Sichere Netzwerke mit der PF-Firewall
Die PF-Firewall ist eine der leistungsfähigsten Open-Source Firewall-Systeme. Diese Firewall ist Bestandteil von OpenBSD, NetBSD und FreeBSD (inkl. kGNU/FreeBSD unter Debian) und seit Version 10.7 'Lion' auch in Apple MacOS X anzutreffen.
Dieses Training gibt eine Einführung in das Design von Netzwerken mit Firewall-Systemen anhand der Firewall 'pf'. Dabei werden auch fortgeschrittene Techniken wie redundante Firewall-Cluster und SSL-Load-Balancing mittels der PF-Firewall vermittelt.
Der Kurs behandelt den Einsatz der PF-Firewall in IPv4 und IPv6 Netzwerken.
Update 26.7.2017: Wir haben diese Schulung aus dem Programm genommen, alle hier aufgeführten Themen werden im Kurs OpenBSD behandelt. Auch in der FreeBSD Schulung wird PF behandelt.
Trainer und Dozenten
Der Trainer Carsten Strotmann arbeitet seit über 15 Jahren mit Linux/Unix und DNS in TCP/IP Netzen. Carsten Strotmann entwirft implementiert und betreibt seit 1997 Firewall-Systeme mit kommerzieller- und Open-Source Software auf Unix Systemen.
Voraussetzungen
Diese Schulung wendet sich an Systemadministratoren, die bereits Erfahrung mit Unix/Linux/BSD-Systemen und IP-Netzwerken (IPv4 oder IPv6) haben.
Fast alle unten aufgeführten Themen werden anhand von praktischen Beispielen behandelt, und jeder Teilnehmer kann auf seinem Notebook selbst mitarbeiten. Beachten Sie bitte, dass Sie beim komplexen Thema Sicherheit schon einige Übung im Umgang mit Unix/Linux/BSD brauchen, um die besprochenen Techniken innerhalb der Schulungszeit umsetzen zu können. Das notwendige Netzwerk-Wissen für die Teilnahme kann u.A. im Kurs
- TCP/IP erworben werden.
Entsprechende Betriebssystem-Kenntnisse können in den Kursen
erworben werden.Inhalt
Die Geschichte der PF-Firewall
Übersicht Firewall Technologien
- Packet Filter
- Application Level Gateway
- Stateful Packet Inspection
- State-Table in Firewalls
Einsatzszenarien für Firewall Systeme
- Perimeter Firewall
- interne Firewall
- Host-Firewall
PF-Firewall und Betriebssysteme
- OpenBSD
- NetBSD
- FreeBSD
- MacOS X
Grundlagen der PF-Firewall
- PF-Firewall anschalten
- ein einfaches Regelwerk für eine Host-Firewall
- Firewall Regeln laden und löschen
- PF-Log Informationen
- Makros und Listen
- Von der Kunst, verständliche Firewall-Regelwerke zu erstellen
- Dokumentation der Firewall Regeln
- Block Policy: 'drop' oder 'return'
- Netzwerkpakete markieren: Tagging
IPv4 Filter
- ICMPv4
- FTP
- Network Address Translation (NAT)
- Routing Protokolle
IPv6 Filter
- ICMPv6
- Multicast
Dynamische Regelwerke
- Firewall Regeln dynamisch anpassen
- PF-Firewall 'tables' Datenstrukturen
Lastverteilung und Quality of Service
- Lastverteilung für eingehende Pakete zu Servern
- Denial of Service Angriffe abwehren
- DNS Load-Balancing
Hochverfügbare PF-Firewalls
- State-Table im Firewall-Cluster
- das CARP-Protokol
- Update eines Firewall-Clusters
Transparente Proxy
- Spamfilter mit der PF-Firewall
- transparent HTTP-Proxy
- Anmeldung/Authentisierung an der Firewall
Überwachung einer PF-Firewall
- Monitoring
- Alarm bei Angriffen
- Reporting
- Abrechnung von Netzwerkverkehr (Accounting)
PF-Firewall Tricks
- Filter basierend auf Betriebsystemen (OS-Fingerprinting)
- Port-Knocking
- Packet Filter
- Application Level Gateway
- Stateful Packet Inspection
- State-Table in Firewalls
Einsatzszenarien für Firewall Systeme
- Perimeter Firewall
- interne Firewall
- Host-Firewall
PF-Firewall und Betriebssysteme
- OpenBSD
- NetBSD
- FreeBSD
- MacOS X
Grundlagen der PF-Firewall
- PF-Firewall anschalten
- ein einfaches Regelwerk für eine Host-Firewall
- Firewall Regeln laden und löschen
- PF-Log Informationen
- Makros und Listen
- Von der Kunst, verständliche Firewall-Regelwerke zu erstellen
- Dokumentation der Firewall Regeln
- Block Policy: 'drop' oder 'return'
- Netzwerkpakete markieren: Tagging
IPv4 Filter
- ICMPv4
- FTP
- Network Address Translation (NAT)
- Routing Protokolle
IPv6 Filter
- ICMPv6
- Multicast
Dynamische Regelwerke
- Firewall Regeln dynamisch anpassen
- PF-Firewall 'tables' Datenstrukturen
Lastverteilung und Quality of Service
- Lastverteilung für eingehende Pakete zu Servern
- Denial of Service Angriffe abwehren
- DNS Load-Balancing
Hochverfügbare PF-Firewalls
- State-Table im Firewall-Cluster
- das CARP-Protokol
- Update eines Firewall-Clusters
Transparente Proxy
- Spamfilter mit der PF-Firewall
- transparent HTTP-Proxy
- Anmeldung/Authentisierung an der Firewall
Überwachung einer PF-Firewall
- Monitoring
- Alarm bei Angriffen
- Reporting
- Abrechnung von Netzwerkverkehr (Accounting)
PF-Firewall Tricks
- Filter basierend auf Betriebsystemen (OS-Fingerprinting)
- Port-Knocking
- OpenBSD
- NetBSD
- FreeBSD
- MacOS X
Grundlagen der PF-Firewall
- PF-Firewall anschalten
- ein einfaches Regelwerk für eine Host-Firewall
- Firewall Regeln laden und löschen
- PF-Log Informationen
- Makros und Listen
- Von der Kunst, verständliche Firewall-Regelwerke zu erstellen
- Dokumentation der Firewall Regeln
- Block Policy: 'drop' oder 'return'
- Netzwerkpakete markieren: Tagging
IPv4 Filter
- ICMPv4
- FTP
- Network Address Translation (NAT)
- Routing Protokolle
IPv6 Filter
- ICMPv6
- Multicast
Dynamische Regelwerke
- Firewall Regeln dynamisch anpassen
- PF-Firewall 'tables' Datenstrukturen
Lastverteilung und Quality of Service
- Lastverteilung für eingehende Pakete zu Servern
- Denial of Service Angriffe abwehren
- DNS Load-Balancing
Hochverfügbare PF-Firewalls
- State-Table im Firewall-Cluster
- das CARP-Protokol
- Update eines Firewall-Clusters
Transparente Proxy
- Spamfilter mit der PF-Firewall
- transparent HTTP-Proxy
- Anmeldung/Authentisierung an der Firewall
Überwachung einer PF-Firewall
- Monitoring
- Alarm bei Angriffen
- Reporting
- Abrechnung von Netzwerkverkehr (Accounting)
PF-Firewall Tricks
- Filter basierend auf Betriebsystemen (OS-Fingerprinting)
- Port-Knocking
- ICMPv4
- FTP
- Network Address Translation (NAT)
- Routing Protokolle
IPv6 Filter
- ICMPv6
- Multicast
Dynamische Regelwerke
- Firewall Regeln dynamisch anpassen
- PF-Firewall 'tables' Datenstrukturen
Lastverteilung und Quality of Service
- Lastverteilung für eingehende Pakete zu Servern
- Denial of Service Angriffe abwehren
- DNS Load-Balancing
Hochverfügbare PF-Firewalls
- State-Table im Firewall-Cluster
- das CARP-Protokol
- Update eines Firewall-Clusters
Transparente Proxy
- Spamfilter mit der PF-Firewall
- transparent HTTP-Proxy
- Anmeldung/Authentisierung an der Firewall
Überwachung einer PF-Firewall
- Monitoring
- Alarm bei Angriffen
- Reporting
- Abrechnung von Netzwerkverkehr (Accounting)
PF-Firewall Tricks
- Filter basierend auf Betriebsystemen (OS-Fingerprinting)
- Port-Knocking
- Firewall Regeln dynamisch anpassen
- PF-Firewall 'tables' Datenstrukturen
Lastverteilung und Quality of Service
- Lastverteilung für eingehende Pakete zu Servern
- Denial of Service Angriffe abwehren
- DNS Load-Balancing
Hochverfügbare PF-Firewalls
- State-Table im Firewall-Cluster
- das CARP-Protokol
- Update eines Firewall-Clusters
Transparente Proxy
- Spamfilter mit der PF-Firewall
- transparent HTTP-Proxy
- Anmeldung/Authentisierung an der Firewall
Überwachung einer PF-Firewall
- Monitoring
- Alarm bei Angriffen
- Reporting
- Abrechnung von Netzwerkverkehr (Accounting)
PF-Firewall Tricks
- Filter basierend auf Betriebsystemen (OS-Fingerprinting)
- Port-Knocking
- State-Table im Firewall-Cluster
- das CARP-Protokol
- Update eines Firewall-Clusters
Transparente Proxy
- Spamfilter mit der PF-Firewall
- transparent HTTP-Proxy
- Anmeldung/Authentisierung an der Firewall
Überwachung einer PF-Firewall
- Monitoring
- Alarm bei Angriffen
- Reporting
- Abrechnung von Netzwerkverkehr (Accounting)
PF-Firewall Tricks
- Filter basierend auf Betriebsystemen (OS-Fingerprinting)
- Port-Knocking
- Monitoring
- Alarm bei Angriffen
- Reporting
- Abrechnung von Netzwerkverkehr (Accounting)
PF-Firewall Tricks
- Filter basierend auf Betriebsystemen (OS-Fingerprinting)
- Port-Knocking
Kurszeiten
Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am von uns gestellten Notebook oft parallel zum Referenten mit.
Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.
Termine und Anmeldung
- Es steht noch kein Termin für diesen Kurs fest.