Packet Debugging pada Router Firewall Juniper SSG140

by : Antonius (ringlayer)
Web : 
https://www.ringlayer.com
https://www.jasaplus.com
https://www.olmyshop.com
https://www.screenku.com

(artikel ini ditranslate dari situs cr0security.com yang lama) 

Juniper SSG140 biasanya digunakan untuk jaringan dengan skala kecil hingga medium sebagai router firewall. Perangkat ini mendukung : dual stack ip versi 4, ip versi 6 firewall, deteksi syn flood, BGP, IPsec VPN,  proteksi ddos dan implementasi UTM seperti : anti virus , anti spam.


Juniper SSG140 memiliki fitus debugging yang memungkinkan kita melihat paket yang lalu lalang melalui router ini. Ada 2 modus pada router ini :
"Flow level debugging" (digunakan untuk trafik umum) dan "Flow Tunnel debugging" (digunakan untuk trafik ipsec).
 
Pada contoh kali ini, mari kita lihat dulu seluruh interface sebelum melakukan capture paket, Pada console juniper ketikkan : "get interface"

Dari gambar di atas, kita bisa melihat daftar seluruh interface, prefix ip dan zona2nya. Pada contoh di atas, kita memiliki :

trusted zone, untrusted, and DMZ (demiliterized zone). 

Mengunakan Flow Filter untuk Capture Trafik 

Pada contoh kali ini, kita akan melakukan capture dengan filtering yang khusus untuk menangkap incoming packet ke destination address 
 

As weve seen our interfaces above, now were gonna use flow filter, for example here we wanted to filter incoming connection to destination address : 192.168.100.18 dengan destination port : 80. 

Ketikkan di console juniper  : "set ff dst-ip 192.168.100.18 dst-port 80"

Lalu kita akan mulai capture, ketikkan pada console ssg140 :
"debug flow basic"

Jika Anda ingin melihat modus debug yang sedang digunakan ketikkan :

"get debug" 

Untuk melakukan dump hasil debugging paket ketikkan :

"get db str" 

Di bawah ini adalah contoh hasilnya :

Pada Flow session id 4679, kita bisa melihat adanya trafik yang lewat melalui interface ethernet0/0 (eth0/0 ) pada ip prefix : 192.168.*****/* (Trusted Zone kita),  di mana paket dikirimkan keluar melalui interface ethernet0/2.

Referensi:
http://kb.juniper.net

Panduan Singkat Extended Access List Pada Cisco c3640

by : Antonius (ringlayer)
Web : 
https://www.ringlayer.com
https://www.jasaplus.com
https://www.olmyshop.com
https://www.screenku.com
(artikel ini ditranslate dari situs cr0security.com yang lama)

access list pada cisco router masih bisa dibypass dengan beberapa metode seperti paket terfragmentasi, SNMP spoof, dll akan tetapi cisco access list masih merupakan fitur paket filtering yang cukup handal digunakan. Access list dasar di cisco, hanya akan menyaring paket berdasarkan alamat ip. Jika komunikasi data menggunakan udp misal pada saat cisco router akan menerima paket snmp yang merupakan udp based protocol, seperti kita ketahui bersama bahwa udp merupakan connectionless yang mana kita bisa memalsukan source address maka kita bisa membypass access list pada cisco (misal kita kirimkan paket snmp dengan source address yang diijinkan).

Untuk itu kita perlu menggunakan yang namanya extended access list. Dengan menggunakan extended access list pada cisco, kita  tidak hanya menyaring paket berdasarkan source address tapi juga berdasarkan nomor port, alamat tujuan, dll.

Kali ini kita akan mencoba menggunakan extended access list secara singkat pada cisco c3640.


Pertimbangan Dalam Penggunaan Extended Access List
  

Sebelum menerapkan extended access list, berikut ini beberapa contoh pertimbangan rule yang bisa kita terapkan : alamat2 ip apa saja yang diijinkan untuk outbound dan inbound traffic ? Nomor port berapa saja yang diijinkan untuk inbound dan outbound traffic ?  Pada interface apa kita akan menerapkan extended access list ?

Pada contoh kali ini, kebetulan saya memiliki suatu router c3640 dengan access listnya, mari kita cek dengan perintah : "show access lists" atau bisa juga dengan perintah : "show running-config" atau bisa disingkat : "show run"

 

 

Pada contoh kali ini, kita bisa melihat kita punya 1 standard access list dan 1 extended access list.  Extended access list selalu memiliki nomor antara 100 sampai dengan 199.

In this example we see we have 1 standard access list and 1 extended access list. Extended access list will always have number between 100-199. 

Router35#show running-config
Building configuration...
=======snip========          
access-list 1 permit 10.200.0.0 0.0.0.255
access-list 102 permit ip 10.200.0.0 0.0.0.255 any
=======snip========          
Router35#

10 permit ip 10.200.0.0 0.0.0.255 any (1598 matches)
extended access list dengan nomor 102 di atas akan mengijinkan trafik dengan ip range : 10.200.0.1-255, di mana access list ini diaplikasikan pada dua interface, seperti kita lihat di bawah ini :

Menambah dan Mengurangi Extended Access List

Sintaks access list :
access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence]

di mana sudah disebutkan di atas bahwa extended access list selalu bernomor antara 100 sampai dengan 199. Misal kita akan membuat satu extended access list baru untuk mengijinkan paket tcp dari subnet 192.168.99 dengan destination port 80 yang akan diterapkan pada interface FastEthernet1/0:

 

Berikut ini konfigurasi access list yang kita tambahkan :

Router35#config t
Router35(config)#int FastEthernet1/0 
Router35(config-if)#access-list 107  permit tcp  192.168.99.0 0.0.0.255 any eq 80

Pada contoh di atas kita telah menambahkan access list dengan nomor 107 untuk mengijinkan paket tcp dari source address subnet 192.168.99 dengan port tujuan 80. Untuk melakukan verifikasi :

Router35(config)#do show access-list
Standard IP access list 1
    10 permit 10.200.0.0, wildcard bits 0.0.0.255
Extended IP access list 102
    10 permit ip 10.200.0.0 0.0.0.255 any (1598 matches)
Extended IP access list 107
    10 permit tcp 192.168.99.0 0.0.0.255 any eq www
Router35(config)#

Untuk menghapus extended access list sangat mudah, misal kita akan hapus access list dengan nomor 107:

Router35(config)#no access-list 107

Referensi
https://learningnetwork.cisco.com/docs/DOC-7514