Skip to main content

Konfigurasi High Availability Juniper SRX Firewall dan HA Testing Failover

Hallo bro,

Buat anda yang lagi belajar juniper srx, atau anda lagi mendesign juniper dengan redundansi perangkat atau HA, sy rasa tulisan ini cocok buat anda hehe. Design untuk network dengan skala midle to large itu kebanyakan sudah mengadopsi teknik HA. Di Juniper sendiri teknik HA di Firewall SRX di kenal dengan Chassis Cluster. Nah chassis clsuter ini memungkinkan dua device dapat berfungsi atau beroperasi seperti satu perangkat. tentu fungsi HA nya yang kita inginkan.  Model design di juniper SRX sebenarnya tidak jauh beda dengan design HA di product security yang lain. Di bawah ini adalah beberapa prerequisite ketika anda mendesign HA juniper SRX.

Prerequisites

a. Model Chassis SRX harus sama

Misal pada contoh di atas ada SRX300 maka pasangannya nanti juga harus dengan seri SRX300 juga.

b. Versi Junos kedua SRX harus sama

Device SRX 1 dan 2 versi junos nya harus sama persis, anda bisa confirm atau check dengan command show version.

c. License kedua device juga harus sama.

Anda bisa confirm dengan command show system license, seperti contoh berikut.

Jika anda membeli license untuk SRX Cluster, maka anda perlu membeli nya untuk kedua device tersebut. Tidak bisa anda beli untuk salah satu nya saja.

d. Backup dan delete semua config existing

Saya sarankan anda backup dulu semua config kedua SRX, atau default config nya. lalu anda hapus semua config nya. Kenapa dihapus semua, supaya anda tidak pusing masalah config interface terutama, misal ada perbedaan config atau ada config di salah satu device yang belum dihapus, sehingga proses build HA nya tidak berjalan baik. Read More

Trainer, Network & Security Consultant

Bagaimana Cara Update IPS Juniper SRX Secara Offline

Dear Juniper Customers,

Buat anda yang lagi bingung bagaimana cara update IPS juniper secara offline, nah tulisan ini saya rasa anda bisa ikuti dengan mudah. Sebetulnya juniper sudah banyak membuat dokumentasi cara update security package juniper srx secara offline, offline update template ips, offline update ips juniper srx cluster dan lain-lain. salah satunya yang paling lengkap dapat anda buka di link ini, Tulisan ini juga mengacau ke dokument tersebut dan saya juga menyarankan anda membaca dokument tersebut dari awal sampai akhir hehehe. Jadi tulisan ini menggunakan perangkat juniper SRX5800 cluster dengan junos version 12.3X48-D30.7. Mari kita ikuti langkah2 berikut:

Langkah 1: Download SignatureUpdate.xml.gz

langkah pertama anda perlu download file SignatureUpdate.xml.gz, ini adalah cara untuk download file signature ips yang paling update nantinya.

https://signatures.juniper.net/cgi-bin/index.cgi?device=srx5800&feature=idp&detector=12.6.140171124&to=latest&os=12.3&build=48&type=update

contoh di atas untuk srx5800 dengan junos 12.3X48-D30.7. jika anda memiliki seri branch maka silakan anda sesuaikan. detailnya berikut ini:

Read More

Trainer, Network & Security Consultant

Konfigurasi BGP Pada Juniper

Hallo gans, ini mau tak share sedikit cara konfigurasi BGP pada juniper. Lab ini adalah lab yang pernah saya share waktu training di KASKUS office. Nah berikut beberapa point yang sy simulasikan pada lab kali ini.

  1. Konfigurasi mandatory
  2. Konfigurasi Logical system
  3. Konfigurasi OSPF
  4. Konfigurasi IBGP
  5. Cara Advertise Route ke dalam BGP
  6. Konfigurasi External BGP
  7. BGP Next hop self
  8. Cara Filtering route pada BGP

Jadi kira2 ada 8 point yg akan di bahas pada lab ini, dari konfig awal hingga cara filtering bgp route. Ohy lab ini cukup bermanfaat jika anda bekerja di network enterprise yang butuh pemahaman akan BGP. Sbg contoh anda ingin filter atau advertise BGP, maka anda jangan sampai salah melakukan advertise, karena ber-impact pada  network global atau internet 🙂

Ok langsung saja silakan perhatikan topology berikut ini:

Read More

Trainer, Network & Security Consultant

[Juniper SRX Firewall] How to Mitigate Petya Ransomware Attack, A Step By Step Guide

Just make a noted, banyak orang membicarakan tentang petya ransomware attack, dan saya kepikirian untuk menulis di blog ini. Sebetulnya tulisan terkait mitigasi penyebaran petya ransomware oleh juniper network sudah di posting di forum juniper, anda bisa baca disini, saya perlu sampaikan juniper cukup cepet merespon terkait attack ini yaitu dengan mengeluarkan update signature IPS, Saya tidak perlu menjelaskan lagi apa yang sudah tertulis di forum juniper, yang perlu saya tulis disini adalah bagaimana detail implementasi, jika anda merasa baru untuk firewall juniper, atau baru dalam hal menangani IPS juniper. Jika anda adalah seorang IT, anda perlu tahu juga bagaiamana ransomware menyebar, ada baiknya anda juga membaca artikel dari microsoft, guna mitigasi di sisi client nya sendiri., silahkan cek disini artikelnya. Dan berikut step by step mitigasi menggunakan firewall juniper SRX:

Step 1: Firewall anda harus terpasang IPS

Sebagai engineer, jika firewall anda tidak memiliki IPS, maka anda hanya bisa ‘meratapi’ kondisi yang terjadi, no, it just a joke, haha, Anda bisa mengkontak juniper partner di lokasi anda untuk membantu jika anda ingin membeli license, jika tidak anda bisa mencoba dengan trial license dlu hehe.. ohy anda masih belum tau cara install license IPS, anda bisa baca dokumentasi juniper disini.

Step 2: Update Signature Database IPS

Update signature database IPS juniper, saya bagi dalam 3 langkah/cara:

  1. Online/automatic update, syarat cara yang ini adalah firewall anda harus terkoneksi langsung dengan internet, jika tidak anda gak bisa menggunakan step ini, untuk detail step nya anda bisa membaca petunjuknya disini
  2. Offline update, ini kita download package terbaru dengan lengkap dlu, lalu nanti kita upload ke local disk juniper firewall. Cara yang ini butuh extra sabar karena lumayan banyak yang harus anda download hehe, step nya bisa anda cek disini
  3. Offline update mengunakan Junos Space Security Director, bagi saya ini adalah cara yang lebih praktis jika dibandingkan dengan cara yang kedua, anda cukup download signature database nya latest_db_ips, kemudian cara upload file nya anda bisa lihat artike ini. Ohy saat anda update signature via junos space, usage cpu firewall anda akan mengalami kenaikan, tapi hal ini wajar terjadi, karena sedang progress dalam update ips.

Step 3: Verifikasi, Cek status Database signature

Anda sudah melakukan update signature baik online atau offlince, maka anda perlu memastikan signature nya sudah terupdate, anda bisa cek dengan show security idp security-package-version

 

Step 4:  Create Rule-based IPS policy.

Terkait mitigasi petya ransomware attack ini, anda bisa menggunakan petunjuk dari artikel yang di tulis oleh juniper tadi-detail attack apa saja yang harus anda enable.

Maka untuk rule ips nya seperti berikut ini:

Step 5: Apply Rule IPS pada security Policy.

Terapkan rule ips yang anda buat di step 4 ke dalam security policy, karena rule ips anda tidak akan bekerja klo blom  anda masukkan ke security policy, command tambahanya adalah  permit application-services idp, detail nya seperti berikut:

Step 6: Monitoring

Anda bisa monitor dengan menggunakan junos space security director, atau anda lakukan via command line, dengan command line dibawah ini yang mungkin bisa anda monitor.

atau jika anda ingin memonitor log nya via cli, anda bisa setup dlu syslog nya dengan menambahkan config berikut:

Nanti pada file IPS_log, hanya log RT_IDP dan RT_SCREEN yang ke-grep pada file log tersebut. cukup membantu ya, hehe, Untuk monitor menggukan junos space security director, anda butuh log collecter untuk menyimpan log ips nya. Jika tidak, anda tidak bisa memonitor ips via junos space. Berikut ini adalah contoh capture live threat nya.

Cukup sekian ya, jika anda merasa masih kurang jelas, anda bisa meninggalkan komentar dibwah, 🙂

Good luck!

Trainer, Network & Security Consultant

[Juniper SRX] Implementasi Site-to-Site VPN

Bagian ini perlu saya tulis, karena ini adalah salah part yang cukup penting dan banyak kebutuhan yang membutuhkan koneksi vpn. Perlu diketahui di juniper ada ada dua macam site-to-site (s2s), yaitu route based vpn dan policy based vpn.  Beda nya apa? jadi klo policy based vpn itu untuk kebutuhan jika site remote adalah platform yang berbeda, sama yang kedua adalah jika ada hanya satu client atau satu subnet yang terkoneksi. Nah jadi jika ada design yang complex kira2, misalanya vpn hub-and-spoko, or site remote nya banyak, maka itu membutuhkan route based vpn, jiak nanti membutuhkan implementas nat, menghindari overlapping address, terus menggunakan dynamic routing procotol, ini juga harus menggunakan route based vpn. Jadi pada kesempatan ini kita akan coba setup route-based s2s vpn dengan konfigurasi dan design standar.

Ini adalah contoh design yang nanti akan kita konfigurasi, RouteCloud-HQ dan Branch1, keduanya menggunakan platform juniper SRX.  Mari kita lihat tabel konfigurasi SRX untuk masing-masing site nya.

Read More

Trainer, Network & Security Consultant

[Junos Security] Implementasi Static NAT dan Destination NAT Juniper SRX

Anda mungkin pernah bertanya, bagaimana private server atau DMZ anda bisa diakses dari internet atau dari public user? jawabannya anda bisa lakukan dengan teknik static nat or dest nat. Lalu apa bedanya static nat dengan dest nat, static nat untuk translasi one-to-one mapping ip address, misalnya dari public user akses ke 8.8.4.4 lalu dengan static nat di mapping ke 172.16.4.4, static nat juga digunakan jika anda memiliki cukup banyak ip, sehingga nanti tidak terjadi overload jika pengguna banyak yang mengakses. Adapun destination nat, untuk translasi or mapping dari satu ip ke banyak ip misalnya, misal dari satu ip 202.250.120.2 port 80 maka akan di map ke 192.168.200.1, atau misal 202.250.120.2 port 3306 maka akan di map ke ip 192.168.200.2. Baik mari kita ikuti contoh design nat berikut.

static-dan-destination-nat

 

Sesuai dengan gambar diatas, tulisan ini menekankan pada apa yang bisa dilakukan juniper srx, untk solusi static nat atau destination nat.  Untuk lebih jelas nya mari kita lihat satu persatu seperti berikut ini 🙂

Read More

Trainer, Network & Security Consultant

Bagaimana Konfigurasi TACACS+ di Juniper

Hallo sobat ketemu lagi di sesi yang lain 😀

Tulisan ini adalah terkait contoh case integrasi juniper ke cisco acs sebgai si tacacs server nya. Mungkin anda akan bertanya kenapa harus perlu integrasiin ke tacacs server? bayangkan jika anda memiliki banyak network element anda pasti akan pusing memanage user untuk network2 anda. nah jika anda mengguakan acs nya ini, anda hanya perlu memanage user nya via acs nya. Oke mari kita lihat contoh topology nya.

tacacs design example

Untuk sisi Juniper yang anda butuhkan adalah informasi berikut:

  1. address dari si tacacs server nya dalam hal ini 172.16.0.1
  2. shared key atau secret key untuk autentikasi dari tacacs ke juniper nya misal : routecloud
  3.  Port tacacs server jika ada
  4.  Class policy, misal RO (read only), super user, atau user-defined.

Untuk sisi ACS anda mereka hanya perlu mengetahui hal berikut:

  1. IP Address perangkat juniper anda misal: 10.1.2.3 sama hostname nya.
  2. Jika anda menggunakan jump server atau bastion host maka ip tersebut harus daftarin juga di acs nya
  3.  sama class policy juga perlu anda informasikan.

Ane tidak membahas di sisi acs nya, tapi informasi di atas seharusnya anda sudah memahami apa yang harus dilakukan rekan anda yang menangani acs nya hehe. Oke seblum anda mengikuti tulisan ini lebih detail ada baiknya anda sudah memahami cara create user atau class user di juniper.

Read More

Trainer, Network & Security Consultant

[Junos Security] Menggunakan NAT Source untuk Terhubung ke Internet

Hi sobat blogger 🙂

Ini adalah tulisan kedua terkait NAT, tepatnya bagaimana mengkonfigurasi NAT source supaya private network anda terhubung ke internet. Pembahsan NAT source ini yang related dengan real network/case yang biasa terjadi. Oke langsung saja ane coba kasi gambar supaya anda lebih bisa memahami nya.

 

source nat juniper srx gateway

Jadi pada gambar diatas, misal anda memiliki private network 192.168.10.0/24 dengan gateway di srx 192.168.10.1, lalu anda memiliki koneksi ke ISP misal dengan segmen IP 200.250.100.0/29, dimana IP router ISP adalah ip terakhir dari ip tersebut 200.250.100.6/29. Interface out firewall srx adalah fe-0/0/0 dengan ip 200.250.100.1/29. Oke kira2 ada gambaran ya apa yang harus dilakukan untuk pertama kali nya, untuk detailnya mari kita ikuti step berikut:
Read More

Trainer, Network & Security Consultant

[Junos Security] Konsep Dasar NAT Pada Juniper SRX

Ini adalah artikel nat pertama sebagai fondasi untuk memahami artikel tentang nat selanjutnya. karena ane berencana membahas nat secara keseluruhan yang dibutuhkan di real network or most real scenario terutama yang menggunankan platform juniper srx 🙂 As general description bahwa fungsi NAT atau network address translation untuk mentranslasikan public address ke private address, atau boleh dikatakan juga menstranslasikan dari alamat satu ke alamat ip yang lain nya.  Supaya lebih jelas mari kita lihat gambar berikut:

example nat communication

Read More

Trainer, Network & Security Consultant

[Junos Security] Semua tentang si Zones

judulnya itu loh hoho….jadi ini artikel ingin membahas semua tentang si zones tapi bukan bang jones yang jauh disana yak hahaha :P. Semoga tulisan ini memberikan pengertian yang mendalam terkait apa itu zone pada juniper SRX? berikut ane kutip dari juniper.net;

A zone is a collection of one or more network segments sharing identical security requirements. To group network segments within a zone, you must assign logical interfaces from the device to a zone.

Jadi zone bisa disebut sebagai sebuah atau sekumpulan dari segment network yang memiliki ketentuan atau requerement yang sama. Sebagai contoh anda memiliki beberapa server maka anda mengelompokkan ke dalam zone Server atau DMZ, terus user-user yang akan menggunakan layanan server anda tentu berbeda dengan server yang anda miliki, dan anda mempertimbangkan tidak ingin server anda menyatu dengan jaringan user2, maka anda bisa memisahkan dengan zone User misalnya, dan seterusnya.. Jadi zone ini berfungsi memisahkan network yang ingin anda proteksi dari segmen network lain. Jika anda berpikir, bagaimana cara melakukannya? Silahkan ikutti langkah berikut:

  • Define zone (security or functional)
  • Add logical interfaces to the zone
  • Define permitted services (example: Telnet, SSH) and protocols (example: OSPF) destined to device itself.

So,,. anda sudah tahu apa yang harus anda lakukan? Jadi diatas setidaknya ada tiga langkah ya untuk membuat zone, untuk zone itu sendiri ada security zone yaitu zone yang memang untuk mengidentifikasi flow traffic, sedangkan functional zone adalah zone khusus management srx, misal untuk remote srx anda bisa melakukan via interface yang di set sebagai functional atau management zone. Selanjutnya di dalam zone anda perlu menambahkan interface yang dari awal sudah anda identifikasi. Misal interface yang terkoneksi dengan server2, anda bisa memasukkan ke zone DMZ yang sudah anda buat. Langkah selanjutnya adalah mendefinisikan permit service seperti ssh, ping, atau ospf. Service ini bukan untuk mempermit traffic dari zone satu ke zone yang lain, akan tetapi service yang diizinkan dari host2 zone terkait ke interface SRX itu sendiri.

Oke, mari kita lihat detail satu persatu di SRX.

jadi zone ada dua ya functional-zone, coba kita cek opsi selanjutnya.

nama zone sudah di define ya yaitu management zone,

seperti yang sudah dijelaskan seblumnya, bahwa di zone itu anda perlu menambah logical interface, yaitu di opsi interface, kemudian mempermit traffic yang ke SRX via interface tersebut pada opsi host-inbound-traffic. Mari kita lanjut ke opsi security zone.

oke, coba anda buat security zone baru, misal DMZ.

anda perlu menambah interface baru, pilih opsi interface di zone DMZ

Oke, langkah selanjutnya anda bisa mempermit service di zone DMZ bisa langsung under zone DMZ atau under interface. seperti berikut:

jadi, jika anda menggunakan routing protokol di interface tersebut, maka anda bisa melakukannya di opsi protocol. dan jika anda melakukkannya under interface maka services tersebut hanya berlaku di interface tersebut. jadi jika ada interface yang lain maka itu tidak berlaku. mari kita lihat contoh hasilnya.

nah, bisa anda lihat, contoh di atas, ge-0/0/2.0 memiliki service yang dibolehkan ping, dhcp, dan ospf. sedangkan ge-0/0/1.0 belum ada. Lalu apakah ge-0/0/1.0 sperti ini bermasalah? sebetulnya ini tidak masalah. hanya saja bila interface tersebut disambungkan ke komputer anda, maka anda tidak bisa melakukan apa2 untuk interface tersebut, misal ping, telnet atau lainnya. Oke ada gambaran ya..hehe.. Lalu bagaiamana jika anda melakukannya permit service under zone DMZ

Contoh hasilnya.

coba anda perhatikan, under zone DMZ di set protocol all system service all. Jika sperti diatas, maka ge-0/0/1.0 service nya all, sedangkan ge-0/0/2.0 tetap seperti yang diset atau yang ane sampaikan sebelumnya.

Untuk melihat hasilnya,silahkan di commit dan coba anda cek di mode operational

lakukan show interface untuk lebih detailnya

Oke, ane rasa sudah cukup jelas ya, jika ada pertanyaan silahkan comment dibawah 🙂

Trainer, Network & Security Consultant