network firewalls
play

Network Firewalls the outside world is a poten7al aCack - PDF document

Nov 18, 2022 •345 likes •400 views

4/29/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on Firewalls: An Essen7al Tool Previous Lectures: Every service on a system visible

  1. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Firewalls: ¡An ¡Essen7al ¡Tool ¡ • Previous ¡Lectures: ¡Every ¡service ¡on ¡a ¡system ¡visible ¡to ¡ Network ¡Firewalls ¡ the ¡outside ¡world ¡is ¡a ¡poten7al ¡aCack ¡vector ¡ • Observa7ons: ¡ ¡ Don ¡Porter ¡ – It ¡is ¡really ¡hard ¡to ¡police ¡every ¡single ¡system ¡for ¡insecure ¡ soIware ¡(although ¡you ¡should ¡do ¡this) ¡ – Some ¡network ¡services ¡are ¡intended ¡only ¡for ¡use ¡inside ¡your ¡ network ¡ • Idea: ¡Filter ¡incoming ¡network ¡connec7ons ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ Example ¡ 80 ¡ 80 ¡ Da’ ¡ Da’ ¡ Public ¡web ¡server ¡ Public ¡web ¡server ¡ Internet ¡ Internet ¡ 3306 ¡ 3306 ¡ Router ¡ Switch ¡ Router ¡ Switch ¡ Super-­‑Secret ¡ Super-­‑Secret ¡ Incoming : ¡ Internal ¡Database ¡Server ¡ Internal ¡Database ¡Server ¡ Allow: ¡Web ¡server, ¡port ¡80 ¡ Else ¡Deny ¡ ¡ Outgoing: ¡ Allow ¡all ¡ How ¡to ¡let ¡users ¡access ¡database, ¡but ¡not ¡bad ¡guy? ¡ Direct ¡outside ¡connec7ons ¡to ¡database ¡blocked ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡Recap ¡ Types ¡of ¡Firewalls ¡ • A ¡firewall ¡(aka ¡packet ¡filter) ¡looks ¡at ¡packet ¡headers ¡ • Most ¡personal ¡computers ¡include ¡firewall ¡soIware ¡ and ¡filters ¡them ¡based ¡on ¡aCributes ¡such ¡as ¡IP ¡ – Linux: ¡iptables ¡ address ¡and ¡port ¡number ¡ – Windows: ¡part ¡of ¡MicrosoI ¡Security ¡Essen7als ¡ • Can ¡filter ¡incoming ¡and ¡outgoing ¡traffic ¡ • For ¡enterprise ¡deployments, ¡you ¡can ¡buy ¡stand-­‑ alone ¡firewall ¡boxes ¡from ¡companies ¡like ¡Cisco ¡ • Can ¡log ¡dodgy ¡packets ¡for ¡further ¡inspec7on ¡ • For ¡smaller ¡deployments, ¡a ¡Linux ¡system ¡can ¡also ¡act ¡ as ¡a ¡firewall, ¡using ¡same ¡soIware ¡ – In ¡fact, ¡many ¡personal ¡router/firewall/access ¡point ¡boxes ¡ run ¡a ¡lightweight ¡Linux ¡build ¡+ ¡iptables ¡ 1 ¡

  2. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ More ¡Layered ¡Security ¡ Refinement: ¡DMZ ¡ • Some ¡servers ¡are ¡intended ¡to ¡be ¡publicly ¡accessible ¡ • Idea: ¡Put ¡a ¡second ¡firewall ¡between ¡public ¡and ¡ (e.g., ¡the ¡web ¡server) ¡ private ¡services ¡ • Others ¡are ¡for ¡internal-­‑use ¡only ¡and ¡contain ¡sensi7ve ¡ • We ¡call ¡the ¡public ¡part ¡of ¡the ¡network ¡the ¡ informa7on ¡(e.g., ¡the ¡database ¡server) ¡ Demilitarized ¡Zone ¡(DMZ) ¡ • What ¡happens ¡if ¡the ¡web ¡server ¡is ¡compromised? ¡ – Web ¡server ¡is ¡inside ¡the ¡firewall ¡ – Can ¡access ¡the ¡sensi7ve ¡database ¡server ¡ – ACacker ¡can ¡use ¡web ¡server ¡to ¡aCack ¡database ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ DMZ ¡Recap ¡ Deny ¡All ¡in ¡ • Best ¡prac7ce: ¡2 ¡firewalls ¡ DMZ ¡ Allow ¡80 ¡in ¡ – One ¡between ¡you ¡and ¡internet ¡ Da’ ¡ – One ¡between ¡public ¡and ¡private ¡servers ¡ Router ¡ Switch ¡ Switch ¡ Internet ¡ • Limits ¡damage ¡if ¡your ¡web ¡server ¡is ¡compromised ¡ 3306 ¡ 80 ¡ Public ¡web ¡server ¡ Super-­‑Secret ¡ DMZ ¡ Internal ¡Database ¡Server ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Incoming ¡Traffic ¡Caveats ¡ Firewall ¡Overview ¡Summary ¡ • As ¡presented, ¡the ¡rules ¡are ¡preCy ¡simple: ¡ ¡ • Placing ¡packet ¡filters ¡near ¡your ¡router ¡can ¡protect ¡ your ¡network ¡ – E.g., ¡block ¡everything ¡except ¡traffic ¡to ¡web ¡server ¡ • But ¡what ¡about ¡responses ¡to ¡external ¡traffic? ¡ – Block ¡access ¡to ¡private ¡systems ¡ – Mi7gate ¡risk ¡of ¡user ¡running ¡a ¡vulnerable ¡service ¡without ¡ – E.g., ¡hCp ¡GET ¡of ¡www.google.com? ¡ your ¡knowledge ¡ • Firewalls ¡generally ¡track ¡some ¡connec7on-­‑level ¡ • Mul7ple ¡firewalls ¡can ¡be ¡useful ¡ state, ¡allow ¡incoming ¡responses ¡to ¡requests ¡from ¡ – DMZ ¡ inside ¡the ¡firewall ¡ – Host-­‑level ¡firewall ¡ – Some7mes ¡called ¡stateful ¡inspec7on ¡ • Only ¡one ¡piece ¡of ¡the ¡puzzle! ¡ – States ¡of ¡note: ¡Established ¡and ¡Related ¡ – Disabling ¡vulnerable ¡services, ¡security ¡patches, ¡etc., ¡s7ll ¡ maCer ¡ 2 ¡

  3. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ iptables ¡ ¡ Key ¡abstrac7ons ¡ • Let’s ¡walk ¡through ¡how ¡you ¡might ¡configure ¡iptables ¡ • Rules : ¡If ¡packet ¡matches ¡X, ¡take ¡ac7on ¡Y ¡ on ¡a ¡Linux ¡machine ¡ • Examples: ¡ -p tcp --dport 80 –j ACCEPT • (If ¡the ¡packet ¡is ¡a ¡TCP ¡packet ¡des7ned ¡for ¡port ¡80, ¡allow) ¡ -s 87.84.250.101 –j DROP • (If ¡the ¡packet ¡comes ¡from ¡IP ¡address ¡87.84.250.101, ¡silently ¡drop) ¡ -p icmp --limit 2/sec –j ACCEPT • (Limit ¡incoming ¡pings ¡to ¡2 ¡per ¡second) ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡Abstrac7ons ¡ Key ¡Abstrac7ons ¡ • Chains : ¡An ¡ordered ¡list ¡of ¡rules ¡ • Tables: ¡Collec7on ¡of ¡chains ¡ – Evalua7on ¡stops ¡on ¡a ¡match ¡ – Each ¡chain ¡applied ¡to ¡different ¡stages ¡of ¡packet ¡processing ¡ • Generally ¡has ¡the ¡structure: ¡ • Default ¡table: ¡“filter”, ¡has ¡3 ¡chains: ¡ If ¡A, ¡Accept ¡ – INPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡coming ¡into ¡local ¡ machine ¡ If ¡B, ¡Accept ¡ – OUTPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡leaving ¡the ¡local ¡ … ¡(more ¡accept ¡rules) ¡ machine ¡(and ¡that ¡originated ¡on ¡the ¡machine) ¡ Drop ¡everything ¡else ¡ – FORWARD ¡– ¡chain ¡of ¡rules ¡for ¡routed ¡packets ¡ ¡ • I.e., ¡packets ¡that ¡enter ¡one ¡device ¡and ¡leave ¡on ¡another ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Detailed ¡Example ¡(command ¡line) ¡ How ¡to ¡automa7cally ¡reload? ¡ iptables -F • You ¡can ¡just ¡type ¡ sudo iptables -L to ¡see ¡ current ¡state ¡ iptables -P INPUT DROP • You ¡can ¡dump ¡the ¡current ¡iptables ¡state ¡using: ¡ iptables –P FORWARD DROP sudo iptables-save > saved-rules ¡ iptables -P OUTPUT ACCEPT • You ¡can ¡restore ¡the ¡same ¡rules ¡again ¡using: ¡ iptables –A INPUT –-state RELATED,ESTABLISHED -j ACCEPT sudo iptables-restore < saved-rules ¡ ¡ iptables –A INPUT –p icmp --limit 2/sec –j ACCEPT iptables –A INPUT –i lo –j ACCEPT Iptables –p tcp --dport 22 –j ACCEPT 3 ¡

  4. 4/29/14 ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ As ¡part ¡of ¡boot… ¡ Summary ¡ • You ¡can ¡generally ¡configure ¡rules ¡when ¡a ¡machine ¡is ¡ • Firewalls ¡can ¡harden ¡your ¡network ¡ brought ¡up ¡in ¡/etc/network/interfaces ¡ – But ¡are ¡not ¡a ¡panacea ¡ – This ¡is ¡the ¡standard ¡network ¡configura7on ¡file ¡ • In ¡fact, ¡use ¡2 ¡firewalls, ¡and ¡have ¡a ¡DMZ ¡for ¡public ¡ – Direc7ve: ¡pre-­‑up ¡ systems ¡ • Example: ¡ • Iptables ¡is ¡good ¡to ¡have ¡in ¡your ¡toolbox ¡ auto eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables.up.rules 4 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls? Network Address Translation Types of Firewalls Linux/Windows Firewalls pfSense Blue Team Activity Brief History Firewall

348 views • 30 slides
Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network from the Internet Trusted hosts and networks Firewall Router Intranet Demilitarized Zone: DMZ publicly accessible servers and networks

746 views • 31 slides
FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls (Categories) Implementation Best practices What are Firewalls? Internet Firewall Client/Host Network Network Security

585 views • 39 slides
Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and Honeypots that enforces a boundary between two CS 239 or more networks - NCSA Firewall Functional Summary Computer Security Usually, a

271 views • 10 slides
Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however it creates a threat Effective means of protecting LANs Inserted between the premises network and the Internet to establish a controlled

699 views • 34 slides
Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks out of your network while still letting you get your job done. [Limiting] what kinds of connectivity is allowed between different

538 views • 30 slides
Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple firewall using Netfilter Iptables firewall in Linux Stateful Firewall Application Firewall Evading Firewalls 2 Firewalls

811 views • 55 slides
Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software choke point between secured and unsecured network filter incoming and outgoing traffic prevent communications which are forbidden by the

1.06k views • 57 slides
Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on

CSE/ISE 311: Systems Administra5on Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on Firewalls: An Essen2al Tool Previous Lectures: Every service

469 views • 20 slides
Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and Linux Contents Introduction Highly Scalable Linux Network Stack Netfilter Hooks Packet selection based on IP Tables The Connection Tracking

444 views • 9 slides
Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

CSE343/443 Lehigh University Fall 2015 Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement http://www.cs.northwestern.edu/~ychen/ classes/mitp-458/firewalls.ppt http://web.cse.ohio-state.edu/~xuan/

1.29k views • 81 slides
CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015 Southeastern Security for Enterprise and Infrastructure (SENSEI) Center Firewalls A firewall ... is a physical barrier inside a building or vehicle,

555 views • 23 slides
Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external attacks Typically a machine that sits between a LAN/WAN and the Internet Running special software to regulate network traffic Lecture 9 Page 1

602 views • 29 slides
WANWide Area Network. The internet at large, the outside. LANLocal Area

WANWide Area Network. The internet at large, the outside. LANLocal Area

Typical Network Topology SOHO Firewalls WAN 2006-11-25 (Internet) What is it: Networks and Firewalls / Routers firewall/ DMZ router Typical Network Topology LAN LAN LAN WANWide Area Network. The internet at large, the

624 views • 6 slides
Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

IN3210 Network Security Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general): Packet forwarding incl. routing Properties: Connection-less Adressing: source + destination IP address No

725 views • 47 slides
Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman, Mobin Javed, Antonio Lupher, Paul Pearce &amp; Matthias Vallentin http://inst.eecs.berkeley.edu/~cs161/ February 14, 2013 Game Plan Network

734 views • 38 slides
Delta Set for Numerical Semigroup with Embedding Dimension 3 David Llena Carrasco Departament of

Delta Set for Numerical Semigroup with Embedding Dimension 3 David Llena Carrasco Departament of

Delta Set for Numerical Semigroup with Embedding Dimension 3 David Llena Carrasco Departament of Mathematics University Of Almer a International Meeting on Numerical Semigroup with Applications Levico (Trento), July 4-8, 2016 This is a

469 views • 18 slides
A Gentle Introduction to Mathematical Fuzzy Logic 5. The growing family of fuzzy logics Petr

A Gentle Introduction to Mathematical Fuzzy Logic 5. The growing family of fuzzy logics Petr

A Gentle Introduction to Mathematical Fuzzy Logic 5. The growing family of fuzzy logics Petr Cintula 1 and Carles Noguera 2 1 Institute of Computer Science, Czech Academy of Sciences, Prague, Czech Republic 2 Institute of Information Theory and

732 views • 57 slides
Paradoxical Typecase Stephanie Weirich University of Pennsylvania

Paradoxical Typecase Stephanie Weirich University of Pennsylvania

Paradoxical Typecase Stephanie Weirich University of Pennsylvania What this talk is not about Dependently typed Haskell Equali?es between kinds (k1 ~

381 views • 21 slides
Cross Translation Unit Test Case Reduction Rka Kovcs / rekanikolett@gmail.com Etvs

Cross Translation Unit Test Case Reduction Rka Kovcs / rekanikolett@gmail.com Etvs

Cross Translation Unit Test Case Reduction Rka Kovcs / rekanikolett@gmail.com Etvs Lornd University / Ericsson Hungary Test Case Reduction magic big file with property of interest small file with the same (e.g. triggers crash)

438 views • 14 slides
Networking 101.101.101.101 The Internet The Internet is governed by a series of protocols

Networking 101.101.101.101 The Internet The Internet is governed by a series of protocols

Networking 101.101.101.101 The Internet The Internet is governed by a series of protocols that form the rules for how communications should happen The Internet is a network of networks. There is no centralized point. There are no

763 views • 34 slides
Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University of Michigan 2013 Network Security Fundamentals Module 6 Firewalls &amp; VPNs Topics Firewall Fundamentals Case study: Linux iptables

778 views • 46 slides
Quantitative Cyber-Security Colorado State University Yashwant K Malaiya CS559 Midterm Review

Quantitative Cyber-Security Colorado State University Yashwant K Malaiya CS559 Midterm Review

Quantitative Cyber-Security Colorado State University Yashwant K Malaiya CS559 Midterm Review CSU Cybersecurity Center Computer Science Dept 1 1 Midterm coming Tuesday Will use canvas. Will need proper laptop/pc with camera. Update: Both

789 views • 37 slides
Firewalls CS461/ECE422 Spring 2012 Reading Material Text

Firewalls CS461/ECE422 Spring 2012 Reading Material Text

Firewalls CS461/ECE422 Spring 2012 Reading Material Text chapter 9 Firewalls and Internet Security: Repelling the Wily Hacker, Cheswick, Bellovin,

501 views • 34 slides

More recommend