006-11-25 (Internet) What is it: Networks and Firewalls / Routers firewall/ DMZ router Typical Network Topology LAN LAN LAN WANWide Area Network. The internet at large, the

624 views • 6 slides
Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

IN3210 Network Security Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general): Packet forwarding incl. routing Properties: Connection-less Adressing: source + destination IP address No

725 views • 47 slides
Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman, Mobin Javed, Antonio Lupher, Paul Pearce &amp; Matthias Vallentin http://inst.eecs.berkeley.edu/~cs161/ February 14, 2013 Game Plan Network

734 views • 38 slides
in Presence of Firewalls and Network Address Translation Knut Omang Ifi/Oracle 1 About Knut

in Presence of Firewalls and Network Address Translation Knut Omang Ifi/Oracle 1 About Knut

Realtime Multimedia in Presence of Firewalls and Network Address Translation Knut Omang Ifi/Oracle 1 About Knut Omang Knut Omang: PhD. from UiO Worked on network technology and network centric applications in industry for many

840 views • 57 slides
Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the following network. Note that these are stateful , bidirectional firewalls . The only flags you need to worry about are SYN and SYN-ACK. The following

415 views • 3 slides
Network Endpoint Data 1 TLS 1.3 : Solving new challenges for next-generation firewalls (NGFW)

Network Endpoint Data 1 TLS 1.3 : Solving new challenges for next-generation firewalls (NGFW)

Network Endpoint Data 1 TLS 1.3 : Solving new challenges for next-generation firewalls (NGFW) Pass The Salt 2019 2 Who are we ? Nicolas Pamart Damien Deville Thomas Malherbe Apprentice Developer T echnical Leader Developer Does

833 views • 52 slides
Authorization: Firewalls Prof. Tom Austin San Jos State University Networking Basics Network

Authorization: Firewalls Prof. Tom Austin San Jos State University Networking Basics Network

CS 166: Information Security Authorization: Firewalls Prof. Tom Austin San Jos State University Networking Basics Network Includes Computers Servers Routers Wireless devices Etc. Purpose is to transmit data

839 views • 64 slides
Distributed Systems Firewalls: Defending the Network Paul Krzyzanowski pxk@cs.rutgers.edu

Distributed Systems Firewalls: Defending the Network Paul Krzyzanowski pxk@cs.rutgers.edu

Distributed Systems Firewalls: Defending the Network Paul Krzyzanowski pxk@cs.rutgers.edu Except as otherwise noted, the content of this presentation is licensed under the Creative Commons Attribution 2.5 License. inetd Most U NIX systems ran

581 views • 21 slides
Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or software which functions in a networked environment to prevent some communications forbidden by the security policy. Choke point between secured

613 views • 34 slides
Firewalls are a mess! Compiling and decompiling network policies Lorenzo Veronese Universit

Firewalls are a mess! Compiling and decompiling network policies Lorenzo Veronese Universit

Firewalls are a mess! Compiling and decompiling network policies Lorenzo Veronese Universit Ca Foscari, Venezia wert310.github.io 310wert@gmail.com | 852058@stud.unive.it @310wert Politecnico di Torino / November 30th /IT speaker $ id

467 views • 25 slides
Network Security Architecture 1 Additional Reading Firewalls and Internet Security:

Network Security Architecture 1 Additional Reading Firewalls and Internet Security:

Network Security Architecture 1 Additional Reading Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick, Bellovin, and Rubin. New second edition Firewall and Internet Security, the Second Hundred (Internet)

801 views • 78 slides

More recommend