Category: Network and Security

judulnya itu loh hoho….jadi ini artikel ingin membahas semua tentang si zones tapi bukan bang jones yang jauh disana yak hahaha :P. Semoga tulisan ini memberikan pengertian yang mendalam terkait apa itu zone pada juniper SRX? berikut ane kutip dari juniper.net;

A zone is a collection of one or more network segments sharing identical security requirements. To group network segments within a zone, you must assign logical interfaces from the device to a zone.

Jadi zone bisa disebut sebagai sebuah atau sekumpulan dari segment network yang memiliki ketentuan atau requerement yang sama. Sebagai contoh anda memiliki beberapa server maka anda mengelompokkan ke dalam zone Server atau DMZ, terus user-user yang akan menggunakan layanan server anda tentu berbeda dengan server yang anda miliki, dan anda mempertimbangkan tidak ingin server anda menyatu dengan jaringan user2, maka anda bisa memisahkan dengan zone User misalnya, dan seterusnya.. Jadi zone ini berfungsi memisahkan network yang ingin anda proteksi dari segmen network lain. Jika anda berpikir, bagaimana cara melakukannya? Silahkan ikutti langkah berikut:

• Define zone (security or functional)
• Add logical interfaces to the zone
• Define permitted services (example: Telnet, SSH) and protocols (example: OSPF) destined to device itself.

So,,. anda sudah tahu apa yang harus anda lakukan? Jadi diatas setidaknya ada tiga langkah ya untuk membuat zone, untuk zone itu sendiri ada security zone yaitu zone yang memang untuk mengidentifikasi flow traffic, sedangkan functional zone adalah zone khusus management srx, misal untuk remote srx anda bisa melakukan via interface yang di set sebagai functional atau management zone. Selanjutnya di dalam zone anda perlu menambahkan interface yang dari awal sudah anda identifikasi. Misal interface yang terkoneksi dengan server2, anda bisa memasukkan ke zone DMZ yang sudah anda buat. Langkah selanjutnya adalah mendefinisikan permit service seperti ssh, ping, atau ospf. Service ini bukan untuk mempermit traffic dari zone satu ke zone yang lain, akan tetapi service yang diizinkan dari host2 zone terkait ke interface SRX itu sendiri.

Oke, mari kita lihat detail satu persatu di SRX.

jadi zone ada dua ya functional-zone, coba kita cek opsi selanjutnya.

nama zone sudah di define ya yaitu management zone,

seperti yang sudah dijelaskan seblumnya, bahwa di zone itu anda perlu menambah logical interface, yaitu di opsi interface, kemudian mempermit traffic yang ke SRX via interface tersebut pada opsi host-inbound-traffic. Mari kita lanjut ke opsi security zone.

oke, coba anda buat security zone baru, misal DMZ.

anda perlu menambah interface baru, pilih opsi interface di zone DMZ

Oke, langkah selanjutnya anda bisa mempermit service di zone DMZ bisa langsung under zone DMZ atau under interface. seperti berikut:

jadi, jika anda menggunakan routing protokol di interface tersebut, maka anda bisa melakukannya di opsi protocol. dan jika anda melakukkannya under interface maka services tersebut hanya berlaku di interface tersebut. jadi jika ada interface yang lain maka itu tidak berlaku. mari kita lihat contoh hasilnya.

nah, bisa anda lihat, contoh di atas, ge-0/0/2.0 memiliki service yang dibolehkan ping, dhcp, dan ospf. sedangkan ge-0/0/1.0 belum ada. Lalu apakah ge-0/0/1.0 sperti ini bermasalah? sebetulnya ini tidak masalah. hanya saja bila interface tersebut disambungkan ke komputer anda, maka anda tidak bisa melakukan apa2 untuk interface tersebut, misal ping, telnet atau lainnya. Oke ada gambaran ya..hehe.. Lalu bagaiamana jika anda melakukannya permit service under zone DMZ

Contoh hasilnya.

coba anda perhatikan, under zone DMZ di set protocol all system service all. Jika sperti diatas, maka ge-0/0/1.0 service nya all, sedangkan ge-0/0/2.0 tetap seperti yang diset atau yang ane sampaikan sebelumnya.

Untuk melihat hasilnya,silahkan di commit dan coba anda cek di mode operational

lakukan show interface untuk lebih detailnya

Oke, ane rasa sudah cukup jelas ya, jika ada pertanyaan silahkan comment dibawah 🙂

Buat anda yang tertarik belajar product security juniper, dalam hal ini adalah SRX. juniper menyediakan tools nya yang dikenal dengan juniper firefly atau juniper vSRX. related juniper secuirty anda bisa membacanya disini. oke anda harus mendownload juniper firefly di junipervsrx (dengan filename;junos-vsrx-12.1X47-D20.7-domestic.ova).  Setelah vsrx dam vmware ada di local disk anda. Anda perlu install vmware nya terlebih dahulu setelah itu anda tinggal open file vsrx yang anda download sebulmnya. Silahkan ikuti detail step nya pada tulisan bagaimana memulai belajar juniper.  Jika anda mengikuti step nya, minimal coba anda buat kebutuhan interface vsrx seperti tampilan berikut 🙂

Read More

Hallo pagi semuanya 🙂

Mumpung lagi fresh, masih pagi dan pas banget ini adalah materi awal terkait juniper firewall. Tulisan ini adalah diperuntukkan buat siapa ja yang ingin mengenal product juniper firewall. Yup, tentu anda tau ya pasti apa itu firewall? tembok api bukan? betul, gk tau kenapa perangkat security diistilahkan sbg firewall, klo dalam sejarah2 dunia banyak bangunan atau tembok raksasa yang sengaja dibangun untuk mempertahankan diri dari musuh hehe, sebut saja tembok besar cina, tembok berlin, dan lain-lain. mungkin itu kali ya. Oke jadi product security, semua vendor mengistilahkan sebagai firewall. Nah firewall ini tentu setiap product memiliki feature yang berbeda-beda, tapi fitur2 dasar pasti ada. Klo sebelumnya kita banyak dengar istilah stateless firewall, statefull firewall, traditional firewall, yang baru sekrang istilahnya lagi next generation firewall (NGFW).  Sedikit saja mengenai istilah tersebut klo stateless firewall itu kayak access-list di cisco (cisco lagi haha), eh klo di juniper ada juga lah istilahnya firewall filter itu sama dengan cisco, jadi intinya gmn klo stateless? intinya adalah perangkat (biasanya router) hanya menforward paket berdasarkan paket header nya, atau routing table, stateless ini tidak men-track sessionnya itu secara dua arah. misal session saat paket itu berangkat dan saat paket balik lagi. nah klo firewall saat ini sudah statefull, jadi dia akan terus men-track session bolak-baliknya. oke lanjut dulu ya untuk detailnya nanti ane tulisin dibawah hehe. Terus klo traditional firewall bisa kita compare dengan NGFW, jadi traditional firewall memang sudah statefull, tapi content yang dia cek hanya dari IP sampai layer transport dalam hal ini prtokol2 yang termasuk UDP atau TCP, sedangkan NGFW itu sudah mampu melihat atau mengecek atau mengontrol sampe layer aplikasi, baik itu aplikasinya, content, user dan bahkan informasi-informasi yang ada di dalamnya.

Lanjut ya, jadi untuk memahami lebih detail apa yang kita bicarakan diatas, coba kita compare perbedaan router dan firewall.

Read More