Skip to main content

[Juniper SRX Firewall] How to Mitigate Petya Ransomware Attack, A Step By Step Guide

Just make a noted, banyak orang membicarakan tentang petya ransomware attack, dan saya kepikirian untuk menulis di blog ini. Sebetulnya tulisan terkait mitigasi penyebaran petya ransomware oleh juniper network sudah di posting di forum juniper, anda bisa baca disini, saya perlu sampaikan juniper cukup cepet merespon terkait attack ini yaitu dengan mengeluarkan update signature IPS, Saya tidak perlu menjelaskan lagi apa yang sudah tertulis di forum juniper, yang perlu saya tulis disini adalah bagaimana detail implementasi, jika anda merasa baru untuk firewall juniper, atau baru dalam hal menangani IPS juniper. Jika anda adalah seorang IT, anda perlu tahu juga bagaiamana ransomware menyebar, ada baiknya anda juga membaca artikel dari microsoft, guna mitigasi di sisi client nya sendiri., silahkan cek disini artikelnya. Dan berikut step by step mitigasi menggunakan firewall juniper SRX:

Step 1: Firewall anda harus terpasang IPS

Sebagai engineer, jika firewall anda tidak memiliki IPS, maka anda hanya bisa ‘meratapi’ kondisi yang terjadi, no, it just a joke, haha, Anda bisa mengkontak juniper partner di lokasi anda untuk membantu jika anda ingin membeli license, jika tidak anda bisa mencoba dengan trial license dlu hehe.. ohy anda masih belum tau cara install license IPS, anda bisa baca dokumentasi juniper disini.

Step 2: Update Signature Database IPS

Update signature database IPS juniper, saya bagi dalam 3 langkah/cara:

  1. Online/automatic update, syarat cara yang ini adalah firewall anda harus terkoneksi langsung dengan internet, jika tidak anda gak bisa menggunakan step ini, untuk detail step nya anda bisa membaca petunjuknya disini
  2. Offline update, ini kita download package terbaru dengan lengkap dlu, lalu nanti kita upload ke local disk juniper firewall. Cara yang ini butuh extra sabar karena lumayan banyak yang harus anda download hehe, step nya bisa anda cek disini
  3. Offline update mengunakan Junos Space Security Director, bagi saya ini adalah cara yang lebih praktis jika dibandingkan dengan cara yang kedua, anda cukup download signature database nya latest_db_ips, kemudian cara upload file nya anda bisa lihat artike ini. Ohy saat anda update signature via junos space, usage cpu firewall anda akan mengalami kenaikan, tapi hal ini wajar terjadi, karena sedang progress dalam update ips.

Step 3: Verifikasi, Cek status Database signature

Anda sudah melakukan update signature baik online atau offlince, maka anda perlu memastikan signature nya sudah terupdate, anda bisa cek dengan show security idp security-package-version

 

Step 4:  Create Rule-based IPS policy.

Terkait mitigasi petya ransomware attack ini, anda bisa menggunakan petunjuk dari artikel yang di tulis oleh juniper tadi-detail attack apa saja yang harus anda enable.

Maka untuk rule ips nya seperti berikut ini:

Step 5: Apply Rule IPS pada security Policy.

Terapkan rule ips yang anda buat di step 4 ke dalam security policy, karena rule ips anda tidak akan bekerja klo blom  anda masukkan ke security policy, command tambahanya adalah  permit application-services idp, detail nya seperti berikut:

Step 6: Monitoring

Anda bisa monitor dengan menggunakan junos space security director, atau anda lakukan via command line, dengan command line dibawah ini yang mungkin bisa anda monitor.

atau jika anda ingin memonitor log nya via cli, anda bisa setup dlu syslog nya dengan menambahkan config berikut:

Nanti pada file IPS_log, hanya log RT_IDP dan RT_SCREEN yang ke-grep pada file log tersebut. cukup membantu ya, hehe, Untuk monitor menggukan junos space security director, anda butuh log collecter untuk menyimpan log ips nya. Jika tidak, anda tidak bisa memonitor ips via junos space. Berikut ini adalah contoh capture live threat nya.

Cukup sekian ya, jika anda merasa masih kurang jelas, anda bisa meninggalkan komentar dibwah, 🙂

Good luck!

Trainer, Nework & Security Engineer

Migrasi vm dari xenserver 6.5 ke openstack

Openstack adalah platform cloud operating sistem yang sangat poluler untuk saat ini, bahkan cloud provider yang semula mengunakan platform vmware, xen cintrix, on App dan  yang lainya sudah mulai mengimplementasikan openstack pada platform cloudnya. Tentu ini disebabkan selain  openstack itu free dan open source, karena yang support openstack hampir semua vendor networking dan virtualisasi.

Okee, masuk ke inti pembahasan yaitu migrasi vm dari xenserver 6.5 ke openstack. jadi ceritanya gini broooo

Read More

Designing Network Palo Alto Firewall : Layer 3 Deployment

Pada kesempatan kali ini mari kita bahas bagaimana palo alto di design sebagai L3 mode. Dengan L3 mode maka palo alto, memiliki fungsi routing baik static ataupun dynmic routing (OSPF atau BGP), serta fitur NAT. IP addres perlu di seting setiap interface dan virtual router perlu di assign untuk me-route trafik pada pan firewall, as info default virtual router pada palo alto juga sudah ada. namun jika anda ingin buat virtual router sendiri tidak menjadi masalah. Oke mari kita lihat design berikut ini:

Read More

Trainer, Nework & Security Engineer

Designing Network Palo Alto Firewall : Virtual Wire Deployment

Hello…., this is the first post about the palo alto firewall, my other post in this blog are about juniper srx firewall. So the questions are..where do we start with palo alto? which scenario that you would to implement in your network, what feature you want to get? how you can design palo alto firewall in your existing network without ‘change’ the design? or you want to design in new network? that all your questions, right? 🙂

cukup ya in english-nya, haha..

Jadi palo alto network atau PAN firewall memiliki beberapa skenarion deployment. Berikut ini adalah beberapa skenario yang mungkin bisa anda pertimbangkan, jadi ada 4 skenario deployment yaitu:

  1. Virtual wide mode.
  2. Tap mode
  3. Layer 2 mode
  4. Layer 3 mode

Read More

Trainer, Nework & Security Engineer