Skip to main content

[Juniper SRX Firewall] How to Mitigate Petya Ransomware Attack, A Step By Step Guide

Just make a noted, banyak orang membicarakan tentang petya ransomware attack, dan saya kepikirian untuk menulis di blog ini. Sebetulnya tulisan terkait mitigasi penyebaran petya ransomware oleh juniper network sudah di posting di forum juniper, anda bisa baca disini, saya perlu sampaikan juniper cukup cepet merespon terkait attack ini yaitu dengan mengeluarkan update signature IPS, Saya tidak perlu menjelaskan lagi apa yang sudah tertulis di forum juniper, yang perlu saya tulis disini adalah bagaimana detail implementasi, jika anda merasa baru untuk firewall juniper, atau baru dalam hal menangani IPS juniper. Jika anda adalah seorang IT, anda perlu tahu juga bagaiamana ransomware menyebar, ada baiknya anda juga membaca artikel dari microsoft, guna mitigasi di sisi client nya sendiri., silahkan cek disini artikelnya. Dan berikut step by step mitigasi menggunakan firewall juniper SRX:

Step 1: Firewall anda harus terpasang IPS

Sebagai engineer, jika firewall anda tidak memiliki IPS, maka anda hanya bisa ‘meratapi’ kondisi yang terjadi, no, it just a joke, haha, Anda bisa mengkontak juniper partner di lokasi anda untuk membantu jika anda ingin membeli license, jika tidak anda bisa mencoba dengan trial license dlu hehe.. ohy anda masih belum tau cara install license IPS, anda bisa baca dokumentasi juniper disini.

Step 2: Update Signature Database IPS

Update signature database IPS juniper, saya bagi dalam 3 langkah/cara:

  1. Online/automatic update, syarat cara yang ini adalah firewall anda harus terkoneksi langsung dengan internet, jika tidak anda gak bisa menggunakan step ini, untuk detail step nya anda bisa membaca petunjuknya disini
  2. Offline update, ini kita download package terbaru dengan lengkap dlu, lalu nanti kita upload ke local disk juniper firewall. Cara yang ini butuh extra sabar karena lumayan banyak yang harus anda download hehe, step nya bisa anda cek disini
  3. Offline update mengunakan Junos Space Security Director, bagi saya ini adalah cara yang lebih praktis jika dibandingkan dengan cara yang kedua, anda cukup download signature database nya latest_db_ips, kemudian cara upload file nya anda bisa lihat artike ini. Ohy saat anda update signature via junos space, usage cpu firewall anda akan mengalami kenaikan, tapi hal ini wajar terjadi, karena sedang progress dalam update ips.

Step 3: Verifikasi, Cek status Database signature

Anda sudah melakukan update signature baik online atau offlince, maka anda perlu memastikan signature nya sudah terupdate, anda bisa cek dengan show security idp security-package-version

 

Step 4:  Create Rule-based IPS policy.

Terkait mitigasi petya ransomware attack ini, anda bisa menggunakan petunjuk dari artikel yang di tulis oleh juniper tadi-detail attack apa saja yang harus anda enable.

Maka untuk rule ips nya seperti berikut ini:

Step 5: Apply Rule IPS pada security Policy.

Terapkan rule ips yang anda buat di step 4 ke dalam security policy, karena rule ips anda tidak akan bekerja klo blom  anda masukkan ke security policy, command tambahanya adalah  permit application-services idp, detail nya seperti berikut:

Step 6: Monitoring

Anda bisa monitor dengan menggunakan junos space security director, atau anda lakukan via command line, dengan command line dibawah ini yang mungkin bisa anda monitor.

atau jika anda ingin memonitor log nya via cli, anda bisa setup dlu syslog nya dengan menambahkan config berikut:

Nanti pada file IPS_log, hanya log RT_IDP dan RT_SCREEN yang ke-grep pada file log tersebut. cukup membantu ya, hehe, Untuk monitor menggukan junos space security director, anda butuh log collecter untuk menyimpan log ips nya. Jika tidak, anda tidak bisa memonitor ips via junos space. Berikut ini adalah contoh capture live threat nya.

Cukup sekian ya, jika anda merasa masih kurang jelas, anda bisa meninggalkan komentar dibwah, 🙂

Good luck!

Trainer, Nework & Security Engineer

[Juniper SRX] Implementasi Site-to-Site VPN

Bagian ini perlu saya tulis, karena ini adalah salah part yang cukup penting dan banyak kebutuhan yang membutuhkan koneksi vpn. Perlu diketahui di juniper ada ada dua macam site-to-site (s2s), yaitu route based vpn dan policy based vpn.  Beda nya apa? jadi klo policy based vpn itu untuk kebutuhan jika site remote adalah platform yang berbeda, sama yang kedua adalah jika ada hanya satu client atau satu subnet yang terkoneksi. Nah jadi jika ada design yang complex kira2, misalanya vpn hub-and-spoko, or site remote nya banyak, maka itu membutuhkan route based vpn, jiak nanti membutuhkan implementas nat, menghindari overlapping address, terus menggunakan dynamic routing procotol, ini juga harus menggunakan route based vpn. Jadi pada kesempatan ini kita akan coba setup route-based s2s vpn dengan konfigurasi dan design standar.

Ini adalah contoh design yang nanti akan kita konfigurasi, RouteCloud-HQ dan Branch1, keduanya menggunakan platform juniper SRX.  Mari kita lihat tabel konfigurasi SRX untuk masing-masing site nya.

Read More

Trainer, Nework & Security Engineer

[Junos Security] Implementasi Static NAT dan Destination NAT Juniper SRX

Anda mungkin pernah bertanya, bagaimana private server atau DMZ anda bisa diakses dari internet atau dari public user? jawabannya anda bisa lakukan dengan teknik static nat or dest nat. Lalu apa bedanya static nat dengan dest nat, static nat untuk translasi one-to-one mapping ip address, misalnya dari public user akses ke 8.8.4.4 lalu dengan static nat di mapping ke 172.16.4.4, static nat juga digunakan jika anda memiliki cukup banyak ip, sehingga nanti tidak terjadi overload jika pengguna banyak yang mengakses. Adapun destination nat, untuk translasi or mapping dari satu ip ke banyak ip misalnya, misal dari satu ip 202.250.120.2 port 80 maka akan di map ke 192.168.200.1, atau misal 202.250.120.2 port 3306 maka akan di map ke ip 192.168.200.2. Baik mari kita ikuti contoh design nat berikut.

static-dan-destination-nat

 

Sesuai dengan gambar diatas, tulisan ini menekankan pada apa yang bisa dilakukan juniper srx, untk solusi static nat atau destination nat.  Untuk lebih jelas nya mari kita lihat satu persatu seperti berikut ini 🙂

Read More

Trainer, Nework & Security Engineer

Bagaimana Konfigurasi TACACS+ di Juniper

Hallo sobat ketemu lagi di sesi yang lain 😀

Tulisan ini adalah terkait contoh case integrasi juniper ke cisco acs sebgai si tacacs server nya. Mungkin anda akan bertanya kenapa harus perlu integrasiin ke tacacs server? bayangkan jika anda memiliki banyak network element anda pasti akan pusing memanage user untuk network2 anda. nah jika anda mengguakan acs nya ini, anda hanya perlu memanage user nya via acs nya. Oke mari kita lihat contoh topology nya.

tacacs design example

Untuk sisi Juniper yang anda butuhkan adalah informasi berikut:

  1. address dari si tacacs server nya dalam hal ini 172.16.0.1
  2. shared key atau secret key untuk autentikasi dari tacacs ke juniper nya misal : routecloud
  3.  Port tacacs server jika ada
  4.  Class policy, misal RO (read only), super user, atau user-defined.

Untuk sisi ACS anda mereka hanya perlu mengetahui hal berikut:

  1. IP Address perangkat juniper anda misal: 10.1.2.3 sama hostname nya.
  2. Jika anda menggunakan jump server atau bastion host maka ip tersebut harus daftarin juga di acs nya
  3.  sama class policy juga perlu anda informasikan.

Ane tidak membahas di sisi acs nya, tapi informasi di atas seharusnya anda sudah memahami apa yang harus dilakukan rekan anda yang menangani acs nya hehe. Oke seblum anda mengikuti tulisan ini lebih detail ada baiknya anda sudah memahami cara create user atau class user di juniper.

Read More

Trainer, Nework & Security Engineer

[Junos Security] Menggunakan NAT Source untuk Terhubung ke Internet

Hi sobat blogger 🙂

Ini adalah tulisan kedua terkait NAT, tepatnya bagaimana mengkonfigurasi NAT source supaya private network anda terhubung ke internet. Pembahsan NAT source ini yang related dengan real network/case yang biasa terjadi. Oke langsung saja ane coba kasi gambar supaya anda lebih bisa memahami nya.

 

source nat juniper srx gateway

Jadi pada gambar diatas, misal anda memiliki private network 192.168.10.0/24 dengan gateway di srx 192.168.10.1, lalu anda memiliki koneksi ke ISP misal dengan segmen IP 200.250.100.0/29, dimana IP router ISP adalah ip terakhir dari ip tersebut 200.250.100.6/29. Interface out firewall srx adalah fe-0/0/0 dengan ip 200.250.100.1/29. Oke kira2 ada gambaran ya apa yang harus dilakukan untuk pertama kali nya, untuk detailnya mari kita ikuti step berikut:
Read More

Trainer, Nework & Security Engineer

[Junos Security] Konsep Dasar NAT Pada Juniper SRX

Ini adalah artikel nat pertama sebagai fondasi untuk memahami artikel tentang nat selanjutnya. karena ane berencana membahas nat secara keseluruhan yang dibutuhkan di real network or most real scenario terutama yang menggunankan platform juniper srx 🙂 As general description bahwa fungsi NAT atau network address translation untuk mentranslasikan public address ke private address, atau boleh dikatakan juga menstranslasikan dari alamat satu ke alamat ip yang lain nya.  Supaya lebih jelas mari kita lihat gambar berikut:

example nat communication

Read More

Trainer, Nework & Security Engineer

[Junos Security] Semua tentang si Zones

judulnya itu loh hoho….jadi ini artikel ingin membahas semua tentang si zones tapi bukan bang jones yang jauh disana yak hahaha :P. Semoga tulisan ini memberikan pengertian yang mendalam terkait apa itu zone pada juniper SRX? berikut ane kutip dari juniper.net;

A zone is a collection of one or more network segments sharing identical security requirements. To group network segments within a zone, you must assign logical interfaces from the device to a zone.

Jadi zone bisa disebut sebagai sebuah atau sekumpulan dari segment network yang memiliki ketentuan atau requerement yang sama. Sebagai contoh anda memiliki beberapa server maka anda mengelompokkan ke dalam zone Server atau DMZ, terus user-user yang akan menggunakan layanan server anda tentu berbeda dengan server yang anda miliki, dan anda mempertimbangkan tidak ingin server anda menyatu dengan jaringan user2, maka anda bisa memisahkan dengan zone User misalnya, dan seterusnya.. Jadi zone ini berfungsi memisahkan network yang ingin anda proteksi dari segmen network lain. Jika anda berpikir, bagaimana cara melakukannya? Silahkan ikutti langkah berikut:

  • Define zone (security or functional)
  • Add logical interfaces to the zone
  • Define permitted services (example: Telnet, SSH) and protocols (example: OSPF) destined to device itself.

So,,. anda sudah tahu apa yang harus anda lakukan? Jadi diatas setidaknya ada tiga langkah ya untuk membuat zone, untuk zone itu sendiri ada security zone yaitu zone yang memang untuk mengidentifikasi flow traffic, sedangkan functional zone adalah zone khusus management srx, misal untuk remote srx anda bisa melakukan via interface yang di set sebagai functional atau management zone. Selanjutnya di dalam zone anda perlu menambahkan interface yang dari awal sudah anda identifikasi. Misal interface yang terkoneksi dengan server2, anda bisa memasukkan ke zone DMZ yang sudah anda buat. Langkah selanjutnya adalah mendefinisikan permit service seperti ssh, ping, atau ospf. Service ini bukan untuk mempermit traffic dari zone satu ke zone yang lain, akan tetapi service yang diizinkan dari host2 zone terkait ke interface SRX itu sendiri.

Oke, mari kita lihat detail satu persatu di SRX.

jadi zone ada dua ya functional-zone, coba kita cek opsi selanjutnya.

nama zone sudah di define ya yaitu management zone,

seperti yang sudah dijelaskan seblumnya, bahwa di zone itu anda perlu menambah logical interface, yaitu di opsi interface, kemudian mempermit traffic yang ke SRX via interface tersebut pada opsi host-inbound-traffic. Mari kita lanjut ke opsi security zone.

oke, coba anda buat security zone baru, misal DMZ.

anda perlu menambah interface baru, pilih opsi interface di zone DMZ

Oke, langkah selanjutnya anda bisa mempermit service di zone DMZ bisa langsung under zone DMZ atau under interface. seperti berikut:

jadi, jika anda menggunakan routing protokol di interface tersebut, maka anda bisa melakukannya di opsi protocol. dan jika anda melakukkannya under interface maka services tersebut hanya berlaku di interface tersebut. jadi jika ada interface yang lain maka itu tidak berlaku. mari kita lihat contoh hasilnya.

nah, bisa anda lihat, contoh di atas, ge-0/0/2.0 memiliki service yang dibolehkan ping, dhcp, dan ospf. sedangkan ge-0/0/1.0 belum ada. Lalu apakah ge-0/0/1.0 sperti ini bermasalah? sebetulnya ini tidak masalah. hanya saja bila interface tersebut disambungkan ke komputer anda, maka anda tidak bisa melakukan apa2 untuk interface tersebut, misal ping, telnet atau lainnya. Oke ada gambaran ya..hehe.. Lalu bagaiamana jika anda melakukannya permit service under zone DMZ

Contoh hasilnya.

coba anda perhatikan, under zone DMZ di set protocol all system service all. Jika sperti diatas, maka ge-0/0/1.0 service nya all, sedangkan ge-0/0/2.0 tetap seperti yang diset atau yang ane sampaikan sebelumnya.

Untuk melihat hasilnya,silahkan di commit dan coba anda cek di mode operational

lakukan show interface untuk lebih detailnya

Oke, ane rasa sudah cukup jelas ya, jika ada pertanyaan silahkan comment dibawah 🙂

Trainer, Nework & Security Engineer

[Junos Security] Bagaimana Mensimulasikan Juniper SRX Pada VMware

Buat anda yang tertarik belajar product security juniper, dalam hal ini adalah SRX. juniper menyediakan tools nya yang dikenal dengan juniper firefly atau juniper vSRX. related juniper secuirty anda bisa membacanya disini. oke anda harus mendownload juniper firefly di junipervsrx (dengan filename;junos-vsrx-12.1X47-D20.7-domestic.ova).  Setelah vsrx dam vmware ada di local disk anda. Anda perlu install vmware nya terlebih dahulu setelah itu anda tinggal open file vsrx yang anda download sebulmnya. Silahkan ikuti detail step nya pada tulisan bagaimana memulai belajar juniper.  Jika anda mengikuti step nya, minimal coba anda buat kebutuhan interface vsrx seperti tampilan berikut 🙂

add interface

Read More

Trainer, Nework & Security Engineer

[Junos Security] Pengenalan Juniper Security

Hallo pagi semuanya 🙂

Mumpung lagi fresh, masih pagi dan pas banget ini adalah materi awal terkait juniper firewall. Tulisan ini adalah diperuntukkan buat siapa ja yang ingin mengenal product juniper firewall. Yup, tentu anda tau ya pasti apa itu firewall? tembok api bukan? betul, gk tau kenapa perangkat security diistilahkan sbg firewall, klo dalam sejarah2 dunia banyak bangunan atau tembok raksasa yang sengaja dibangun untuk mempertahankan diri dari musuh hehe, sebut saja tembok besar cina, tembok berlin, dan lain-lain. mungkin itu kali ya. Oke jadi product security, semua vendor mengistilahkan sebagai firewall. Nah firewall ini tentu setiap product memiliki feature yang berbeda-beda, tapi fitur2 dasar pasti ada. Klo sebelumnya kita banyak dengar istilah stateless firewall, statefull firewall, traditional firewall, yang baru sekrang istilahnya lagi next generation firewall (NGFW).  Sedikit saja mengenai istilah tersebut klo stateless firewall itu kayak access-list di cisco (cisco lagi haha), eh klo di juniper ada juga lah istilahnya firewall filter itu sama dengan cisco, jadi intinya gmn klo stateless? intinya adalah perangkat (biasanya router) hanya menforward paket berdasarkan paket header nya, atau routing table, stateless ini tidak men-track sessionnya itu secara dua arah. misal session saat paket itu berangkat dan saat paket balik lagi. nah klo firewall saat ini sudah statefull, jadi dia akan terus men-track session bolak-baliknya. oke lanjut dulu ya untuk detailnya nanti ane tulisin dibawah hehe. Terus klo traditional firewall bisa kita compare dengan NGFW, jadi traditional firewall memang sudah statefull, tapi content yang dia cek hanya dari IP sampai layer transport dalam hal ini prtokol2 yang termasuk UDP atau TCP, sedangkan NGFW itu sudah mampu melihat atau mengecek atau mengontrol sampe layer aplikasi, baik itu aplikasinya, content, user dan bahkan informasi-informasi yang ada di dalamnya.

Lanjut ya, jadi untuk memahami lebih detail apa yang kita bicarakan diatas, coba kita compare perbedaan router dan firewall.

routing table

Read More

Trainer, Nework & Security Engineer

Bagaimana Memulai Belajar Juniper?

As request by owner routecloud 🙂 ada yang butuh referensi bagaimana memulai belajar juniper? Jadi kita harus mulai dari mana? dan apa ja yang dibutuhkan? that’s your questions maybe ya? hehe..

Kita mulai dari hal2 yang teoritis dulu, jadi kalo semua perangkat network dan security juniper dari low sampai high end itu menggunakan satu operating system namanya JUNOS. Junos ini based on nya adalah Unix FreeBSD yang mana adalah salah satu OS open source.  Jadi bila anda manage router kecil sampai yang besar sekalipun, anda bisa melakukannya dengan cara yang sama, berbeda dengan vendor cisco yang perangknya menggunakan berbagai macam operating system.Arc Junos Read More

Trainer, Nework & Security Engineer