Skip to main content

[Juniper SRX Firewall] How to Mitigate Petya Ransomware Attack, A Step By Step Guide

Just make a noted, banyak orang membicarakan tentang petya ransomware attack, dan saya kepikirian untuk menulis di blog ini. Sebetulnya tulisan terkait mitigasi penyebaran petya ransomware oleh juniper network sudah di posting di forum juniper, anda bisa baca disini, saya perlu sampaikan juniper cukup cepet merespon terkait attack ini yaitu dengan mengeluarkan update signature IPS, Saya tidak perlu menjelaskan lagi apa yang sudah tertulis di forum juniper, yang perlu saya tulis disini adalah bagaimana detail implementasi, jika anda merasa baru untuk firewall juniper, atau baru dalam hal menangani IPS juniper. Jika anda adalah seorang IT, anda perlu tahu juga bagaiamana ransomware menyebar, ada baiknya anda juga membaca artikel dari microsoft, guna mitigasi di sisi client nya sendiri., silahkan cek disini artikelnya. Dan berikut step by step mitigasi menggunakan firewall juniper SRX:

Step 1: Firewall anda harus terpasang IPS

Sebagai engineer, jika firewall anda tidak memiliki IPS, maka anda hanya bisa ‘meratapi’ kondisi yang terjadi, no, it just a joke, haha, Anda bisa mengkontak juniper partner di lokasi anda untuk membantu jika anda ingin membeli license, jika tidak anda bisa mencoba dengan trial license dlu hehe.. ohy anda masih belum tau cara install license IPS, anda bisa baca dokumentasi juniper disini.

Step 2: Update Signature Database IPS

Update signature database IPS juniper, saya bagi dalam 3 langkah/cara:

  1. Online/automatic update, syarat cara yang ini adalah firewall anda harus terkoneksi langsung dengan internet, jika tidak anda gak bisa menggunakan step ini, untuk detail step nya anda bisa membaca petunjuknya disini
  2. Offline update, ini kita download package terbaru dengan lengkap dlu, lalu nanti kita upload ke local disk juniper firewall. Cara yang ini butuh extra sabar karena lumayan banyak yang harus anda download hehe, step nya bisa anda cek disini
  3. Offline update mengunakan Junos Space Security Director, bagi saya ini adalah cara yang lebih praktis jika dibandingkan dengan cara yang kedua, anda cukup download signature database nya latest_db_ips, kemudian cara upload file nya anda bisa lihat artike ini. Ohy saat anda update signature via junos space, usage cpu firewall anda akan mengalami kenaikan, tapi hal ini wajar terjadi, karena sedang progress dalam update ips.

Step 3: Verifikasi, Cek status Database signature

Anda sudah melakukan update signature baik online atau offlince, maka anda perlu memastikan signature nya sudah terupdate, anda bisa cek dengan show security idp security-package-version

 

Step 4:  Create Rule-based IPS policy.

Terkait mitigasi petya ransomware attack ini, anda bisa menggunakan petunjuk dari artikel yang di tulis oleh juniper tadi-detail attack apa saja yang harus anda enable.

Maka untuk rule ips nya seperti berikut ini:

Step 5: Apply Rule IPS pada security Policy.

Terapkan rule ips yang anda buat di step 4 ke dalam security policy, karena rule ips anda tidak akan bekerja klo blom  anda masukkan ke security policy, command tambahanya adalah  permit application-services idp, detail nya seperti berikut:

Step 6: Monitoring

Anda bisa monitor dengan menggunakan junos space security director, atau anda lakukan via command line, dengan command line dibawah ini yang mungkin bisa anda monitor.

atau jika anda ingin memonitor log nya via cli, anda bisa setup dlu syslog nya dengan menambahkan config berikut:

Nanti pada file IPS_log, hanya log RT_IDP dan RT_SCREEN yang ke-grep pada file log tersebut. cukup membantu ya, hehe, Untuk monitor menggukan junos space security director, anda butuh log collecter untuk menyimpan log ips nya. Jika tidak, anda tidak bisa memonitor ips via junos space. Berikut ini adalah contoh capture live threat nya.

Cukup sekian ya, jika anda merasa masih kurang jelas, anda bisa meninggalkan komentar dibwah, 🙂

Good luck!

Trainer, Nework & Security Engineer

[Juniper SRX] Implementasi Policy Based Site-to-Site VPN

Masih ingin membahas terkait implementasi vpn di juniper, kali ini mengenai bagaimana konfigurasi policy based vpn, pada tulisan ini saya tidak memulai dari awal, melainkan melanjutkan tulisan sebelumnya, anda bisa cek disini

Beberapa catatan terkait policy based vpn dalam hal configurasinya adalah anda tidak membuat interface tunnel atau dikenal dengan interface st, maka routing ke arah lawan tidak perlu dibuat atau dilewatin ke arah interface st tersebut, nah untuk meng-apply konfigurasi vpn yang anda buat itu di set security policy yang anda buat, yaitu yang ke arah site vpn lawan. Mari kita lihat konfigurasi lengkapnya:

##RouteCloud-HQ

Set Interface

Read More

Trainer, Nework & Security Engineer

[Juniper SRX] Implementasi Site-to-Site VPN

Bagian ini perlu saya tulis, karena ini adalah salah part yang cukup penting dan banyak kebutuhan yang membutuhkan koneksi vpn. Perlu diketahui di juniper ada ada dua macam site-to-site (s2s), yaitu route based vpn dan policy based vpn.  Beda nya apa? jadi klo policy based vpn itu untuk kebutuhan jika site remote adalah platform yang berbeda, sama yang kedua adalah jika ada hanya satu client atau satu subnet yang terkoneksi. Nah jadi jika ada design yang complex kira2, misalanya vpn hub-and-spoko, or site remote nya banyak, maka itu membutuhkan route based vpn, jiak nanti membutuhkan implementas nat, menghindari overlapping address, terus menggunakan dynamic routing procotol, ini juga harus menggunakan route based vpn. Jadi pada kesempatan ini kita akan coba setup route-based s2s vpn dengan konfigurasi dan design standar.

Ini adalah contoh design yang nanti akan kita konfigurasi, RouteCloud-HQ dan Branch1, keduanya menggunakan platform juniper SRX.  Mari kita lihat tabel konfigurasi SRX untuk masing-masing site nya.

Read More

Trainer, Nework & Security Engineer

[Junos Security] Dual NAT Design Juniper SRX

I made this and this is a note for me as an engineer 🙂 #ea.. If you want to really understand about this post, take your time to understand some of my previous posting in this blog, start from basic is here, if you ready understand, now you can check other post about  source nat and destination nat.

Oke done and you’re ready going to the next part 🙂

Baik, jika anda sudah mengerti maka anda boleh melanjutkan mengikuti tulisan ini, sekali lagi tulisan ini sbetulnya gabungan dari beberapa tulisan sebelumnya, yaitu tentang source nat, destination nat, ataupun static nat. Tulisan ini juga mengikuti kebutuhan di real network design and security, khususnya menggunakan firewall srx. atau anda yang baru ingin mamahami terkait hal ini, mungkin ini akan menjadi pertimbangan anda untuk selanjutnya. Mari kita lihat gambar berikut sapaya lebih clear hehe

nat source destination design

Read More

Trainer, Nework & Security Engineer

[Junos Security] Implementasi Static NAT dan Destination NAT Juniper SRX

Anda mungkin pernah bertanya, bagaimana private server atau DMZ anda bisa diakses dari internet atau dari public user? jawabannya anda bisa lakukan dengan teknik static nat or dest nat. Lalu apa bedanya static nat dengan dest nat, static nat untuk translasi one-to-one mapping ip address, misalnya dari public user akses ke 8.8.4.4 lalu dengan static nat di mapping ke 172.16.4.4, static nat juga digunakan jika anda memiliki cukup banyak ip, sehingga nanti tidak terjadi overload jika pengguna banyak yang mengakses. Adapun destination nat, untuk translasi or mapping dari satu ip ke banyak ip misalnya, misal dari satu ip 202.250.120.2 port 80 maka akan di map ke 192.168.200.1, atau misal 202.250.120.2 port 3306 maka akan di map ke ip 192.168.200.2. Baik mari kita ikuti contoh design nat berikut.

static-dan-destination-nat

 

Sesuai dengan gambar diatas, tulisan ini menekankan pada apa yang bisa dilakukan juniper srx, untk solusi static nat atau destination nat.  Untuk lebih jelas nya mari kita lihat satu persatu seperti berikut ini 🙂

Read More

Trainer, Nework & Security Engineer

[Junos Security] Menggunakan NAT Source untuk Terhubung ke Internet

Hi sobat blogger 🙂

Ini adalah tulisan kedua terkait NAT, tepatnya bagaimana mengkonfigurasi NAT source supaya private network anda terhubung ke internet. Pembahsan NAT source ini yang related dengan real network/case yang biasa terjadi. Oke langsung saja ane coba kasi gambar supaya anda lebih bisa memahami nya.

 

source nat juniper srx gateway

Jadi pada gambar diatas, misal anda memiliki private network 192.168.10.0/24 dengan gateway di srx 192.168.10.1, lalu anda memiliki koneksi ke ISP misal dengan segmen IP 200.250.100.0/29, dimana IP router ISP adalah ip terakhir dari ip tersebut 200.250.100.6/29. Interface out firewall srx adalah fe-0/0/0 dengan ip 200.250.100.1/29. Oke kira2 ada gambaran ya apa yang harus dilakukan untuk pertama kali nya, untuk detailnya mari kita ikuti step berikut:
Read More

Trainer, Nework & Security Engineer

[Junos Security] Konsep Dasar NAT Pada Juniper SRX

Ini adalah artikel nat pertama sebagai fondasi untuk memahami artikel tentang nat selanjutnya. karena ane berencana membahas nat secara keseluruhan yang dibutuhkan di real network or most real scenario terutama yang menggunankan platform juniper srx 🙂 As general description bahwa fungsi NAT atau network address translation untuk mentranslasikan public address ke private address, atau boleh dikatakan juga menstranslasikan dari alamat satu ke alamat ip yang lain nya.  Supaya lebih jelas mari kita lihat gambar berikut:

example nat communication

Read More

Trainer, Nework & Security Engineer