Home

BGP Full Lab

December 27, 2013

Miftah Rahman Exercise Files , , 6 Comments

topology

topic:

  • I-BGP peering (including update-source & next-hop-self)
  • E-BGP peering (including multihop)
  • BGP Network Advertisement/NLRI (including Aggregation/Summarization)
  • BGP Authentication
  • BGP Local-AS
  • BGP Backdoor
  • BGP Confederation & Route-Reflector
  • BGP Load Sharing
  • and BGP Path Attributes (Weight, Local Pref, AS-Path, Origin, and MED)

no BGP Community ( i think community is fit on SP, not on RS)

LINK

CBAC and ZBF

December 25, 2013

Miftah Rahman Config Router , , , , Leave a comment

Postingan tepat tanggal 25 Desember, dimana beberapa teman yang beragama nasrani sedang merayakan hari raya mereka

walaupun berbeda prinsip, tetep ane berharap supaya perayaan kali ini aman, lancar, dan tentram…

anyway…back to the topic i want to post…

==================================

Kali ini kita akan bahas limitasi dari implementasi ACL, dan fitur firewall bernama CBAC (Context-Based Access Control) dan ZBF (Zone-Based Firewall)

Initial topology (the good news is…CBAC and ZBF can be practiced in Packet Tracer)

Initial config dari PC

Gw bikin secondary ip untuk bikin “seolah2” ada PC banyak yang konek ke FW-Router (tanpa harus bikin router PC banyak2 @_@ ), dan gateway-nya 10.1.1.10 (ip FW-Router)

Ceritanya gw bikin ACL yang isinya “hanya host 10.1.1.1 yang boleh akses server”

Yuk kita tes ping (1.1.1.2 adalah IP server)

Ping dari 10.1.1.1 berhasil

Ping dari 10.1.1.2 ke server ga berhasil (U = Destination Unreachable), tapi bagaimana kalau sebaliknya?? Dari server ke 10.1.1.2

Klo dari server…sama juga…

Tadi kan Traffic dari 10.1.1.2 yang menuju server sukses di blok (unreachable by ACL), yang jadi masalah adalah…traffic dari Server (sebaliknya) ke 10.1.1.2 pun ikut2an di blok (request time out)

Inilah kelemahan ACL, maka Pertanyaannya adalah:

bisa ga itu FW-Router nge-blok traffic dari 10.1.1.0 (PC Network) tapi ga nge-blok traffic yang berasal dari Server ke 10.1.1.0??

Bisa…pake Reflexsive ACL atau pake yang lebih powerful…CBAC

Kok bisa gitu…yang satu Unreachable tapi yang satu lagi RTO?? Inget…ini koneksi 2-arah…

Unreachable berarti emang pas masuk udah kena filter ACL

RTO berarti trafficnya ga di blok…tapi pas device tujuan nge-REPLY ping source device, hasilnya di blok

=======================================

CBAC (Context-Based Access Control) aka IOS Firewall

CBAC inilah jawaban dari kelemahan ACL…nge-blok berdasarkan “konteks” (contoh: dari mana traffic itu berasal dan pake protocol apa)

gw bisa bikin ping dari arah server ga di blok, tapi dari arah PC akan gw blok

Mirip2 dengan Reflexive ACL (nanti kapan2 gw bahas), bedanya adalah…CBAC itu ampe Layer 7, klo Reflexive ACL filteringnya ampe layer 4 aja

Keyword untuk CBAC adalah inspect

Define dulu apa yang mau kita inspeksi…trus kasi nama inspeksinya

Ip inspect name [nama inspeksi] [protocol yang di-inspeksi]

*Note: di packet tracer…protocol yang bisa diinspeksi cuma http, icmp, tcp/udp, ama telnet doang

Trus pasang di interface yang kita mau inspeksi…inspeksi traffic yang masuk (in) atau yang keluar (out)

Nah, karena traffic ping dari arah Fa1/0 (PC Network) di blok oleh ACL dan kita pengen traffic ping dari arah Server ga di blok oleh ACL pas itu PC Network REPLY itu icmp ping request

Kita bikin ip inspect [nama] out, biar si FW-Router membolehkah traffic ping dari server keluar dari interface yang sudah kita pasang ACL tadi

karena di perbolehkan…berarti traffic ping REPLY dari PC network ke arah Server (Fa1/0 in) juga diperbolehkan

Yuk kita tes…

10.1.1.0 network tetep ga bisa ping ke ip server 1.1.1.2 (gara2 ServerACL yang kita buat tadi)

Tapi apakah si Server juga ga bisa ping ke 10.1.1.2??? We’ll see

Sep….sebagai tambahan…kita bisa juga tambahin ip inspect audit-trail untuk record siapa aja yang masuk lewat firewall trus taro ke Syslog server dengan keyword logging [ip Syslog server]

*note: CBAC harus pake extended ACL

Eh…tapi klo kek gini gimana??

gw pengen LAN bisa create session (ping) ke WAN, tapi WAN ga bole inisialisasi session ke LAN

trus gw pengen LAN bisa HTTP ke DC, dan DC ama WAN ga bole ping2an kecuali DC duluan yang ping

Wokeh…ini ribet, klo kita pake CBAC berarti kita harus inspect protokolnya plus kita harus input inspectnya ke interface (itu juga klo inspectnya 1 macem protocol, klo kita mau inspect http, telnet, dll…wassalam ini Network Engineer-nya, belum lagi interface yang mau dikonfigur banyak)

Nah, ada 1 cara yang disebut Zoning, kita define daerah mana yang untrusted, mana yang trusted, mana yang harus di-inspect dulu

Metode ini disebut Zone-Based Firewall (ZBF / ZFW)

========================================

Zone-Based Firewall (ZBF)

Note: untuk konfigurasi ini…kita harus pake IOS Security (sama kek kita mau pake VoIP harus make IOS Voice yang ada command2 buat voice), coba aja lo ketik “zone ?” di IOS biasa…pasti ga ada

Contoh kasus:

  • Traffic dari LAN ke WAN ga di blok, tapi sebaliknya diblok
  • LAN ke DC hanya bole Telnet (ato kalo di production kita hanya bole akses http alias web)

Kita define mana Zona yang trusted, mana zona yang untrusted, mana yang harus di-inspect dulu


*Note: klo lo uda pernah setting QoS di Router Cisco, lo pasti uda familiar dengan pola konfigurasi ZBF, pake class-map dan policy-map…dia pake MQC (Modular QoS CLI) juga

1st Step – Create Zone

Inside untuk LAN, Outside ke WAN, DC/DMZ untuk ke DC

Nanti ini zone ditempatin di interface yang bersangkutan (see Step 5)

Klo mau langsung ya step2nya jadi 1, 5, 2, 3, 4…bukan step 1, 2, 3, 4, 5

2nd step – Create Inspect Class-Map

Inspect?? ya…ZBF pake “engine” CBAC

Soalnya kita mau inspect ping (icmp), telnet, dan (kalo ada) web (http)

3rd step – Create Policy-Map

Nanti policy ini akan dimasukkan ke Zone-Pair (step 4) yang akan kita bikin

4th Step – Create Zone Pair (Zona2 mana saja yang akan di inspeksi ketika masuk Zona2 tertentu)

Zone-pair security [nama Zone-Pair] source [nama zone] destination [nama zone], trus taro policy-map [nama] yang uda kita bikin tadi

5th Step – Apply the Zone to Interface

See the topology again if you confused…

NOW….LETS TEST IT

LAN boleh ping ke WAN, sebaliknya ga bole

Nice…sekarang LAN hanya bole telnet ke DC

Ping fail, telnet bisa…AMEEEN TO GOD

==================================

pertama kali gw nge-liat ini konfig ZBF…ribet, tapi lama2 make sense klo lo punya interface banyak, klo make CBAC mulai ga terkontrol soalnya

create class-map, nanti class-map nya dimasukin ke policy-map, nah…policy-map nya nanti dimasukin ke zone-pair
(3x dimasukin..wkwkwk)

trus zone-pair nya harus di-define…mau inspect dari source zone mana ke destination zone mana

eh man, klo gw pengen situs tertentu di blok, trus bisa ngelindungin dari virus, mencegah ddos, dll gimana?!? Bisa ga pake ZBF ini??

Older Entries