Tuesday, March 29, 2011


Recovery Password Juniper

Router M7i lab user name dan passwordnya lupa, temen2 yang make pun lupa…wah2..harus nyari recovery password…
Setelah di search di google keteu link : http://juniper.cluepon.net/index.php/Password_recovery
Dan ketika dicoba…cukup mak nyus..
Isinya antara lain :

From Juniper Clue

1. From console, interrupt the boot routine:
      Hit [Enter] to boot immediately, or any other key for command prompt. 
        Booting [kernel] in 9 seconds... 
< Press the space bar at this point >
2. Enter into single-user mode:
        Type '?' for a list of commands, 'help' for more detailed help.
         ok boot -s 
3. Enter the shell: 4. For new JunOS releases, the system will prompt:
        "Enter full pathname of shell or 'recovery' 
for root password recovery or RETURN for /bin/sh: " 
If you enter "recovery" at this point, it will do the next two steps for you, and leave you in the JunOS CLI,
from where you can edit the root password. 5. Mount the virtual file systems (for JUNOS 5.4 and above,t is not necessary to mount the jbase (or jcrypto)
package, however the other packages still need to be mounted):
     NOTE: to go to multi-user operation, exit the single-user shell 
(with ^D)
        # cd /packages         # ./mount.jbase         
Mounted jbase package on /dev/vn1...         # ./mount.jkernel         
Mounted jkernel package on /dev/vn2...         # ./mount.jroute        
Mounted jroute package on /dev/vn3... 
6. Enter recovery mode:
        # /usr/libexec/ui/recovery-mode 
7. Enter configuration mode and either delete or change the rootauthentication password:
root> configure
        Entering configuration mode 
[edit]
        root# delete system root-authentication 
8. Commit the changes, and exit configuration mode
        [edit]         root # commit         commit complete 
[edit]
        root@router# exit         Exiting configuration mode 
root@router> exit
Kebetulan nggak sampe bener2 recover...karena aku coba create user di systm user login...ketika step 5. Dan akhirnya........MAK NYUSS...BISA LOGIN LAGI

Monday, March 28, 2011

Router Access List

Router Mengendalikan Keamanan Jaringan Corporate Anda Dengan Access List Berdasarkan Karakteristik Traffic Baik Mengijinkan Atau Menolak Lewat
Jika kita bicara tentang keamanan jaringan, memasukkan user-ID dan password adalah yang paling umum kita jumpai. Jenis keamanan authenticasi ini adalah jenis keamanan yang diimplementasikan pada layer bagian atas dari layer Network pada model referensi OSI. Router memeriksa setiap traffic yang datang dan memutuskan untuk permit atau deny traffic tersebut berdasarkan pada karakteristic traffic tersebut seperti IP address dan atau protocol.
Mengendalikan keamanan jaringan dengan access lists
Piranti Router mengendalikan keamanan jaringan dengan menggunakan access lists. Suatu access list menerangkan karakteristik traffic jaringan seperti asal dan tujuan IP address dan juga protocol. Kita bisa mengendalikan jenis traffic yang dikirim atau diterima oleh router dengan jalan membuat access list dan di terapkan kepada interface router. access list menjelaskan jenis traffic yang bisa diterima atau diteruskan oleh sebuah interface dari router.
Router access list
Piranti router menggunakan access list untuk mengendalikan traffic keluar masuk dengan karakteristick berikut:
  • Access list menrangkan jenis traffic yang akan dikendalikan
  • Entry access list menjelaskan karakteristic traffic
  • Entry access list menunjukkan apakah mengijinkan atau menolak traffic
  • Entry access list dapat menjelaskan suatu jenis traffic khusus, mengijinkan atau menolak semua traffic
  • Saat dibuat, suatu access list mengandung entry secara implicit “deny all”
  • Setiap access list diterapkan pada hanya sebuah protocol khusus saja
  • Setiap interface router dapat memuat hanya sampai dua access list saja untuk setiap protocol, satu untuk traffic masuk dan satu untuk traffic keluar.
  • Saat suatu access list dikenakan pada suatu interface, dia mengidentifikasikan apakah list melarang traffic masuk atau traffic keluar
  • Access list ada secara global pada router, akan tetapi filter traffic hanya ada pada interface dimana dia diterapkan.
  • Setiap access list bisa diterapkan pada lebih dari satu interface akan tetapi, setiap access list hanya mempunyai list masuk atau keluar saja.
  • Basic /standard access list membatasi traffic di hampir kebanyakan karakteristic traffic (seperti protocol tertentu dalam suatu suite)
Catatan bahwa ketika kita membuat access list, maka secara automatis akan mengandung statement “deny all”, walaupun statement ini tidak kelihatan dalam list itu sendiri. Agar suatu list bisa mengijinkan suatu traffic, maka harus ada setidaknya satu statement permit, baik mengijinkan suatu jenis traffic khusus atau mengijinkan semua jenis traffic yang tidak dibatasi secara specific.
Adanya access list yang berbeda tergantung pada jenis protocol. Tanpa memandang protocol, gunakan langkah umum berikut ini untuk membuat dan mengimplementasikan access list.
  1. Pada global configuration mode, buatlah list dan tambahkan entry access list dengan command “access-list”
  2. Pada interface mode, applikasikan access list tertentu pada suatu interface yang secara umum menggunakan “access-group” command.
Access list diidentifikasikan dengan nomor, walaupun bisa saja menggunakan suatu nama. Nomor tersebut bukan saja menunjukkan suatu access list tertentu, akan tetapi juga mengidentifikasikan karakteristic berikut juga:
  • Protocol suite
  • Menunjukkan apakah list tersebut standard atau extende access list
Rentang penomoran telah dibangun untuk setiap jenis protocol, baik standard maupun extended.
Kisaran nomor access list
Kita mesti bisa menghafalkan rentang nomor berikut baik untuk mengidentifikasikan atau membuat access list.
Rentang nomor List type
0-99 Regular IP list
100-199 Extended IP list
800-899 Regular IPX list
900-999 Extended IPX list
1000-1099 SAP list
Untuk mengetahui list kisaran nomor access list, ketik access-list ? pada command prompt router.
Konfigurasi IP Access Lists
Saat membuat suatu IP access list, kita dapat membuat baik standard ataupun extended access list. Berikut ini perbandingan dua jenis list.
Gunakan suatu standard list untuk memfilter hostname asal atau IP address host
Gunakan extended access list untuk memfilter:
  • Source IP protocol (IP, TCP, UDP, dll)
  • Source hostname atau host IP address
  • Source atau tujuan socket number
  • Host name atau host IP address tujuan
  • Awalan atau nilai kondisi
Standard IP access lists
  • Filter pada source address
  • Log events (optional)
Membuat suatu standard IP access list
Perlu diingat bahwa untuk standard access list gunakan rentang nomor antara 1-99. Untuk membuat standard access list, proses berikut merupakan cara kebanyakan access list standard dibuat.
Buat list dengan menambahkan entry dengan command “access-list”, pada contoh berikut ini melewatkan semua traffic keluar dari semua IP address kecuali traffic dari network 10.0.0.0, dan list diterapkan pada interface Ethernet E0
Router (config) #access-list 1 deny 10.0.0.0 0.255.255.255
Router (config) #access-list 1 permit any
Router (config) #int e0
Router (config-if) #ip access-group 1 out
Pada contoh berikut membuat sebuah standard IP access list yang menolak semua traffic kecuali traffic dari host 10.12.12.16, dan diterapkan pada interface Serial 0
Router (config) #access-list 2 permit 10.12.12.16
Router (config) # int s0
Router (config-if) #ip access-group 2 in
Perlu diingat bahwa setiap access l ist mengandung suatu entry “deny any” secara explicit. Saat dibuat, access list “deny any” semua traffic kecuali traffic yang secara explicit di ijinkan oleh suatu statement “permit” dalam list.
Extended IP access lists (standard capabilities plus)
  • Filter pada protocol
  • Filter pada address tujuan
  • Filter pada port number (baik tujuan maupun asal)
Perlu diingat bahwa extended IP access list diberikan nomor antara 100 dan 199
Pada contoh berikut adalah list extended access list yang menolak semua packet dari host 10.1.1.1 yang dikirim ke host 15.1.1.1 dan diterapkan pada interface serial kedua S1
Router (config) #access-list 101 permit ip any any
Router (config) #access-list 101 deny ip 10.1.1.1 0.0.0.0 15.1.1.1 0.0.0.0
Router (config) #int s1
Router (config-if) # ip access-group 101 in
Pada contoh berikut suatu extended access list dibuat yang tidak melewatkan packet TCP dari semua host pada jaringan 10.0.0.0 menuju jaringan 11.12.0.0, dan diterapkan pada suatu interface serial pertama S0
Router (config-if) #access-list 111 permit ip any any
Router (config-if) #access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0 0.0.255.255
Router (config)#int s0
Router (config-if)# ip access-group 111 in
Perlu dicatat bahwa kita hanya mempunyai satu IP access list incoming / outgoing untuk masing-masing interface.
Command berikut adalah ringkasan command untuk digunakan melihat informasi access list tertentu pada router.
Jika ingin melihat Gunakan command berikut
Semua access list yang ada pada router Show run
Show access-list
Semua access list yang diteapkan pada suatu interface Show ip int
Show run
Semua informasi traffic yang ditolak Show log
IP access list yang dikonfigurasikan pada router Show run
Show ip access-lists
IPX access list yang dikonfigurasikan pada router Show run
Show ipx access-lists
Adalah sangat penting sekali memahami bagaimana access list ini bekerja pada router Cisco anda untuk memberikan proteksi berdasarkan karakteristik traffic yang masuk atau keluar. Perlindungan ini adalah dasar keamanan jaringan standard kepada infrastructure jaringan corporate anda. Masih banyak yang harus dibuat terutama mengenai kemanan informasi yang berupa framework, concept, policy yang disesuaikan dengan kebutuhan keamanan corporate anda.
sumber : http://www.sysneta.com
http://student.eepis-its.edu/~izankboy/laporan/Jaringan/

Thursday, March 24, 2011

Konfigurasi My Cisco


Konfigurasi RIP: Memanipulasi metric RIP

Sebuah serial link yang dipakai sebagai backup telah ditambahkan pada Ernest-Barney, lihat gambar topologi yang baru dibawah ini. Link tersebut hanya boleh digunakan sebagai backup jika route/jalur via Andy mengalami kegagalan. Masalahnya adalah jalur antara subnet 10.33.0.0 Barney dan subnet 10.33.32.0 Ernest memiliki metric sejauh 1 hop jika melalui link serial dan sejauh 2 hop jika melalui link ethernet via Andy. Pada keadaan normal, RIP akan memilih serial link sebagai jalur terbaik.
Untuk itu, metric RIP harus dimanipulasi agar link ethernet yang memiliki metric 2 hop lebih diutamakan dari pada link serial yang sejauh 1 hop.
1-tplg-rip-metric
Metric route dapat dimanipulasi dengan perintah offset-list. Perintah tersebut menentukan besar angka yang akan ditambahkan pada metric dari entri route dan mengacu pada sebuah access list untuk menentukan entri route yang mana saja yang akan dimodifikasi. Syntax dari perintah tersebut seperti berikut:
offset-list {access-list-number | name} { in | out} offset [type number]
konfigurasi pada Ernest dapat berupa sebagai berikut:
Ernest(config)#access-list 1 permit 10.33.0.0 0.0.0.0
Ernest(config)#router rip
Ernest(config-router)#network 192.168.12.0
Ernest(config-router)#network 10.0.0.0
Ernest(config-router)#offset-list 1 in 2 s1/0
Ernest(config-router)#^Z
Ernest#
Access list yang tertulis diatas mengidentifikasikan sebuah route subnet 10.33.0.0. Syntax dari offset list mengatakan, “Periksa semua advertisements RIP yang datang dari interface s1/0. tambahkan 2 hop metric untuk setiap entri route yang sesuai dengan address-address yang ditentukan dalam access list 1
Berikut contoh hasil debug pada Ernest
Ernest#debug ip rip
RIP protocol debugging is on
Ernest#
*Mar 1 00:59:51.839: RIP: sending v1 update to 255.255.255.255 via Ethernet0/0 (192.168.12.196)
*Mar 1 00:59:51.843: RIP: build update entries
*Mar 1 00:59:51.843: network 10.0.0.0 metric 1
*Mar 1 00:59:51.847: RIP: sending v1 update to 255.255.255.255 via Ethernet0/0 (10.33.75.2)
*Mar 1 00:59:51.851: RIP: build update entries
*Mar 1 00:59:51.851: subnet 10.33.16.0 metric 1
*Mar 1 00:59:51.855: subnet 10.33.32.0 metric 1
*Mar 1 00:59:56.459: RIP: sending v1 update to 255.255.255.255 via Serial1/0 (10.33.25.2)
*Mar 1 00:59:56.463: RIP: build update entries
*Mar 1 00:59:56.463: subnet 10.0.0.0 metric 2
*Mar 1 00:59:56.467: subnet 10.33.0.0 metric 3
*Mar 1 00:59:56.467: subnet 10.33.32.0 metric 1
*Mar 1 00:59:56.471: subnet 10.33.64.0 metric 1
*Mar 1 00:59:56.471: network 192.168.12.0 metric 1
*Mar 1 00:59:56.847: RIP: sending v1 update to 255.255.255.255 via Loopback1 (10.33.35.1)
*Mar 1 00:59:56.851: RIP: build update entries
*Mar 1 00:59:56.851: subnet 10.0.0.0 metric 2
*Mar 1 00:59:56.855: subnet 10.33.0.0 metric 3
*Mar 1 00:59:56.855: subnet 10.33.16.0 metric 1
*Mar 1 00:59:56.859: subnet 10.33.48.0 metric 2
*Mar 1 00:59:56.859: subnet 10.33.64.0 metric 1
*Mar 1 00:59:56.863: network 192.168.12.0 metric 1
*Mar 1 00:59:56.863: network 192.168.83.0 metric 2
*Mar 1 01:00:10.291: RIP: received v1 update from 10.33.25.1 on Serial1/0
*Mar 1 01:00:10.295: 10.0.0.0 in 2 hops
*Mar 1 01:00:10.295: 10.33.0.0 in 3 hops
*Mar 1 01:00:10.299: 10.33.32.0 in 3 hops
*Mar 1 01:00:10.299: 10.33.48.0 in 1 hops
*Mar 1 01:00:10.303: 192.168.83.0 in 1 hops
*Mar 1 01:00:11.871: RIP: received v1 update from 192.168.12.195 on Ethernet0/0
*Mar 1 01:00:11.875: 10.0.0.0 in 1 hops
*Mar 1 01:00:11.875: 192.168.12.64 in 1 hops
*Mar 1 01:00:11.879: 192.168.83.0 in 1 hops
*Mar 1 01:00:11.883: RIP: received v1 update from 10.33.75.1 on Ethernet0/0
*Mar 1 01:00:11.883: 10.33.0.0 in 2 hops
*Mar 1 01:00:11.887: 10.33.48.0 in 1 hops
*Mar 1 01:00:11.887: 192.168.12.0 in 1 hops
*Mar 1 01:00:11.891: 192.168.83.0 in 1 hops
*Mar 1 01:00:19.435: RIP: sending v1 update to 255.255.255.255 via Ethernet0/0 (192.168.12.196)
*Mar 1 01:00:19.439: RIP: build update entries
*Mar 1 01:00:19.439: network 10.0.0.0 metric 1
*Mar 1 01:00:19.443: RIP: sending v1 update to 255.255.255.255 via Ethernet0/0 (10.33.75.2)
*Mar 1 01:00:19.447: RIP: build update entries
*Mar 1 01:00:19.447: subnet 10.33.16.0 metric 1
*Mar 1 01:00:19.451: subnet 10.33.32.0 metric 1
*Mar 1 01:00:22.739: RIP: sending v1 update to 255.255.255.255 via Serial1/0 (10.33.25.2)
*Mar 1 01:00:22.743: RIP: build update entries
*Mar 1 01:00:22.743: subnet 10.0.0.0 metric 2
*Mar 1 01:00:22.747: subnet 10.33.0.0 metric 3
*Mar 1 01:00:22.747: subnet 10.33.32.0 metric 1
*Mar 1 01:00:22.751: subnet 10.33.64.0 metric 1
*Mar 1 01:00:22.751: network 192.168.12.0 metric 1
*Mar 1 01:00:25.999: RIP: sending v1 update to 255.255.255.255 via Loopback1 (10.33.35.1)
*Mar 1 01:00:26.003: RIP: build update entries
*Mar 1 01:00:26.003: subnet 10.0.0.0 metric 2
*Mar 1 01:00:26.007: subnet 10.33.0.0 metric 3
*Mar 1 01:00:26.007: subnet 10.33.16.0 metric 1
*Mar 1 01:00:26.011: subnet 10.33.48.0 metric 2
*Mar 1 01:00:26.011: subnet 10.33.64.0 metric 1
*Mar 1 01:00:26.015: network 192.168.12.0 metric 1
*Mar 1 01:00:26.015: network 192.168.83.0 metric 2
*Mar 1 01:00:38.079: RIP: received v1 update from 192.168.12.195 on Ethernet0/0
*Mar 1 01:00:38.083: 10.0.0.0 in 1 hops
*Mar 1 01:00:38.083: 192.168.12.64 in 1 hops
*Mar 1 01:00:38.087: 192.168.83.0 in 1 hops
*Mar 1 01:00:38.091: RIP: received v1 update from 10.33.75.1 on Ethernet0/0
*Mar 1 01:00:38.091: 10.33.0.0 in 2 hops
*Mar 1 01:00:38.095: 10.33.48.0 in 1 hops
*Mar 1 01:00:38.095: 192.168.12.0 in 1 hops
*Mar 1 01:00:38.099: 192.168.83.0 in 1 hops
*Mar 1 01:00:39.003: RIP: received v1 update from 10.33.25.1 on Serial1/0
*Mar 1 01:00:39.007: 10.0.0.0 in 2 hops
*Mar 1 01:00:39.011: 10.33.0.0 in 3 hops
*Mar 1 01:00:39.011: 10.33.32.0 in 3 hops
*Mar 1 01:00:39.015: 10.33.48.0 in 1 hops
*Mar 1 01:00:39.015: 192.168.83.0 in 1 hops
*Mar 1 01:00:48.807: RIP: sending v1 update to 255.255.255.255 via Ethernet0/0 (192.168.12.196)
*Mar 1 01:00:48.811: RIP: build update entries
*Mar 1 01:00:48.811: network 10.0.0.0 metric 1
*Mar 1 01:00:48.815: RIP: sending v1 update to 255.255.255.255 via Ethernet0/0 (10.33.75.2)
*Mar 1 01:00:48.819: RIP: build update entries
*Mar 1 01:00:48.819: subnet 10.33.16.0 metric 1
*Mar 1 01:00:48.823: subnet 10.33.32.0 metric 1
*Mar 1 01:00:50.835: RIP: sending v1 update to 255.255.255.255 via Serial1/0 (10.33.25.2)
*Mar 1 01:00:50.839: RIP: build update entries
*Mar 1 01:00:50.839: subnet 10.0.0.0 metric 2
*Mar 1 01:00:50.843: subnet 10.33.0.0 metric 3
*Mar 1 01:00:50.843: subnet 10.33.32.0 metric 1
*Mar 1 01:00:50.847: subnet 10.33.64.0 metric 1
*Mar 1 01:00:50.847: network 192.168.12.0 metric 1
Penambahan yang ditentukan dalam offset list merubah hop count subnet 10.33.0.0/20 via s1/0 dari 1 menjadi 3 hop. Dengan begitu route ethernet dengan 2 hop akan lebih diutamakan.
Perhatikan tabel routing Ernest berikut, Ernest dapat mencapai subnet 10.33.0.0/20 via Andy sejauh 2 hop.
Ernest#sh ip route
192.168.12.0/27 is subnetted, 3 subnets
R 192.168.12.64 [120/1] via 192.168.12.195, 00:00:20, Ethernet0/0
R 192.168.12.0 [120/1] via 10.33.75.1, 00:00:20, Ethernet0/0
C 192.168.12.192 is directly connected, Ethernet0/0
R 192.168.83.0/24 [120/1] via 192.168.12.195, 00:00:20, Ethernet0/0
[120/1] via 10.33.75.1, 00:00:20, Ethernet0/0
[120/1] via 10.33.25.1, 00:00:19, Serial1/0
10.0.0.0/20 is subnetted, 6 subnets
R 10.0.0.0 [120/1] via 192.168.12.195, 00:00:20, Ethernet0/0
C 10.33.32.0 is directly connected, Loopback1
R 10.33.48.0 [120/1] via 10.33.75.1, 00:00:20, Ethernet0/0
[120/1] via 10.33.25.1, 00:00:19, Serial1/0
R 10.33.0.0 [120/2] via 10.33.75.1, 00:00:20, Ethernet0/0
C 10.33.16.0 is directly connected, Serial1/0
C 10.33.64.0 is directly connected, Ethernet0/0
Ernest#
Dan Barney dapat mencapai subnet 10.33.32.0/20 via Andy sejauh 2 hop.
Barney#sh ip route
R 192.168.12.0/24 [120/1] via 192.168.83.1, 00:00:05, Ethernet0/0
[120/1] via 10.33.55.2, 00:00:05, Ethernet0/0
[120/1] via 10.33.25.2, 00:00:00, Serial1/0
C 192.168.83.0/24 is directly connected, Ethernet0/0
10.0.0.0/20 is subnetted, 6 subnets
R 10.0.0.0 [120/1] via 192.168.83.1, 00:00:05, Ethernet0/0
R 10.33.32.0 [120/2] via 10.33.55.2, 00:00:05, Ethernet0/0
C 10.33.48.0 is directly connected, Ethernet0/0
C 10.33.0.0 is directly connected, Loopback1
C 10.33.16.0 is directly connected, Serial1/0
R 10.33.64.0 [120/1] via 10.33.55.2, 00:00:05, Ethernet0/0
[120/1] via 10.33.25.2, 00:00:00, Serial1/0
Tersedia juga beberapa opsi konfigurasi offset list yang lain. jika tidak ada interface yang ditetapkan, maka list akan memodifikasi setiap update yang masuk atau keluar yang ditentukan dalam access list pada setiap interface. Jika tidak ada access list yang digunakan, offset list akan memodifikasi semua update yang masuk atau keluar.
Perlu ketelitian yang lebih untuk memilih apakah menggunakan offset list pada advertisement yang datang atau yang keluar. Terlebih lagi jika router terhubung pada network broadcast, harus dipertimbangkan lagi apakah satu router harus membroadcast advertisement yang telah dimodifikasi pada semua neighbor ataukah satu router harus memodifikasi semua advertisement yang datang.
Juga harus lebih berhati-hati saat mengimplementasikan offset list pada route yang sedang digunakan. Jika sebuah offset list menyebabkan router next-hop mengadvertise metric yang lebih besar daripada yang selama ini dia advertise, maka route akan ditandai sebagai unreachable sampai holddown timer berakhir.

Manipulating Routing Map On Cisco Router 2800

Pastikan dulu koneksi internet sudah berjalan normal sebelum ditambahkan transparent proxy. Baik pada proxy server maupun pc client. Pada konfigurasi dibawah, router sebagai gateway LAN dengan IP 10.128.10.1/24. Router, proxy, dan firewall memiliki segment IP yang sama 172.18.10.0/29. Sedangkan firewall memiliki interface ke internet dan menjalankan fungsi NAT. Konfigurasi seperti ini tidak mutlak, hanya sebagai satu contoh aja.

Setiap request http yang melalui router akan diredirect ke proxy server dengan policy-based routing.

Konfigurasi pada Cisco:

#ACL

access-list 110 deny tcp any any neq www
access-list 110 deny tcp host 172.18.10.3 any
access-list 110 deny tcp any 10.0.0.0 0.255.255.2551)
access-list 110 deny tcp any 172.0.0.0 0.31.255.2551)
access-list 110 deny tcp any 192.168.0.0 0.0.255.2551)
access-list 110 permit tcp any any

1)Contoh acl tambahan bila dibutuhkan akses ke beberapa webserver di jaringan lokal (intranet, WAN).

#POLICY

route-map proxy-redirect permit 10
match ip address 110
set ip next-hop 172.18.10.3

#Subinterface ke LAN

ip policy route-map proxy-redirect

Konfigurasi iptables pada Proxy Linux (Fedora Core 6):

iptables -A INPUT -p tcp -s 10.18.10.0/24 –dport 80 -j ACCEPT2)
iptables -A INPUT -p tcp -s 10.18.10.0/24 –dport 3128 -j ACCEPT2)
iptables -t nat -A PREROUTING -p tcp -s 10.18.10.0/24 -d –dport 80 -j REDIRECT –to-port 312