19 ‐ Protecting Your Network

Thursday, May 4, 2017 1:48 PM

1. Threats
You're not paranoid if they're really out to get you. In this episode, Mike explains the myriad threats that 
array themselves against your network.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2511> 

Virus:

• Propagates: Makes copies of itself by some method
• Activates: It will activate and do something, usually bad, to the infected system
• Pre‐dates the internet

Network+ Page 1
Worm: a piece of malware that uses the internet (TCP/IP networks) to propagate. Is a virus but it uses 
the internet.

Today we just use the word Malware.

Signs of malware:
• Slowed down systems
• Unsolicited popups

You should have definition updates!

The other thing we worry about is people attacking our network. 

DOS Attack: one of the most common attacks you can do to an individual computer. Make your target 
so busy that it can't respond to anything, and in essence, take it down.

Target: web pages are usually one of the most common things we see here. Here's a targetted web 
server:

Network+ Page 2
Attacking computer is going to send ICMP malformed ping packets that the web server doesn't know 
what to do with/respond to it. When the attacking computer sends enough packets, the web server's 
buffer could overflow and may need to reboot the computer or lock up the server.

These are usually powerful computers designed to handle this amount of packets. 

But what if we had a bunch of computers sending malformed packets simultaneously?

When all of these devices are sending malformed ICMP packets to this one device it's going to be 
brought down. This is what we call DDoS Attack:

Network+ Page 3
This is extremely common today.

A lot of the malware we see out there today is installed on many computers, called zombie computers. 
Small programs that don't cause any trouble at all until the person controlling all these computers that 
are infected causes them to start attacking a particular target. That's probably the #1 malware issue we 
have today, DDoS.

Another issue is a Smurf Attack:

Kind of like DDoS but it will go ahead and send out a spoofed source address. So in this case we will take 
all of the computers and have the target's address as the source address for the problem. Then all of 
these devices try to respond back to the source and the source gets nailed.

Social Engineering

Network+ Page 4
 2. Social Engineering
In this episode, Mike explores social engineering attacks such as dumpster diving, shoulder surfing, and 
phishing.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2512> 

Dumpster diving is one of the oldest forms of social engineering that still works today! The one thing 
that stops dumpster diving cold is a shredder.

Network+ Page 5
Shoulder surfing

Network+ Page 6
Network+ Page 7
Phishing
- Example: you get an email looking like it is from Paypal, asking for you to click a link and type in 
your username and password. 
- Whale phishing: going after famous people
- Spear phishing: going after one particular person to get their info
- In general, phishing is coming out of zombified computers that are trying to find 1 or 2 idiots that 
will actually type in their username and password.

3. Access Control
In this episode, Mike discusses techniques for keeping unwanted users out of your network, focusing on 
effectively using firewalls.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2513> 

For most of us, our Gateway Router is also our firewall. 

Firewall is software that is designed to protect our system from the evils of the internet. 
- Stateless firewall: you pretty much just turn it on. They're designed to look at whatever packets 
are coming in and make decisions on it. For example, if it sees only 1 ICMP packet coming in it will 

Network+ Page 8
 probably ignore it, but if it sees many ICMP packets coming in that's going to tell it that something 
bad is happening. 

- Stateful firewall: looks at the state of every packet. It's looking at an IP address or a port. 
Something to block or something to allow.

This router has both stateless and stateful.

Network+ Page 9
Default stateless firewall that Cisco sells with their routers: you turn it on or off.

SOHO Stateless on Cisco routers: It works really well.
- DoS protection: if it sees too many ICMP packets coming in it will shut down acceptance of ICMP.
- Block WAN Request: if anybody initiates a conversation from outside the internet into our router 
it will block those.
- Multicast passthrough: if you want to video presentations you can turn that on.
- SIP application layer gateway: you have to enable that for using VoIP.
- Blocking Java, Cookies, ActiveX will make users scream at you so probably not good to block them.

Stateful firewalls

Network+ Page 10
Every router does this different but they all kinda do the same thing:

IP Based ACL: 
- Deny all services to ANY interface, and set it up so it is runnning 24/7:

Network+ Page 11
We've turned off anything coming into or out of the router. So then what you have to start doing 
is turning things back on.

Instead, people will disable certain ports.

He saved it as a service. Then he has to go back to IP Based ACL and "Add New Rule" > He can 
deny Steam for the whole network (LAN) or a range of computers. The idea is that he wants to 
stop people from playing Steam.

So he just setup a rule saying nobody can play Steam from 9‐5pm during the workweek.

Network+ Page 12
 That's a typical type of ACL entry we could put in.

This router separates them and uses Internet Access Policy.

Internet Access Policy:

Enable
He can block access to the internet for all kinds of different things… time of day, day of the week, 
forbidden domains he doesn't want people to go to, block by keyboard (doesn't work very well because 
there are certain words that are legitimate in many cases).

Can also allow or deny based on the MAC address of a PC, by IP address, or a range of IP addresses. 
Some even let you do this by computer name.

Network+ Page 13
There are going to be certain computers and services added to the ACL based on what they can and 
cannot do. It gives you control and understanding of what is going in and out of your computer.

Fire up Wireshark to see what's going in and out of your network, then use ACL to help filter what you 
want to go in or out of your network.

4. Testing Network Security

Learn to scan your network for potential weaknesses in this action‐packed episode.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2514> 

How do you know that your network is safe? You don't know. 

Is our network vulnerable?

Inspect systems for Open Ports. Not necessarily what you've intentially opened.

i.e. installing a piece of software that opens a port, or updating the firmware on a router that opens a 
port, or hitting a checkbox on a switch configuration screen that opens a port.

Network+ Page 14
Ports are being opened all the time and we don't know about it. So we need to be able to scan systems 
for open ports.

2 good vulnerability scanners:

1. Nessus

2. Nmap

Zenmap is a graphical user interface for nmap. 

Type in a target IP address:

Then go ahead and run a Scan:

Here it shows open ports on his router:

Port 80 and 443 (HTTP and HTTPS)
This is actually good ‐ he wants these to be open
Nmap just scans, it doesn't fix anything

Network+ Page 15
Most of these scanners can check if you have services on a particular system you don't want running, 
can check if there are other devices out there.

Scanning is good but you want to be able to know when bad guys are doing stuff. That's why we have 
intrusion detection.

Honey Pot: a computer that looks, acts, barks, smells, tastes like a server of some type. But it's not really 
a server, it is a fake server. It helps you figure out what bad guys are after and what they are doing.

Honey Net: is like a honey pot but it manifests as a complete network so there would be multiple 
computers.

Using honey pots can be pretty hairy. You'd have to go through a lot to make it look like a web server to 
a bad guy. There are some freeware tools that do this for you.

HoneyBOT is a freeware tool that allows you to make honey pots. For example, Mike made it look like a 
webserver and tried to get into it with another computer.

There are expensive honey pots out there that give you more info.

5. Mitigating Network Threats

In this episode, Mike examines the methods that an organization can use to protect its network from 

Network+ Page 16
both external and internal threats.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2515> 

There are 4 big areas:
1. Training and awareness
a. Not Opening phishing emails
b. Not Plugging in a rogue WAP
2. Patch Management
a. It's important to take advantage of router, firewall updates
b. You can buy 3rd party software that does this
c. For Windows it is usually just letting them install updates automatically
3. Policies and Procedures
a. Policies clearly define what people can and cannot do on their computers.
b. Procedures are what we use to enact a policy. i.e. if no one can go on ebay at the office, put 
a block on the website.
4. Incident Response
a. When bad things happen, what are you going to do about it?
b. It boils down to protecting your data.

6. Introduction to Firewalls
Mike shows us how to keep bad guys from getting into your network from the outside.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2516> 

Firewall: something that filters traffic based on specific criteria. We often think of filtering by IP address 
and ports, but it can do more than that.

Where firewalls live: at the edge of your network.

Here's a home network with 4 computers connected to a switch (yellow diamond) and the switch is 
connected to a router (red triangle) that is also a firewall. 

Network+ Page 17
We want to prevent naughties from coming into my network or going out of my network.

It's very common for routers to have built in firewall features. 

If you want to, though, you can add a firewall and a separate router. 

Network firewall protects the network:

Since it's usually a dedicated box we tend to call it a hardware firewall. It protects the network from 
anything coming in or out.

Network+ Page 18
Each computer can also have a firewall feature. It is a software firewall. It is also called a host firewall 
because its job is just to protect this one host from bad things coming in and out of that device.

Today we often see firewalls that are also VPN endpoints, run antimalware, be a proxy, etc. This is called 
Unified threat management (UTM).

Network+ Page 19
 7. Firewalls
Mike shows us techniques to use and configure firewalls.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2517> 

Firewall: something that filters traffic based on criteria.

External network firewall connected to a network (on the right):

It's either going to do stateless or stateful firewalling:

Stateless: looks at data coming in or going out of the network and is filtering that traffic primarily on IP 
address and port number. 

Network+ Page 20
You can go in and create an Access Control List and allow outgoing port 80. So people can get to 
google.com.
The problem we have is that the job can get messy. 
One of the first things you need to do when configuring a Router is create and ACL.
Let's take a look at an Access Control List (ACL):
This is an old Linksys WRT 54g router
This is not the standard firmware that comes with Linksys routers. It is called DD‐WRT…he loves it and 
does this all the time with his routers:

Go to Access Restrictions > Create an ACL

Network+ Page 21
Each individual control is a policy
A stack of policies is collectively an ACL

To stop people from playing Battlefield 1942 on his network:
1. Enable Access Policy
2. Policy Name: No42

3. Edit List of PCs: for the policy you can setup a list of PCs by MAC Address, IP address, or IP Range 
of the PCs.

Network+ Page 22
4. Allow internet access, Everyday

5. Check if there is already a preset for this setting ‐ there is!

Network+ Page 23
 6. You can also block by URL or keyword if you want

7. Voila! Now he has created 1 policy…so he has an ACL that contains 1 policy:

On this particular router you can make 9 more policies

An ACL in a stateless firewall is really just a bunch of rules that allows a dumb packet filter like our 
stateless firewall to do what it does. It is really just going to be looking at IP addresses and port numbers 
and filtering traffic based on that. Most modern firewalls today have a stateless firewall built into it.

Downside to Stateless Firewalls:
Let's say I have a packet coming in on port 8080. Based on my ACL in order to stop unsolicited port 
8080s I'm going to have to make a rule in my ACL. But what if the bad guy uses 8081, then 8082? It 
becomes a problem. We need something that is actually inspecting the connection between 2 devices. 
Something that looks at the state of the connection that's going on.

I can make a firewall that is aware of the state of the conversations going through it at all times. 

Network+ Page 24
Stateful firewalls are aware of the state of the conversations going through them.

Let's say a computer goes out on port 80 to google. Stateful firewalls create a state table and in that 
state table it writes down that this computer here is going out on port 80 to google. Then it is expecting 
an incoming packet from that server back. So it knows this is a good conversation.

Most good firewalls are BOTH stateless and stateful at the same time!

Context‐ and Application‐aware firewalls look at the actual data payload itself ("I don't care what port 

number that is, it's a bit torrent!") and it can filter it. This feature is known as Deep‐Packet Inspection. 
For the exam, just know "application aware" or "context aware" firewalls. Layer 7 of the OSI.

Network+ Page 25
 8. DMZ
In the episode, Mike reminds us that there is more than one way to do a DMZ.

From <https://hub.totalsem.com/content/2257#path=2257,2510,2518> 

Purple block is my internal network (lots of computers, printers, scanners).
Red block is gateway router and a firewall. It goes out and is connected to the internet.

He wants to setup:
• A Minecraft server
• A web server

He wants to run all this his self.
He needs to expose his Minecraft serer and his web server to the public internet but at the same time 
protect his internal network.

Any time you have some number of computers that are exposed to the public internet but are separate 
from your private network, we call that a De‐Militarized Zone (DMZ).

Can set it up like this (one example):

Network+ Page 26
Red triangle is a stateful firewall. 
Any unsolicited traffic from the internet is blocked from my private network, but it will all be redirected 
up to the top part of the network (firewall will monitor for hacking situations and things like that, 
though). 
This is usually a separate network ID. 
Since the red triangle is a router and a firewall we can setup an ACL to allow it to do exactly that. 

Another way to do this (example):

2 firewalls (red triangles) with a DMZ in the middle. 
To the left is exposed to the internet.
Yellow DMZ area has its own Network ID.
Separate Network ID for the right part of the network.
Everything coming from my internal network has to go through both routers/firewalls.
Firewall on the left is completely open to the real internet. Called a bastion host.

Network+ Page 27
If you have a SOHO router sometimes they have a DMZ setting you can turn on. It's an awful DMZ 
because you pick 1 IP address and anything that comes unsolicited from the internet goes straight to 
that device. So technically it is a DMZ but probably one you wouldn't want to use.

You can add another device in your DMZ and make it not as secure, a honeypot.

Honeynet is a whole network that is easier to get to than your main network. It is designed to monitor 
and capture bad guys.

Network+ Page 28
Network+ Page 29