network firewalls
play

Network Firewalls Don Porter CSE/ISE 311: Systems - PowerPoint PPT Presentation

Apr 07, 2024 •257 likes •469 views

CSE/ISE 311: Systems Administra5on Network Firewalls Don Porter CSE/ISE 311: Systems Administra5on Firewalls: An Essen2al Tool Previous Lectures: Every service

  1. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Network ¡Firewalls ¡ Don ¡Porter ¡

  2. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Firewalls: ¡An ¡Essen2al ¡Tool ¡ • Previous ¡Lectures: ¡Every ¡service ¡on ¡a ¡system ¡visible ¡to ¡ the ¡outside ¡world ¡is ¡a ¡poten2al ¡a>ack ¡vector ¡ • Observa2ons: ¡ ¡ – It ¡is ¡really ¡hard ¡to ¡police ¡every ¡single ¡system ¡for ¡insecure ¡ soDware ¡(although ¡you ¡should ¡do ¡this) ¡ – Some ¡network ¡services ¡are ¡intended ¡only ¡for ¡use ¡inside ¡your ¡ network ¡ • Idea: ¡Filter ¡incoming ¡network ¡connec2ons ¡

  3. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ 80 ¡ Da’ ¡ Public ¡web ¡server ¡ Internet ¡ 3306 ¡ Router ¡ Switch ¡ Super-­‑Secret ¡ Internal ¡Database ¡Server ¡ How ¡to ¡let ¡users ¡access ¡database, ¡but ¡not ¡bad ¡guy? ¡

  4. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ 80 ¡ Da’ ¡ Public ¡web ¡server ¡ Internet ¡ 3306 ¡ Router ¡ Switch ¡ Super-­‑Secret ¡ Incoming : ¡ Internal ¡Database ¡Server ¡ Allow: ¡Web ¡server, ¡port ¡80 ¡ Else ¡Deny ¡ ¡ Outgoing: ¡ Allow ¡all ¡ Direct ¡outside ¡connec2ons ¡to ¡database ¡blocked ¡

  5. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡Recap ¡ • A ¡firewall ¡(aka ¡packet ¡filter) ¡looks ¡at ¡packet ¡headers ¡ and ¡filters ¡them ¡based ¡on ¡a>ributes ¡such ¡as ¡IP ¡ address ¡and ¡port ¡number ¡ • Can ¡filter ¡incoming ¡and ¡outgoing ¡traffic ¡ • Can ¡log ¡dodgy ¡packets ¡for ¡further ¡inspec2on ¡

  6. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Types ¡of ¡Firewalls ¡ • Most ¡personal ¡computers ¡include ¡firewall ¡soDware ¡ – Linux: ¡iptables ¡ – Windows: ¡part ¡of ¡MicrosoD ¡Security ¡Essen2als ¡ • For ¡enterprise ¡deployments, ¡you ¡can ¡buy ¡stand-­‑ alone ¡firewall ¡boxes ¡from ¡companies ¡like ¡Cisco ¡ • For ¡smaller ¡deployments, ¡a ¡Linux ¡system ¡can ¡also ¡act ¡ as ¡a ¡firewall, ¡using ¡same ¡soDware ¡ – In ¡fact, ¡many ¡personal ¡router/firewall/access ¡point ¡boxes ¡ run ¡a ¡lightweight ¡Linux ¡build ¡+ ¡iptables ¡

  7. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ More ¡Layered ¡Security ¡ • Some ¡servers ¡are ¡intended ¡to ¡be ¡publicly ¡accessible ¡ (e.g., ¡the ¡web ¡server) ¡ • Others ¡are ¡for ¡internal-­‑use ¡only ¡and ¡contain ¡sensi2ve ¡ informa2on ¡(e.g., ¡the ¡database ¡server) ¡ • What ¡happens ¡if ¡the ¡web ¡server ¡is ¡compromised? ¡ – Web ¡server ¡is ¡inside ¡the ¡firewall ¡ – Can ¡access ¡the ¡sensi2ve ¡database ¡server ¡ – A>acker ¡can ¡use ¡web ¡server ¡to ¡a>ack ¡database ¡

  8. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Refinement: ¡DMZ ¡ • Idea: ¡Put ¡a ¡second ¡firewall ¡between ¡public ¡and ¡ private ¡services ¡ • We ¡call ¡the ¡public ¡part ¡of ¡the ¡network ¡the ¡ Demilitarized ¡Zone ¡(DMZ) ¡

  9. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Example ¡ Deny ¡All ¡in ¡ DMZ ¡ Allow ¡80 ¡in ¡ Da’ ¡ Router ¡ Switch ¡ Switch ¡ Internet ¡ 3306 ¡ 80 ¡ Public ¡web ¡server ¡ Super-­‑Secret ¡ Internal ¡Database ¡Server ¡ DMZ ¡

  10. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ DMZ ¡Recap ¡ • Best ¡prac2ce: ¡2 ¡firewalls ¡ – One ¡between ¡you ¡and ¡internet ¡ – One ¡between ¡public ¡and ¡private ¡servers ¡ • Limits ¡damage ¡if ¡your ¡web ¡server ¡is ¡compromised ¡

  11. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Incoming ¡Traffic ¡Caveats ¡ • As ¡presented, ¡the ¡rules ¡are ¡pre>y ¡simple: ¡ ¡ – E.g., ¡block ¡everything ¡except ¡traffic ¡to ¡web ¡server ¡ • But ¡what ¡about ¡responses ¡to ¡external ¡traffic? ¡ – E.g., ¡h>p ¡GET ¡of ¡www.google.com? ¡ • Firewalls ¡generally ¡track ¡some ¡connec2on-­‑level ¡ state, ¡allow ¡incoming ¡responses ¡to ¡requests ¡from ¡ inside ¡the ¡firewall ¡ – Some2mes ¡called ¡stateful ¡inspec2on ¡ – States ¡of ¡note: ¡Established ¡and ¡Related ¡

  12. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Firewall ¡Overview ¡Summary ¡ • Placing ¡packet ¡filters ¡near ¡your ¡router ¡can ¡protect ¡ your ¡network ¡ – Block ¡access ¡to ¡private ¡systems ¡ – Mi2gate ¡risk ¡of ¡user ¡running ¡a ¡vulnerable ¡service ¡without ¡ your ¡knowledge ¡ • Mul2ple ¡firewalls ¡can ¡be ¡useful ¡ – DMZ ¡ – Host-­‑level ¡firewall ¡ • Only ¡one ¡piece ¡of ¡the ¡puzzle! ¡ – Disabling ¡vulnerable ¡services, ¡security ¡patches, ¡etc., ¡s2ll ¡ ma>er ¡

  13. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ iptables ¡ ¡ • Let’s ¡walk ¡through ¡how ¡you ¡might ¡configure ¡iptables ¡ on ¡a ¡Linux ¡machine ¡

  14. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡abstrac2ons ¡ • Rules : ¡If ¡packet ¡matches ¡X, ¡take ¡ac2on ¡Y ¡ • Examples: ¡ -p tcp --dport 80 –j ACCEPT • (If ¡the ¡packet ¡is ¡a ¡TCP ¡packet ¡des2ned ¡for ¡port ¡80, ¡allow) ¡ -s 87.84.250.101 –j DROP • (If ¡the ¡packet ¡comes ¡from ¡IP ¡address ¡87.84.250.101, ¡silently ¡drop) ¡ -p icmp --limit 2/sec –j ACCEPT • (Limit ¡incoming ¡pings ¡to ¡2 ¡per ¡second) ¡

  15. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡Abstrac2ons ¡ • Chains : ¡An ¡ordered ¡list ¡of ¡rules ¡ – Evalua2on ¡stops ¡on ¡a ¡match ¡ • Generally ¡has ¡the ¡structure: ¡ If ¡A, ¡Accept ¡ If ¡B, ¡Accept ¡ … ¡(more ¡accept ¡rules) ¡ Drop ¡everything ¡else ¡

  16. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Key ¡Abstrac2ons ¡ • Tables: ¡Collec2on ¡of ¡chains ¡ – Each ¡chain ¡applied ¡to ¡different ¡stages ¡of ¡packet ¡processing ¡ • Default ¡table: ¡“filter”, ¡has ¡3 ¡chains: ¡ – INPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡coming ¡into ¡local ¡ machine ¡ – OUTPUT ¡– ¡chain ¡of ¡rules ¡for ¡packets ¡leaving ¡the ¡local ¡ machine ¡(and ¡that ¡originated ¡on ¡the ¡machine) ¡ – FORWARD ¡– ¡chain ¡of ¡rules ¡for ¡routed ¡packets ¡ ¡ • I.e., ¡packets ¡that ¡enter ¡one ¡device ¡and ¡leave ¡on ¡another ¡

  17. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Detailed ¡Example ¡(command ¡line) ¡ iptables -F iptables -P INPUT DROP iptables –P FORWARD DROP iptables -P OUTPUT ACCEPT iptables –A INPUT –-state RELATED,ESTABLISHED -j ACCEPT iptables –A INPUT –p icmp --limit 2/sec –j ACCEPT iptables –A INPUT –i lo –j ACCEPT Iptables –p tcp --dport 22 –j ACCEPT

  18. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ How ¡to ¡automa2cally ¡reload? ¡ • You ¡can ¡just ¡type ¡ sudo iptables -L to ¡see ¡ current ¡state ¡ • You ¡can ¡dump ¡the ¡current ¡iptables ¡state ¡using: ¡ sudo iptables-save > saved-rules ¡ • You ¡can ¡restore ¡the ¡same ¡rules ¡again ¡using: ¡ sudo iptables-restore < saved-rules ¡ ¡

  19. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ As ¡part ¡of ¡boot… ¡ • You ¡can ¡generally ¡configure ¡rules ¡when ¡a ¡machine ¡is ¡ brought ¡up ¡in ¡/etc/network/interfaces ¡ – This ¡is ¡the ¡standard ¡network ¡configura2on ¡file ¡ – Direc2ve: ¡pre-­‑up ¡ • Example: ¡ auto eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables.up.rules

  20. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Summary ¡ • Firewalls ¡can ¡harden ¡your ¡network ¡ – But ¡are ¡not ¡a ¡panacea ¡ • In ¡fact, ¡use ¡2 ¡firewalls, ¡and ¡have ¡a ¡DMZ ¡for ¡public ¡ systems ¡ • Iptables ¡is ¡good ¡to ¡have ¡in ¡your ¡toolbox ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls?

Firewalls Summary Brief History of Firewalls What is a Firewall? Why Firewalls? Network Address Translation Types of Firewalls Linux/Windows Firewalls pfSense Blue Team Activity Brief History Firewall

348 views • 30 slides
Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network

Cryptography and network security Firewalls slide 1 Firewalls Idea: separate local network from the Internet Trusted hosts and networks Firewall Router Intranet Demilitarized Zone: DMZ publicly accessible servers and networks

746 views • 31 slides
FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls

FIRE|WALLS Ohad Katz Overview What are Firewalls Why we need them Types of Firewalls (Categories) Implementation Best practices What are Firewalls? Internet Firewall Client/Host Network Network Security

585 views • 39 slides
Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and

Firewalls Network Security: Firewalls, A system or combination of systems VPNs, and Honeypots that enforces a boundary between two CS 239 or more networks - NCSA Firewall Functional Summary Computer Security Usually, a

271 views • 10 slides
Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however

Chapter 9 Firewalls The Need For Firewalls Internet connectivity is essential however it creates a threat Effective means of protecting LANs Inserted between the premises network and the Internet to establish a controlled

699 views • 34 slides
Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks

Firewalls Why do people want a firewall? [...] a firewalls purpose is to keep the jerks out of your network while still letting you get your job done. [Limiting] what kinds of connectivity is allowed between different

538 views • 30 slides
Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple firewall using Netfilter Iptables firewall in Linux Stateful Firewall Application Firewall Evading Firewalls 2 Firewalls

811 views • 55 slides
Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software

Firewalls jnlin Computer Center, CS, NCTU Firewalls q Firewall hardware/software choke point between secured and unsecured network filter incoming and outgoing traffic prevent communications which are forbidden by the

1.06k views • 57 slides
Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and

Firewalls, IPsec and Linux by Harald Welte &lt;laforge@netfilter.org&gt; Firewalls, IPsec and Linux Contents Introduction Highly Scalable Linux Network Stack Netfilter Hooks Packet selection based on IP Tables The Connection Tracking

444 views • 9 slides
Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement

CSE343/443 Lehigh University Fall 2015 Firewalls, IDS and Social Network Presenter: Yinzhi Cao Lehigh University Acknowledgement http://www.cs.northwestern.edu/~ychen/ classes/mitp-458/firewalls.ppt http://web.cse.ohio-state.edu/~xuan/

1.29k views • 81 slides
CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Firewalls Professor Kevin Butler Fall 2015 Southeastern Security for Enterprise and Infrastructure (SENSEI) Center Firewalls A firewall ... is a physical barrier inside a building or vehicle,

555 views • 23 slides
Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external

Firewalls What is a firewall? A machine to protect a network from malicious external attacks Typically a machine that sits between a LAN/WAN and the Internet Running special software to regulate network traffic Lecture 9 Page 1

602 views • 29 slides
Network Firewalls the outside world is a poten7al aCack

Network Firewalls the outside world is a poten7al aCack

4/29/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on Firewalls: An Essen7al Tool Previous Lectures: Every service on a system visible

400 views • 4 slides
WANWide Area Network. The internet at large, the outside. LANLocal Area

WANWide Area Network. The internet at large, the outside. LANLocal Area

Typical Network Topology SOHO Firewalls WAN 2006-11-25 (Internet) What is it: Networks and Firewalls / Routers firewall/ DMZ router Typical Network Topology LAN LAN LAN WANWide Area Network. The internet at large, the

624 views • 6 slides
Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general):

IN3210 Network Security Firewalls Packet Filtering Recapitulation: IPv4 Task of IP (Network layer in general): Packet forwarding incl. routing Properties: Connection-less Adressing: source + destination IP address No

725 views • 47 slides
Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman,

Network Control: Firewalls CS 161: Computer Security Prof. Vern Paxson TAs: Jethro Beekman, Mobin Javed, Antonio Lupher, Paul Pearce &amp; Matthias Vallentin http://inst.eecs.berkeley.edu/~cs161/ February 14, 2013 Game Plan Network

734 views • 38 slides
A Cloud Infrastructure for Scaling Innovation Across Autonomous Teams henning.jacobs@zalando.de /

A Cloud Infrastructure for Scaling Innovation Across Autonomous Teams henning.jacobs@zalando.de /

A Cloud Infrastructure for Scaling Innovation Across Autonomous Teams henning.jacobs@zalando.de / @try_except_ GOTO Amsterdam 2015 AGENDA ABOUT US HISTORY RADICAL AGILITY ARCHITECTURE INFRASTRUCTURE ABOUT ME Henning Jacobs STUPS

942 views • 58 slides
Routing, reminder Forward IP packets between networks according to destination Practical

Routing, reminder Forward IP packets between networks according to destination Practical

Routing, reminder Forward IP packets between networks according to destination Practical Networking 2 Part of the IP implementation Can be done statically or dynamically Based on Elisheva Alexander (eli7@cs.huji.ac.il) tirgul

336 views • 6 slides
Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements

Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements

Outline Firewalls and NAT boxes CSci 5271 Introduction to Computer Security Announcements intermission Day 21: Firewalls, NATs, and IDSes Stephen McCamant Intrusion detection systems University of Minnesota, Computer Science &amp;

260 views • 5 slides
1 Paul Schopis Executive Director &amp; Chief Technology Officer, OARnet Panel Discussion: CC*

1 Paul Schopis Executive Director &amp; Chief Technology Officer, OARnet Panel Discussion: CC*

1 Paul Schopis Executive Director &amp; Chief Technology Officer, OARnet Panel Discussion: CC* Project Sustainability 2018 NSF Campus Cyberinfrastructure and Cybersecurity Innovation for Cyberinfrastructure PI Workshop NSF Project Title:

464 views • 8 slides
De Deploying a RIPE E Atl tlas s Prob obe (T (The Hard Way) Chris Russell UKNOF 41

De Deploying a RIPE E Atl tlas s Prob obe (T (The Hard Way) Chris Russell UKNOF 41

De Deploying a RIPE E Atl tlas s Prob obe (T (The Hard Way) Chris Russell UKNOF 41 Edinburgh, September 2018 Pulsant, Newcastle Me, Myself, I and the company I worked for @kit_chrisr Senior Networks Engineer, Pulsant (Onyx, Knowledge

461 views • 30 slides
RES212 Lab #2 Netfilter/iptables Firewall The goal of this lab is to let you become acquainted

RES212 Lab #2 Netfilter/iptables Firewall The goal of this lab is to let you become acquainted

https://res212.telecom-paristech.fr TP02v1 2018/05/31 RES212 Lab #2 Netfilter/iptables Firewall The goal of this lab is to let you become acquainted with the design, configuration and testing of firewalls. Given the limited amount of time,

736 views • 14 slides
Continuous-Discrete Filtering using the Zakai Equation: Smooth Likelihood Surface Hermann Singer

Continuous-Discrete Filtering using the Zakai Equation: Smooth Likelihood Surface Hermann Singer

Continuous-Discrete Filtering using the Zakai Equation: Smooth Likelihood Surface Hermann Singer Department of Economics FernUniversitt in Hagen Statistische Woche Trier September 2019 October 16, 2019 1/21 Continuous Time State Space

512 views • 23 slides
Visualizing Network Security Policy with NP-View CREDC Presentation - Friday September 30, 2016 -

Visualizing Network Security Policy with NP-View CREDC Presentation - Friday September 30, 2016 -

Visualizing Network Security Policy with NP-View CREDC Presentation - Friday September 30, 2016 - Robin Berthier (rgb@illinois.edu) History APT NetAPT NP-View PhD thesis project by Sankalp Singh, started in 2006 Automatic Verification

491 views • 16 slides

More recommend