PF-Paketfilter

Sichere Netzwerke mit der PF-Firewall

Die PF-Firewall ist eine der leistungsfähigsten Open-Source Firewall-Systeme. Diese Firewall ist Bestandteil von OpenBSD, NetBSD und FreeBSD (inkl. kGNU/FreeBSD unter Debian) und seit Version 10.7 'Lion' auch in Apple MacOS X anzutreffen.

Dieses Training gibt eine Einführung in das Design von Netzwerken mit Firewall-Systemen anhand der Firewall 'pf'. Dabei werden auch fortgeschrittene Techniken wie redundante Firewall-Cluster und SSL-Load-Balancing mittels der PF-Firewall vermittelt.

Der Kurs behandelt den Einsatz der PF-Firewall in IPv4 und IPv6 Netzwerken.

Update 26.7.2017: Wir haben diese Schulung aus dem Programm genommen, alle hier aufgeführten Themen werden im Kurs OpenBSD behandelt. Auch in der FreeBSD Schulung wird PF behandelt.

Trainer und Dozenten

Der Trainer Carsten Strotmann arbeitet seit über 15 Jahren mit Linux/Unix und DNS in TCP/IP Netzen. Carsten Strotmann entwirft implementiert und betreibt seit 1997 Firewall-Systeme mit kommerzieller- und Open-Source Software auf Unix Systemen.

Voraussetzungen

Diese Schulung wendet sich an Systemadministratoren, die bereits Erfahrung mit Unix/Linux/BSD-Systemen und IP-Netzwerken (IPv4 oder IPv6) haben.

Fast alle unten aufgeführten Themen werden anhand von praktischen Beispielen behandelt, und jeder Teilnehmer kann auf seinem Notebook selbst mitarbeiten. Beachten Sie bitte, dass Sie beim komplexen Thema Sicherheit schon einige Übung im Umgang mit Unix/Linux/BSD brauchen, um die besprochenen Techniken innerhalb der Schulungszeit umsetzen zu können. Das notwendige Netzwerk-Wissen für die Teilnahme kann u.A. im Kurs

Entsprechende Betriebssystem-Kenntnisse können in den Kursen

erworben werden.

Inhalt

Die Geschichte der PF-Firewall

Übersicht Firewall Technologien

  • Packet Filter
  • Application Level Gateway
  • Stateful Packet Inspection
  • State-Table in Firewalls

Einsatzszenarien für Firewall Systeme

  • Perimeter Firewall
  • interne Firewall
  • Host-Firewall

PF-Firewall und Betriebssysteme

  • OpenBSD
  • NetBSD
  • FreeBSD
  • MacOS X

Grundlagen der PF-Firewall

  • PF-Firewall anschalten
  • ein einfaches Regelwerk für eine Host-Firewall
  • Firewall Regeln laden und löschen
  • PF-Log Informationen
  • Makros und Listen
  • Von der Kunst, verständliche Firewall-Regelwerke zu erstellen
  • Dokumentation der Firewall Regeln
  • Block Policy: 'drop' oder 'return'
  • Netzwerkpakete markieren: Tagging

IPv4 Filter

  • ICMPv4
  • FTP
  • Network Address Translation (NAT)
  • Routing Protokolle

IPv6 Filter

  • ICMPv6
  • Multicast

Dynamische Regelwerke

  • Firewall Regeln dynamisch anpassen
  • PF-Firewall 'tables' Datenstrukturen

Lastverteilung und Quality of Service

  • Lastverteilung für eingehende Pakete zu Servern
  • Denial of Service Angriffe abwehren
  • DNS Load-Balancing

Hochverfügbare PF-Firewalls

  • State-Table im Firewall-Cluster
  • das CARP-Protokol
  • Update eines Firewall-Clusters

Transparente Proxy

  • Spamfilter mit der PF-Firewall
  • transparent HTTP-Proxy
  • Anmeldung/Authentisierung an der Firewall

Überwachung einer PF-Firewall

  • Monitoring
  • Alarm bei Angriffen
  • Reporting
  • Abrechnung von Netzwerkverkehr (Accounting)

PF-Firewall Tricks

  • Filter basierend auf Betriebsystemen (OS-Fingerprinting)
  • Port-Knocking

Kurszeiten

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.

An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am von uns gestellten Notebook oft parallel zum Referenten mit.

Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.