firewalls
play

Firewalls CS461/ECE422 Spring 2012 Reading Material - PowerPoint PPT Presentation

Oct 11, 2023 •145 likes •501 views

Firewalls CS461/ECE422 Spring 2012 Reading Material Text chapter 9 Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick, Bellovin,

  1. Firewalls ¡ CS461/ECE422 ¡ Spring ¡2012 ¡

  2. Reading ¡Material ¡ • Text ¡chapter ¡9 ¡ • “Firewalls ¡and ¡Internet ¡Security: ¡Repelling ¡the ¡ Wily ¡Hacker”, ¡Cheswick, ¡Bellovin, ¡and ¡Rubin. ¡ ¡

  3. Firewall ¡Goal ¡ • Insert ¡ a"er ¡the ¡fact ¡security ¡by ¡wrapping ¡or ¡ interposing ¡a ¡filter ¡on ¡network ¡traffic ¡ ¡ Inside Outside

  4. Firewall ¡Requirements ¡ • All ¡traffic ¡between ¡network ¡secTon ¡A ¡and ¡ network ¡secTon ¡B ¡(and ¡visa ¡versa) ¡must ¡pass ¡ through ¡the ¡firewall ¡(or ¡a ¡consistently ¡ controlled ¡set ¡of ¡firewalls) ¡ • Only ¡authorized ¡traffic ¡(as ¡specified ¡by ¡the ¡ security ¡policy) ¡is ¡allowed ¡to ¡pass ¡ • The ¡firewall ¡itself ¡is ¡immune ¡to ¡penetraTon ¡

  5. “Typical” ¡corporate ¡network ¡ Firewall Demilitarized Intranet Zone (DMZ) Mail forwarding DNS (DMZ) Web Server File Server Web Server Mail server DNS (internal) Firewall User machines User machines User machines Internet

  6. Packet ¡Filter ¡Firewall ¡ • Operates ¡at ¡Layer ¡3 ¡in ¡router ¡or ¡HW ¡firewall ¡ • Has ¡access ¡to ¡the ¡Layer ¡3 ¡header ¡and ¡Layer ¡4 ¡header ¡ • Can ¡block ¡traffic ¡based ¡on ¡source ¡and ¡desTnaTon ¡ address, ¡ports, ¡and ¡protocol ¡ • Does ¡not ¡reconstruct ¡Layer ¡4 ¡payload, ¡so ¡cannot ¡do ¡ reliable ¡analysis ¡of ¡layer ¡4 ¡or ¡higher ¡content ¡

  7. Rule ¡Scenario ¡

  8. Example ¡Packet ¡Filter ¡Rules ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Src ¡ Dest ¡Addr ¡ Dest ¡ Protocol ¡ Comment ¡ Addr ¡ port ¡ Port ¡ Block ¡ Outside ¡host ¡ * ¡ * ¡ * ¡ * ¡ Don’t ¡trust ¡ Allow ¡ * ¡ * ¡ Our ¡Mail ¡ 25 ¡ Tcp ¡ Allow ¡mail ¡traffic ¡ Server ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡Addr ¡ Dest ¡Port ¡ Protocol ¡ Comment ¡ Addr ¡ Port ¡ Block ¡ * ¡ * ¡ Outside ¡ * ¡ ¡ * ¡ ¡ Don’t ¡trust ¡ host ¡ Allow ¡ Our ¡Mail ¡ 25 ¡ * ¡ * ¡ Tcp ¡ Allow ¡Mail ¡traffic ¡ Server ¡

  9. Same ¡Rules ¡in ¡iptables ¡ • Rules ¡in ¡the ¡filter ¡table ¡ • -A FORWARD –p ip -s outside_host –j REJECT -A FORWARD –p ip –d outside_host –j REJECT -A FORWARD –i outside –p tcp –d our_mail_server –m tcp --dport 25 –j ACCEPT -A FORWARD –i inside –p tcp –s our_mail_server –m tcp --sport 25 –j ACCEPT -A FORWARD –j REJECT

  10. More ¡Example ¡Pack ¡Filter ¡Rules ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ * ¡ * ¡ 25 ¡ TCP ¡ Allow ¡traffic ¡to ¡all ¡mail ¡ servers ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ 25 ¡ * ¡ * ¡ TCP ¡ Allow ¡return ¡traffic ¡from ¡all ¡ mail ¡servers ¡

  11. A ¡Be^er ¡Example ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ Inside ¡ * ¡ * ¡ 25 ¡ TCP ¡ Allow ¡traffic ¡to ¡all ¡mail ¡ networks ¡ servers ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Flags ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ 25 ¡ Inside ¡ * ¡ TCP ¡ ACK ¡ Allow ¡return ¡traffic ¡from ¡ networks ¡ all ¡mail ¡servers ¡

  12. FTP ¡Example ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Flags ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ Inside ¡ * ¡ * ¡ 21 ¡ TCP ¡ Allow ¡Control ¡channel ¡ networks ¡ traffic ¡out ¡ Allow ¡ Inside ¡ > ¡1024 ¡ * ¡ * ¡ ¡ TCP ¡ ACK ¡ Allow ¡data ¡traffic ¡back ¡ networks ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡ Dest ¡ Proto ¡ Flags ¡ Comment ¡ Addr ¡ Port ¡ Addr ¡ Port ¡ Allow ¡ * ¡ 21 ¡ Inside ¡ * ¡ TCP ¡ ACK ¡ Allow ¡return ¡traffic ¡for ¡ networks ¡ FTP ¡control ¡channel ¡ Allow ¡ * ¡ * ¡ Inside ¡ >1024 ¡ TCP ¡ IniTate ¡data ¡traffic ¡ networks ¡

  13. Stateful ¡InspecTon ¡Firewall ¡ • Evolved ¡as ¡packet ¡filters ¡aimed ¡for ¡proxy ¡funcTonality ¡ • In ¡addiTon ¡to ¡Layer ¡3 ¡reassembly, ¡it ¡can ¡reconstruct ¡layer ¡4 ¡traffic ¡ • Some ¡applicaTon ¡layer ¡analysis ¡exists, ¡e.g., ¡for ¡HTTP, ¡FTP, ¡H.323 ¡ – Called ¡context-­‑based ¡access ¡control ¡(CBAC) ¡on ¡IOS ¡ – Configured ¡by ¡fixup ¡command ¡on ¡PIX ¡ • Some ¡of ¡this ¡analysis ¡is ¡necessary ¡to ¡enable ¡address ¡translaTon ¡and ¡ dynamic ¡access ¡for ¡negoTated ¡data ¡channels ¡ • ReconstrucTon ¡and ¡analysis ¡can ¡be ¡expensive. ¡ ¡ ¡ – Must ¡be ¡configured ¡on ¡specified ¡traffic ¡streams ¡ – At ¡a ¡minimum ¡the ¡user ¡must ¡tell ¡the ¡Firewall ¡what ¡kind ¡of ¡traffic ¡to ¡ expect ¡on ¡a ¡port ¡ – Degree ¡of ¡reconstrucTon ¡varies ¡per ¡plaform, ¡e.g. ¡IOS ¡does ¡not ¡do ¡IP ¡ reassembly ¡

  14. Circuit ¡Firewall ¡ • Actually ¡creates ¡two ¡separate ¡TCP ¡connecTons ¡ – Completely ¡reconstructs ¡TCP ¡connecTons ¡ – SOCKS ¡is ¡an ¡example ¡implementaTon ¡

  15. Example ¡Stateful ¡Rules ¡ • Rules ¡a^ached ¡to ¡outside ¡interface ¡ Ac#on ¡ Source ¡ Src ¡ Dest ¡Addr ¡ Dest ¡ Protocol ¡ Comment ¡ Addr ¡ port ¡ Port ¡ Block ¡ Outside ¡host ¡ * ¡ * ¡ * ¡ * ¡ Don’t ¡trust ¡ Allow ¡ * ¡ * ¡ Our ¡Mail ¡ 25 ¡ Tcp ¡ Allow ¡mail ¡traffic ¡ Server ¡ • Rules ¡a^ached ¡to ¡inside ¡interface ¡ Ac#on ¡ Source ¡ Source ¡ Dest ¡Addr ¡ Dest ¡Port ¡ Protocol ¡ Comment ¡ Addr ¡ Port ¡ Block ¡ * ¡ * ¡ Outside ¡ * ¡ ¡ * ¡ ¡ Don’t ¡trust ¡ host ¡

  16. Same ¡Rules ¡in ¡iptables ¡ • Rules ¡in ¡the ¡filter ¡table ¡ • -A FORWARD –p ip -s outside_host –j REJECT -A FORWARD –p ip –d outside_host –j REJECT -A FORWARD –m state --state ESTABLISHED, RELATED – j ACCEPT -A FORWARD –i outside –m state –state NEW –p tcp – d our_mail_server –m tcp --dport 25 –j ACCEPT -A FORWARD –j REJECT

  17. ApplicaTon ¡Proxy ¡Firewall ¡ • Firewall ¡sogware ¡runs ¡in ¡applicaTon ¡space ¡on ¡the ¡ firewall ¡ • The ¡traffic ¡source ¡must ¡be ¡aware ¡of ¡the ¡proxy ¡and ¡ add ¡an ¡addiTonal ¡header ¡ • Now ¡transparent ¡proxy ¡support ¡is ¡available ¡(TPROXY) ¡ • Leverage ¡basic ¡network ¡stack ¡funcTonality ¡to ¡saniTze ¡ applicaTon ¡level ¡traffic ¡ – Block ¡java ¡or ¡acTve ¡X ¡ – Filter ¡out ¡“bad” ¡URLs ¡ – Ensure ¡well ¡formed ¡protocols ¡or ¡block ¡suspect ¡aspects ¡of ¡ protocol ¡

  18. Traffic ¡reconstrucTon ¡ X Y FTP: X to Y GET /etc/passwd GET command causes Might have filter for files to firewall to dynamically block, like /etc/passwd open data channel initiate from Y to X

  19. Ingress ¡and ¡Egress ¡Filtering ¡ • Ingress ¡filtering ¡ – Filter ¡out ¡packets ¡from ¡invalid ¡addresses ¡before ¡entering ¡your ¡network ¡ • Egress ¡filtering ¡ – Filter ¡out ¡packets ¡from ¡invalid ¡addresses ¡before ¡leaving ¡your ¡network ¡ Owns network X Inside Outside Egress Filtering Ingress Filtering Block outgoing traffic not Block incoming traffic from sourced from network X one of the set of invalid networks

  20. Denial ¡of ¡Service ¡ ¡ • Example ¡a9acks ¡ – Smurf ¡A9ack ¡ – TCP ¡SYN ¡A9ack ¡ – Teardrop ¡ • DoS ¡general ¡exploits ¡resource ¡limita#ons ¡ – Denial ¡by ¡ConsumpTon ¡ – Denial ¡by ¡DisrupTon ¡ – Denial ¡by ¡ReservaTon ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls? Network Address Translation Types of Firewalls Linux/Windows Firewalls pfSense Blue Team Activity Brief History Firewall

348 views • 30 slides
Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple firewall using Netfilter Iptables firewall in Linux Stateful Firewall Application Firewall Evading Firewalls 2 Firewalls

811 views • 55 slides
FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls (Categories) Implementation Best practices What are Firewalls? Internet Firewall Client/Host Network Network Security

585 views • 39 slides
Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however it creates a threat Effective means of protecting LANs Inserted between the premises network and the Internet to establish a controlled

699 views • 34 slides
Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks out of your network while still letting you get your job done. [Limiting] what kinds of connectivity is allowed between different

538 views • 30 slides
Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or

Firewalls Computer Center, CS, NCTU Firewalls Firewall A piece of hardware and/or software which functions in a networked environment to prevent some communications forbidden by the security policy. Choke point between secured

613 views • 34 slides
Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software choke point between secured and unsecured network filter incoming and outgoing traffic prevent communications which are forbidden by the

1.06k views • 57 slides
Firewalls Firewalls October 16, 2020 Administrative Administrative submittal

Firewalls Firewalls October 16, 2020 Administrative Administrative submittal

Firewalls Firewalls October 16, 2020 Administrative Administrative submittal instructions submittal instructions answer the lab assignments questions in written report form, as a text, pdf, or Word document file (no obscure

585 views • 21 slides
Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and Honeypots that enforces a boundary between two CS 239 or more networks - NCSA Firewall Functional Summary Computer Security Usually, a

271 views • 10 slides
Firewalls, IPsec and Linux by Harald Welte <laforge@netfilter.org> Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte <laforge@netfilter.org> Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte <laforge@netfilter.org> Firewalls, IPsec and Linux Contents Introduction Highly Scalable Linux Network Stack Netfilter Hooks Packet selection based on IP Tables The Connection Tracking

444 views • 9 slides
Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network from the Internet Trusted hosts and networks Firewall Router Intranet Demilitarized Zone: DMZ publicly accessible servers and networks

746 views • 31 slides
Stateful Firewalls Hank and Foo Types of firewalls Packet filter (stateless) Proxy

Stateful Firewalls Hank and Foo Types of firewalls Packet filter (stateless) Proxy

1 Stateful Firewalls Hank and Foo Types of firewalls Packet filter (stateless) Proxy firewalls Stateful inspection Deep packet inspection 2 Packet filter (Access Control Lists) Treats each packet in isolation

510 views • 30 slides
Firewalls and intrusion detection systems Markus Peuhkuri 2005-03-22 Lecture topics Firewalls

Firewalls and intrusion detection systems Markus Peuhkuri 2005-03-22 Lecture topics Firewalls

Firewalls and intrusion detection systems Markus Peuhkuri 2005-03-22 Lecture topics Firewalls Security model with firewalls Intrusion detection systems Intrusion prevention systems

644 views • 7 slides
Firewalls Summary ITS335: IT Security Sirindhorn International Institute of Technology

Firewalls Summary ITS335: IT Security Sirindhorn International Institute of Technology

ITS335 Firewalls Characteristics Types Locations Firewalls Summary ITS335: IT Security Sirindhorn International Institute of Technology Thammasat University Prepared by Steven Gordon on 25 October 2013 its335y13s2l08,

245 views • 23 slides
Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

CSE/ISE 311: Systems Administra5on Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on Firewalls: An Essen2al Tool Previous Lectures: Every service

469 views • 20 slides
Network Firewalls the outside world is a poten7al aCack

Network Firewalls the outside world is a poten7al aCack

4/29/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on Firewalls: An Essen7al Tool Previous Lectures: Every service on a system visible

400 views • 4 slides
CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015 Southeastern Security for Enterprise and Infrastructure (SENSEI) Center Firewalls A firewall ... is a physical barrier inside a building or vehicle,

555 views • 23 slides
Quantitative Cyber-Security Colorado State University Yashwant K Malaiya CS559 Midterm Review

Quantitative Cyber-Security Colorado State University Yashwant K Malaiya CS559 Midterm Review

Quantitative Cyber-Security Colorado State University Yashwant K Malaiya CS559 Midterm Review CSU Cybersecurity Center Computer Science Dept 1 1 Midterm coming Tuesday Will use canvas. Will need proper laptop/pc with camera. Update: Both

789 views • 37 slides
Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University of Michigan 2013 Network Security Fundamentals Module 6 Firewalls & VPNs Topics Firewall Fundamentals Case study: Linux iptables

778 views • 46 slides
Networking 101.101.101.101 The Internet The Internet is governed by a series of protocols

Networking 101.101.101.101 The Internet The Internet is governed by a series of protocols

Networking 101.101.101.101 The Internet The Internet is governed by a series of protocols that form the rules for how communications should happen The Internet is a network of networks. There is no centralized point. There are no

763 views • 34 slides
CSE543 - Computer and Network Security Module: Firewalls Professor Trent Jaeger CMPSC443 -

CSE543 - Computer and Network Security Module: Firewalls Professor Trent Jaeger CMPSC443 -

532 views • 19 slides
You can keep your firewall (if you want to ) Practical, simple and cost saving applications

You can keep your firewall (if you want to ) Practical, simple and cost saving applications

You can keep your firewall (if you want to ) Practical, simple and cost saving applications of OpenDaylight you can implement today John Sobanski, Engineer, Solers Inc. July 2015 @OpenDaylightSDN #OpenSDN What You Will Learn today (By

872 views • 66 slides
Com puter Security Part Four Last tim e Cryptography Authentication Threats

Com puter Security Part Four Last tim e Cryptography Authentication Threats

Com puter Security Part Four Last tim e Cryptography Authentication Threats Key Management KDC Policy Symmetric keys Specification Asymmetric keys PKI Design Security Protocols Kerberos

617 views • 39 slides
Ken Birman i Cornell University. CS5410 Fall 2008. Last time: standards We looked mostly at

Ken Birman i Cornell University. CS5410 Fall 2008. Last time: standards We looked mostly at

Ken Birman i Cornell University. CS5410 Fall 2008. Last time: standards We looked mostly at big architectural standards But there are also standard ways to build cloud i f infrastructure support. Today: review many of the things one

549 views • 36 slides

More recommend