SECURITY

» » SECURITY

Kamis, 13 Desember 2012

SECURITY

   08.59      

---Network Security---
  • Network = menyediakan infrastruktur agar data yang dibutuhkan dapat diakses
  • Security = melindungi dan mencegah data tidak dapat diakses oleh yang tidak berhak
  • Tanpa security, data lebih mudah diakses
  • Sebaliknya, security berlebihan, data sulit diakses, sehingga tujuan utama network tidak terpenuhi
  • Untuk itu penerapan security, perlu memperhatikan bagaimana data tetap dapat diakses

---Fungsi Utama Security---

1. Data Confidentiality
  • Memastikan data dapat diakses oleh yang berhak
2. Data Integrity
  • Memastikan data yang diakses tetap sesuai dengan semestinya
3. Data Availability
  • Data dapat diakses dengan mudah ketika dibutuhkan

---Mengenal Serangan---
  • �If you know both yourself and your enemy, you can win a hundred battles without a single loss� � Sun Tzu
  • Langkah pertama dalam security adalah dengan mengetahui berbagai jenis serangan pada network

---Serangan dari Exsternal---
  • Merupakan fokus utama security
  • Dilakukan oleh pihak diluar network internal, misalnya dari internet
  • Jenis serangan bersifat teknis, bisa dilakukan dengan beberapa hacking tool baik untuk serangan langsung maupun mencari celah pada system
  • Dapat dicegah dengan beberapa tool security yang ada, smacam firewall, IPS dll.

---Serangan dari Internal---
  • Dilakukan oleh pihak yang memiliki akses atau setidaknya pernah memiliki akses ke network internal
  • Dibanding eksternal, dari internal cenderung kurang teknis, lebih kearah physical dalam mencuri datanya, misal mengcopy data langsung lewat flashdisk, social engineering dll
  • Namun demikian pencurian data smacam ini tidak bisa dicegah menggunakan perangkat security seperti firewall misalnya
  • Pencegahannya lebih kepada keamanan fisik seperti pemasangan kamera, penggunaan ID untuk masuk ke ruangan

---Attack Mitigation---
1. Merupakan proses yang dilakukan untuk mencegah dan merespon serangan
2. Terdapat 2 jenis
  • Proaktif, Melakukan pencegahan sebelum serangan dilakukan Misalnya Firewall dengan memblok suatu port.
  • Reaktif, Merespon atau melakukan tindakan ketika serangan berlangsung Misalnya IPS akan memblok IP yang digunakan untuk menyerang.

---Implementing Attack Mitigation---
  • Langkah awal yang dilakukan adalah dengan menganalisa kemungkinan adanya vulnerability pada system yang dimungkinkan digunakan untuk menyerang.
  • Selanjutnya memasang security tool yang sesuai fungsinya, karena berbeda jenis serangan bisa jadi security tool yang digunakan juga berbeda.

---IP Spoofing Attack---
  • Attacker akan menggunakan source palsu ataupun destination palsu
  • Bentuk serangan yang kemudian bisa dilakukan berdasarkan IP spoofing antara lain
  1. DoS Attack (Smurf, Fraggle)
  2. Control Plane Attack (route insertion/deletion)
  3. Man In The Middle Attack (ARP Poisoning)
  • Karena terdapat banyak variasi serangan jenis ini, maka tentu langkah pencegahannya juga variatif, misalnya :
  1. ACL
  2. ARP Inspection
  3. DHCP Snooping
  4. IP Source Guard
  5. Routing Protocol Authentication
  6. BGP TTL security
  7. IP Option Checking (Source)
  8. IPSec VPN

---Reconaissane Attack---
  • Digunakan untuk mengumpulkan informasi suatu network yang digunakan, seperti jenis router, tipe link, routing tabel
  • Variasi Serangannya berupa :
  1. Sniffing
  2. Ping Sweep
  3. Port Scan
  4. DNS Queries

---Reconaissane Mitigation---
1. Beberapa protocol yang umumnya dimanfaatkan adalah
  • ICMP
  • Echo-Reply
  • Unreachable
  • Mask Reply
  • Redirect
  • Proxy ARP
  • CDP
2. Pencegahannya
  • Mematikan service/port yang tidak digunakan
  • Memasang IPS

---Control Plane Attack---
Availability attack to disrupt routing & manejemen protocols of the network
Contoh :
  • Prefix Injection
  • BGP Reset
  • Telnet Password
  • SNMP Community
  • NTP Spoofing

---Control Plane Attack Mitigation---
1. Why is the control vulnerable
  • Tidak ada routing authentication
  • Promiscious routing neighbor
  • Clear text telnet & SNMP
  • Tidak ada NTP Authentication
2. Pencegahan
  • Routing Authentication
  • Unicast Update
  • SSH
  • SNMPv3
  • NTP Authentication

---DOS/DDOS ATTACK---
  • Melakukan serangan dengan membanjiri trafik pada network/server sehingga link atau servernya tidak berfungsi dan tidak dapat diakses
  • Metode serangan
  1. IP Spoofing
  2. Fraggle
  3. Smurf
  4. TCP Syn Flooding

---DOS/DDOS ATTACK MITIGATION---
  1. Half-open session monitoring
  2. Disable directed broadcast
  3. RFC 2827 / Bogon / URPF

---Access Attack---
1. Bertujuan untuk mengakses system/network secara ilegal
2. Metode
  • Brute Force Password
  • Keyloggers
  • Packet Sniffer
  • Redirection
  • Man in the middle attack

---Access Attack Mitigation---
  1. Pencegahan
  2. AAA & Lockouts
  3. SSL/IPSec
  4. HIPS

 ---Application Attack---
1. Serangan yang ditujukan karena kelemahan pada suatu software
2. Metode
  • Buffer Overflows
  • Worms
  • virus
  • Trojan
  • dll

---Application Attack Mitigation---
  • Pencegahan
  1. NAC
  2. HIPS

---Cisco Self-Defending Network---
mempunyai peran utama yaitu :
  1. Integrated : semua perangkat merupakan point of defense
  2. Adaptive : Behaviour methods recognize and adapt to a new threats as they arise
  3. Collaborative : semua komponen network bersama-sama memberikan perlindungan

---Router Security Challenges---
  • Ketika system dan network mulai semakin banyak dan kompleks maka demikian pula dengan vulnerability nya
  • Kunci utama dari security adalah memiliki kewaspadaan terhadap segala jenis serangan, segala kelemahan yang ada pada system baik yang umum maupun yang baru dan update.

---Security Audit---
  • Digunakan untuk secara otomatis mengidentifikasikan permasalahan security yang umum pada suatu network
  • Pada Cisco bisa menggunakan SDM One-Step Lockdown untuk kemudian melakukan perbaikan terhadap permasalahan security yang ditemukan

---CLI Time Out---
  • Fungsi utamanya agar bila CLI tidak digunakan dalam waktu tertentu, kemudian logout sendiri secara otomatis
  • Konfigurasi exec-timeout digunakan untuk menentukan berapa lama waktu idle nya untuk kemudian akan logout
  • Dapat digunakan pada console, vty dan aux
  • Bila nilainya diset 0, maka akan membuat fitur ini disable, kurang direkomendasikan

---Login Enhancements---
  • Digunakan untuk mencegah serangan brute force password.
  • Sehingga bila berulang kali terus menerus melakukan kesalahan saat login, maka kemudian akan diblok dan tidak bisa melakukan login sampai dengan waktu yang ditentukan
  • Delay Waktu setelah gagal login
          a. login delay (seconds)
  • Block prompt login setelah gagal
          a. login block-for (seconds) attempt
  • Generate Log baik bila sukses maupun gagal
         a. login on-failure log
         b. login on-success log


---Exec Privilege Level---
  • Setelah authentikasi user berhasil, selanjutnya adalah authorize, yakni utk menentukan perintah apa saja yg bisa dijalankan user tsb
  • IOS user privilege level digunakan untuk menentukan command apa saja yang bisa dijalankan oleh user tersebut
  • Default privilege level
  • 0 = no access
  • 1 = user mode access
  • 15 = privilege mode access (enable)
  • Privilege level yang bisa diatur
  • Level 2-14 bisa kita tentukan sendiri

---Privilege Command---
  • Bila user di authorize ke level tertentu, maka dia bisa menjalankan command yang ada mulai dari level 0 sampai level yang diberikan pada user tersebut.
  • Misal user diberi privilege level 8, maka user tersebut akan bisa menjalankan semua command yang diberikan dari level 0 hingga level 8.
  • Untuk mengetahui pada privilege level berapa kita saat ini bisa menggunakan perintah show privilege
  • Untuk mengetahui command apa saja yang bisa kita jalankan pada suatu privilege level yang kita miliki saat ini, kita bisa menggunakan perintah show parser dump

---Assigning Privilege Level---
  • Privilege level dapat dikonfigurasikan pada global config, per user dan per line
  • Global Config
  • enable password IDN (privilege level 15)
  • enable password level 2 IDN2 (privilege level 2)
  • Per User
  • Username IDN3 privilege level 3 password IDN3
  • Per Line
  • (config)# line vty 0 4
  • (config-line)# privilege level 15

 ---CISCO IOS Resilient Configuration---
  • Fungsinya untuk melindungi IOS image ataupun file konfigurasi yang misalnya tidak sengaja terhapus
  1. Memindahkan file IOS ke hidden folder
  2. Mengcopykan file konfigurasi ke hidden archive pada disk
  • Konfigurasinya
  1. secure boot-image
  2. secure boot-config
  • Verifikasi
  • show secure bootset

---AAA PROTOCOLS---
  • Tacacs+
  1. Umumnya digunakan untuk perangkat network (Router, Switch, Pix, ASA dll)
  2. Support per command authorization
  • Radius
  1. Umumnya digunakan untuk manajemen user (VPN User, 802.1x authentication)
  2. Tidak support per command authorization
  3. Cisco Secure ACS Support Tacacs+ sekaligus juga Radius dalam waktu bersamaan

---AAA AUTHENTICATION---
1. Mengaktifkan AAA
  • aaa new-model
2. Menentukan tipe authentication
  • aaa authentication login default local TACACS local
  • aaa authentication enable default RADIUS local
3. Redundant authentication
  • Bisa diset bahwa metode authentikasi yang pertama adalah melalui Radius server, bila tidak dapat diakses, maka selanjutnya menggunakan authentikasi lokalnya
4. Apply AAA Authentication
  • Line vty 0 4
  • Login authentication RADIUS

---ACL Overview---
  • Filtering terhadap Layer 3 (IP) dan Layer 4 (TCP/UDP) untuk kemudian ditentukan apakah akan dilewatkan ataupun di deny
  • Selain fungsi utamanya sebagai trafik filtering, bisa juga digunakan untuk route filtering menggunakan distribute list
  • Standard ACL
  • ACL Number : 1-99, 1300-1999
  • Filtering berdasarkan ip source
  • Extended ACL
  • ACL Number : 100-199, 2000-2999
  • Filtering berdasarkan ip source, destination, port dan protocol

---Extended ACL---
  • IP Protocol number (ICMP, EIGRP, OSPF, IGMP dll)
  • Source IP Address
  • Destination IP address
  • Protocol Fields
  1. IP Option
  2. TCP/UDP Port
  3. TCP Flags
  4. ICMP Type (Echo, Echo-Reply)
  5. Fragments
  • QoS Marking
  1. DSCP
  2. IP Precedence
  3. Type of Service
  • Time Range

---ACL WILDCARD---
  • Baik Standard maupun extended menggunakan wildcard mask bukan netmask
  • Wildcard mask merupakan kebalikan dari netmask
  • 0 = cek, 1 = ignore
  • 10.0.0.0 255.255.0.0 <=> 10.0.0.0 0.0.255.255
  • 10.10.10.0 255.255.255.0 <=> 10.10.10.0 0.0.0.255
  • 1.2.3.4 255.255.255.255 <=> 1.2.3.4 0.0.0.0

---STANDARD ACL---

  • Number
  • access-list 1 deny 10.10.10.0  0.0.0.255
  • access-list 1 permit any
  • Name
  • ip access-list standard IDN-ACL
  •   deny 10.10.10.0 0.0.0.255
  •   permit any

---EXTENDED ACL---
  • Number
  • access-list 100 deny tcp host 2.2.2.2 host 1.1.1.1 eq www
  • access-list 100 permit ip any any
  • Name
  • ip access-list extended IDN-ACL
  • deny tcp host 2.2.2.2 host 111 eq www
  • permit ip any any

---ACL Logging---
1. Access-List hits dapat di catat dalam log
  • Console, monitor, buffer, syslog
2. Log Option
  • Log = list name/number, permit/deny, protocol name/number, source/destination IP, port number
  • Log-input = Log + mac address + Input VC

---APPLYING ACL---
  1. Apply pada interface menggunakan perintah ip access-group
  2. Apply pada line (console, vty, aux) menggunakan perintah access-class
  3. ACL dapat diapply baik pada inbound maupun outbound
  4. Best practice nya, ACL di apply sedekat mungkin dengan source.

 ---SECURING MANAGEMENT CHALLENGES---
1. Out of band vs in band Management
  • Cost vs Risk Analysis
2. Manajemen protocol vulnerability
  • Telnet,
  • Syslog
  • NTP
  • SNMP v1/v2

---TELNET SSH---
  • Telnet mengirimkan semua datanya dalam clear text, termasuk username dan password yang digunakan
  • SSH melakukan enkripsi terhadap datanya serta menerapkan perlindungan pada password yang digunakan
  • Best practice nya adalah dengan mengaktifkan SSH dan mendisable telnet dengan cara memasukkan "transport input ssh"

---SYSLOG---
1. Untuk mengirimkan logging message ke suatu pc server
  • Menggunakan UDP port 514
  • Informasinya dikirim secara clear text
2. Severity level logging message
  • 0 (emergency)  � 7 (debug)
3. Agar pewaktuan sesuai, pastikan date time nya sudah diset dengan benar


---NTP---
  • Network Time Protocol
  1. Menggunakan UDP port 123
  2. Digunakan utk synkronisasi clock antara client dan server
  3. Menggunakan hop count yang disebut stratum
  4. Support authentikasi MD5

---SNMP--
a. Simple Network Managgement Protocol
  • Menggunakan UDP port 161 dan 162
b. Terdiri dari 3 bagian
  1. SNMP Server (NMS)
  2. SNMP Client (Perangkat yang dimanage)
  3. SNMP Variable (MIB, Management Information Base)
c. Cara kerjanya
  1. SNMP Polling
  • NMS meminta MIB ke perangkat
     2. SNMP Trapping
  • Perangkat mengirimkan informasi ke NMS ketika suatu event terjadi

---SNMP v1 v2---
  • Menggunakan community string sebagai password
  • RO (Read Only) community string
  1. Memungkinkan NMS untuk menjalankan SNMP GET
  2. Umumnya community string defaultnya adalah �public�
  • RW (Read Write) community string
  1. Umumnya community string defaultnya adalah �private�
  2. Memungkinkan NMS utk menjalankan SNMP GET dan SET
  • String dikirimkan dalam kondisi clear text

---SECURING SNMP---

  • SNMPv3 memiliki authentikasi, enkripsi dan integrity cek
  • Bila harus menggunakan SNMPv1/v2, maka musti dipasang ACL agar hanya PC NMS saja yang bisa mengambil informasinya

##############################################################################
There are NO SECRETS to SUCCESS. It is the result of PREPARATION, HARD WORK, and LEARNING from FAILURE.
##############################################################################

Times to Lab !!!

Lab 1. ZBF (Zone Based Firewall)
  • Kebutuhan ada 3 zone
  1. Inside-zone
  2. Outside-zone
  3. DMZ-zone
  • Diperbolehkan
  1. Dari Inside ke Outside
  2. Dari Inside ke DMZ
  3. Dari Outside ke DMZ (web server)
  4. Dari DMZ ke Outside
  • Tidak diperbolehkan
  1. Dari Outside ke Inside
  2. Dari DMZ ke Inside



EX

[command_start]
!
interface FastEthernet0/0
 ip address 10.10.10.5 255.255.255.0
 duplex auto
 speed auto
end
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
router eigrp 10
 network 1.0.0.0
 network 10.0.0.0
 no auto-summary
!
[command_end]

R1

[command_start]
!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 duplex auto
 speed auto
end
!
interface FastEthernet0/1
 ip address 13.13.13.1 255.255.255.0
 duplex auto
 speed auto
end
!
interface Serial0/0
 ip address 12.12.12.1 255.255.255.0
 clock rate 2000000
end
!
router eigrp 10
 network 10.0.0.0
 network 12.0.0.0
 network 13.0.0.0
 no auto-summary
!
[command_end]

R2

[command_start]
!
interface FastEthernet0/0
 ip address 13.13.13.3 255.255.255.0
 duplex auto
 speed auto
end
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
!
router eigrp 10
 network 3.0.0.0
 network 13.0.0.0
 no auto-summary
!
[command_end]

R3

[command_start]
!
interface Serial0/0
 ip address 12.12.12.2 255.255.255.0
 clock rate 2000000
end
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!
router eigrp 10
 network 2.0.0.0
 network 12.0.0.0
 no auto-summary
!
[command_end]

Verifikasi semua loopback bisa di Ping

R1#ping 2.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/15/32 ms
R1#ping 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/44/80 ms
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set

     1.0.0.0/24 is subnetted, 1 subnets
D       1.1.1.0 [90/409600] via 10.10.10.5, 00:00:36, FastEthernet0/0
     2.0.0.0/32 is subnetted, 1 subnets
D       2.2.2.2 [90/2297856] via 12.12.12.2, 00:19:27, Serial0/0
     3.0.0.0/32 is subnetted, 1 subnets
D       3.3.3.3 [90/409600] via 13.13.13.3, 00:19:32, FastEthernet0/1
     10.0.0.0/24 is subnetted, 1 subnets
C       10.10.10.0 is directly connected, FastEthernet0/0
     12.0.0.0/24 is subnetted, 1 subnets
C       12.12.12.0 is directly connected, Serial0/0
     13.0.0.0/24 is subnetted, 1 subnets
C       13.13.13.0 is directly connected, FastEthernet0/1



R2#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set

     1.0.0.0/24 is subnetted, 1 subnets
D       1.1.1.0 [90/435200] via 13.13.13.1, 00:01:22, FastEthernet0/0
     2.0.0.0/32 is subnetted, 1 subnets
D       2.2.2.2 [90/2323456] via 13.13.13.1, 00:20:13, FastEthernet0/0
     3.0.0.0/32 is subnetted, 1 subnets
C       3.3.3.3 is directly connected, Loopback0
     10.0.0.0/24 is subnetted, 1 subnets
D       10.10.10.0 [90/307200] via 13.13.13.1, 00:20:18, FastEthernet0/0
     12.0.0.0/24 is subnetted, 1 subnets
D       12.12.12.0 [90/2195456] via 13.13.13.1, 00:20:20, FastEthernet0/0
     13.0.0.0/24 is subnetted, 1 subnets
C       13.13.13.0 is directly connected, FastEthernet0/0

    R3#sh ip route
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    Gateway of last resort is not set

         1.0.0.0/24 is subnetted, 1 subnets
    D       1.1.1.0 [90/2323456] via 12.12.12.1, 00:02:05, Serial0/0
         2.0.0.0/32 is subnetted, 1 subnets
    C       2.2.2.2 is directly connected, Loopback0
         3.0.0.0/32 is subnetted, 1 subnets
    D       3.3.3.3 [90/2323456] via 12.12.12.1, 00:20:56, Serial0/0
         10.0.0.0/24 is subnetted, 1 subnets
    D       10.10.10.0 [90/2195456] via 12.12.12.1, 00:20:56, Serial0/0
         12.0.0.0/24 is subnetted, 1 subnets
    C       12.12.12.0 is directly connected, Serial0/0
         13.0.0.0/24 is subnetted, 1 subnets
    D       13.13.13.0 [90/2195456] via 12.12.12.1, 00:20:58, Serial0/0
    Selanjutnya Membuat Zone
    R1

    [command_start]
    !
    zone security INSIDE-ZONE
    zone security OUTSIDE-ZONE
    zone security DMZ-ZONE
    !
    [command_end]

    Berikutnya membuat zone-pair untuk menentukan arah trafik
    R1

    [command_start]
    !
    zone-pair security INkeOUT source INSIDE-ZONE destination OUTSIDE-ZONE
     service-policy type inspect INkeOUT
    zone-pair security OUTkeIN source OUTSIDE-ZONE destination INSIDE-ZONE
     service-policy type inspect OUTkeIN
    zone-pair security DMZkeOUT source DMZ-ZONE destination OUTSIDE-ZONE
     service-policy type inspect DMZkeOUT
    zone-pair security OUTkeDMZ source OUTSIDE-ZONE destination DMZ-ZONE
     service-policy type inspect OUTkeDMZ
    !
    [command_end]

    Terakhir, Assign di Interface
    R1

    [command_start]
    !
    interface FastEthernet0/0
     zone-member security INSIDE-ZONE
    end
    !
    [command_end]

    berikutnya adalah tahap pengujian
    1. Memastikan trafik dari Inside dan DMZ bisa ke Outside.
    2. Memastikan trafik dari Outside ke Inside tidak diperbolehkan.
    3. Memastikan trafik dari Outside ke DMZ hanya bisa akses web saja.
    Aktifkan telnet dan http server pada R3 (Outside)
    R3

    [command_start]
    !
    line vty 0 4
     password idn
     login    
    !
    ip http server
    !
    [command_end]

    Lakukan pengetesan telnet dan web akses dari Inside (R1) dan DMZ (R2)

    R1#telnet 2.2.2.2
    Trying 2.2.2.2 ... Open
    R3#telnet 2.2.2.2
    Trying 2.2.2.2 ... Open

    terlihat diatas R2 bisa diakses baik dari R1 maupun R3

    berikutnya untuk pengujian untuk memastikan outside network (EX) tidak boleh mengakses ke inside network (R2), kita aktifkan dulu di sisi R1, supaya menampilkan log terhadap paket yang di drop.

    R1

    R1(config)#ip inspect log drop-pkt

    Lakukan telnet dari Router EX (outside) ke R3 (internal) dan pastikan tidak berhasil

    EX#telnet 3.3.3.3
    Trying 3.3.3.3 ...
    % Connection timed out; remote host not responding

    dan di sisi Router R1 akan muncul tampilan log berikut

    R1#
    *Mar  1 00:26:37.599: %FW-6-DROP_TCP_PKT: Dropping tcp pkt 10.10.10.5:19315 => 3.3.3.3:23 due to  policy match failure -- ip ident 57838 tcpflags 0x6002 seq.no 3010459510 ack 0

    Pengujian berikutnya adalah dari Outside terhadap DMZ, dan pastikan yang bisa dilakukan web akses saja, sedangkan telnet tidak bisa.
    Aktifkan dulu telnet dan http server di Router R2 (DMZ)

    [command_start]
    !
    line vty 0 4
     password idn
     login
    ip http server
    !
    [command_end]

    kemudian lakukan pengetesan web dari router EX (outside)

    EX#telnet 2.2.2.2
    Trying 2.2.2.2 ... Open


    User Access Verification

    Password:

    seperti terlihat, web akses ke DMZ dapat dilakukan, berikutnya telnet biasa.

    Lakukan telnet dari Router EX (outside) ke R3 (internal) dan pastikan tidak berhasil

    EX#telnet 2.2.2.2
    Trying 2.2.2.2 ...
    % Connection timed out; remote host not responding

    di sisi router R1 akan muncul log berikut, yang dikarenakan paketnya di drop
    dan di sisi Router R1 akan muncul tampilan log berikut

    R1#
    *Mar  1 00:26:37.599: %FW-6-DROP_TCP_PKT: Dropping tcp pkt 10.10.10.5:19315 => 3.3.3.3:23 due to  policy match failure -- ip ident 57838 tcpflags 0x6002 seq.no 3010459510 ack 0






       /

       No Comments

    di 08.59

    0 komentar :

    Posting Komentar

    Langganan: Posting Komentar ( Atom )