Jejak Berjejak

Sudah lama nih ngak nulis lagi. Kali ini saya ingin share mengenai access-list antar VLAN.
Begini ceritanya, ada satu kasus di dimana di LAN nya dilakukan segmentasi menggunakan VLAN dengan alasan sekuriti, dll. Antara server farm, user dan manager dibedakan VLAN nya. Misalkan ada VLAN Server Farm, VLAN Manager dan VLAN User.
Skenarionya seperti ini:
1.Masing-masing pc di VLAN User dan VLAN manager hanya bisa akses ke Server via port http, ssh dan ping, selain itu di blok.
2.Pc di VLAN User dan VLAN Manager tidak boleh saling berkomunikasi kecuali untuk kebutuhan file dan printer sharing dan ping, selain itu di blok. Artinya masing-masing Manager dan User bisa saling share file dan printer.
Ilustrasinya sbb:

Konfigurasi sederhananya di cisco catalyst sbb:
Di Core Switch (L3 switch) dibuatkan switched virtual interface (SVI)
Create masing-masing VLAN:
VLAN Server Farm
VLAN 2
name VLAN_SERVER

VLAN Manager
VLAN 10
name VLAN_MGR

VLAN User:
VLAN 20
name VLAN_USR

Dibuatkan gateway untuk masing-masing VLAN menggunakan SVI:
Interface VLAN 2
ip address 10.1.2.254 255.255.255.0
description Gateway Server Farm

Interface VLAN10
ip address 10.1.10.254 255.255.255.0
description Gateway Manager

Interface VLAN 20
ip address 10.1.20.254 255.255.255.0
description Gateway User

Untuk sederhananya, di core switch diassign beberapa access port untuk User, Manager dan Server. Assign port di access switch sesuai dengan pembagian VLAN. Misalkan PC User konek ke port switch Fa1/0, PC Manager konek ke port switch Fa1/1, dan Server konek ke port switch Fa1/2
User:
interface Fa1/0
switchport mode access
switchport access vlan 20
Manager:
interface Fa1/1
switchport mode access
switchport access vlan 10
Server:
interface Fa1/2
switchport mode access
switchport access vlan 2

Sesuai skenario diatas, masing-masing PC user dan PC manager hanya bisa akses ke server via port http dan ssh, diluar itu di blok, dan Masing-masing PC User dan Manager bisa saling share printer dan file, diluar itu di blok.
Access list yang dibuat untuk VLAN User:

Extended IP access list FilterMGR-VLAN10
10 permit tcp host 10.1.10.100 host 10.1.2.100 eq www
20 permit tcp host 10.1.10.100 host 10.1.2.100 eq ssh
30 permit tcp host 10.1.10.100 host 10.1.20.100 eq 445
40 permit tcp host 10.1.10.100 eq 445 host 10.1.20.100
50 permit tcp host 10.1.10.100 host 10.1.20.100 range 137 139
60 permit icmp any any

Extended IP access list FilterUSR-VLAN20
10 permit tcp host 10.1.20.100 host 10.1.2.100 eq www
20 permit tcp host 10.1.20.100 host 10.1.2.100 eq ssh
30 permit tcp host 10.1.20.100 host 10.1.10.100 eq 445
40 permit tcp host 10.1.20.100 eq 445 host 10.1.10.100
50 permit tcp host 10.1.20.100 range 137 139 host 10.1.10.100
60 permit icmp any any

Apply access-list yang baru dibuat ke masing-masing SVI VLAN manager dan User:
SVI VLAN Manager:
Interface VLAN10
ip access-group FilterMGR-VLAN10 in

SVI VLAN User:
Interface VLAN20
ip access-group FilterUSR-VLAN20 in

Keterangan:
Tcp port 445 adalah port yang dipakai untuk file sharing (SMB)
Tcp port 137-139 adalah port yang dipakai untuk printer sharing

Satu hal lagi, jangan lupa, pastikan jika di client ada personal firewall (semisal windows firewall), pastikan di masing-masing pc user dan managernya, port tcp 137-139 dan 445 nya allow untuk beda segmen.

Troubleshooting:
Ada implisit deny di akhir masing-masing access list diatas. Artinya jika policy yang dibuat tidak memenuhi kriteria access list diatas maka selanjutnya paket akan di drop (implisit deny). Cuma untuk membantu memastikan/melihat bahwa acl yang kita buat dan di apply ke masing-masing interface itu sudah betul dan dicapture langsung di log cataksyt, ada perintah yang bisa digunakan untuk mengeceknya.
1.Aktifkan logging buffered di Core switch agar kita bisa liat langsung bekerjanya access list tersebut
SWCORE(config)#logging buffered informational
2.Tambahkan di baris terakhir dari access-list yang kita buat access-list deny ip any any log untuk melihat apakah list yang kita buat sudah sesuai keinginan.
Misalkan untuk VLAN User
Extended IP access list FilterUSR-VLAN20
10 permit tcp host 10.1.20.100 host 10.1.2.100 eq www
20 permit tcp host 10.1.20.100 host 10.1.2.100 eq ssh
30 permit tcp host 10.1.20.100 host 10.1.10.100 eq 445
40 permit tcp host 10.1.20.100 eq 445 host 10.1.10.100
50 permit tcp host 10.1.20.100 range 137 139 host 10.1.10.100
60 permit icmp any any
70 deny ip any any log <——- tambahkan
3.Coba lakukan tes koneksi dari pc user ke manager atau sebaliknya. Misalkan di manager port telnetnya kebuka, coba lakukan telnet dari pc user ke pc manager, maka di layar catalyst akan muncul lognya.

Semuga uraian ini membantu. Terima kasih.

Saya mencoba sharing pengalaman cara menginstal Ubuntu ME (8.0.4) agar bisa jalan di BYON M31W S/S - T5750, Intel® Core 2 Duo T5750 2.0 GHz / 2 MB L2 Cache / 667(http://www.byon.co.id/product/index.php?act=specnotebook&p_id=101).

Pengalaman pertama kali booting dengan Ubuntu live CD, disuguhi kenyataan tampilan teks yang kacau balau dan muncul pesan error minta update bios ??? Masa baru saya beli (Nov 2008) sudah harus diupdate biosnya, aduh biyung……ampun deh

Setelah googling ternyata masalahnya ada di chipsetnya SISM672, VGA Mirage 3+256MB shared, yang konon baca di forum-forum chipset tipe tsb ‘kurang’ mendapat dukungan khususnya di Ubuntu.

Driver bawaannya hanya untuk Windows XP dan Vista saja Notebook sudah dibeli, masa harus tukar guling dengan tipe lain? Alasan klasik, masalah budget tentunya

Jadilah proyek pertama untuk notebook tersebut bagaimana caranya agar bisa diinstal linux, khususnya ubuntu .

Positifnya adalah moga2 pihak produsen BYON kedepannya bisa menyediakan driver untuk linux di setiap produk yang ditawarkannya, sehingga user/pembeli bisa memilih OS apa yang mau diinstal di notebooknya, yang bisa disesuai dengan selera, kebutuhan, dan budgetnya. (pesan sponsor, he..he..).
Cukup ini sekedar pengantarnya. Mari kita mulai.

###
Referensi instalasi diambil dari link: http://forum.chip.co.id/f303-byon-notebook-represented/109819-byon-m31w-s-s-support-linux-gk-5.html (thank to radicx), dengan tambahan opsi di boot optionnya: vga=788 untuk gantikan opsi quiet, serta tambahan opsi acpi=off noapic nolapic dan pnpbios=off (Selanjutnya diterangkan di bawah).

Saya urutkan lagi langkah2nya sbb:
1.Tekan F6 pada menu boot, dan edit boot option sbb:
masukan opsi vga=788, acp1=off noapic nolapic, dan pnpbios=off
Kode:
/vmlinuz-2.6.24-19-generic root=UUID=65100fb0-8e19-41b8-bd10-a5d42e00c987 ro vga=788 splash acp1=off noapic nolapic pnpbios=off

#Opsi quiet saya ganti dengan vga=788, untuk mendapatkan resolusi 800x600 (solusi untuk layar yang bergetar, tampilan teks yang kacau balau)
#pnpbis=off, untuk solusi error update bios ketika booting
Tekan Enter untuk apply, dan tekan b untuk melakukan booting dengan booting option diatas.
2.Lakukan instalasi Ubuntu ME seperti biasa (saya buat partisi: /boot, swap, /, /tmp, /var, /home), saya gunakan grub, untuk opsi pilihan booting via Ubuntu atau O/S lain.
3.Setelah Ubuntu terinstal, masuk ke console, dan edit menu.lst
#sudo gedit /boot/grub/menu.lst
di opsi kernel, update seperti kode langkah 1.
Kode:
kernel /vmlinuz-2.6.24-19-generic root=UUID=65100fb0-8e19-41b8-bd10-a5d42e00c987 ro vga=788 splash acp1=off noapic nolapic pnpbios=off
Dan jangan lupa di save.
4.Tambahkan script berikut di /etc/modules
#sudo gedit /etc/modules
Kode:
apm power_off=1
Langkah-langkah diatas merupakan solusi untuk masalah layar yang bergetar, tampilan teks yang kacau balau, tidak bisa booting dengan pesan error minta update bios dan shutdown yang sempurna.(?)

Sekarang saya sudah bisa login di linux, cuma ada kendala karena tampilan layar hanya memiliki resolusi 800x600 sesuai opsi vga=788. Sekarang, bagaimana caranya agar resolusinya menjadi optimal untuk VGA SiS yang ada.
Berikut adalah update driver 2D/3D untuk VGA SiS M672 sehingga mendapatkan resolusi 1280x800. Cek link berikut:
http://ubuntuforums.org/showpost.php?p=4697207&postcount=4 dan
http://ubuntuforums.org/showthread.php?p=4952576
5.Download file intelsrc.tar.bz2 dari http://ubuntuforums.org/showpost.php?p=4697207&postcount=4
6.Lakukan instalasi
Kode:
#sudo apt-get build-dep xserver-xorg-video-sis
#sudo apt-get install displayconfig-gtk
#tar -xjf intelsrc.tar.bz2
#cd 2d-driver
#./configure –prefix=/usr
#sudo make install
#sudo displayconfig-gtk

[Click on Graphics Card –> Driver –> Choose driver by name –> sis (Silicon Integrated Systems)
Go back to Screen, click Model and select appropriate resolution from generic (in my case:
Generic LCD Panel 1280x800), remember to tick widescreen box if your monitor is widescreen
Choose appropriate screen resolution. Done]

Sip, sekarang notebook sudah pakai resolusi 1280x800, tampilannya jauh lebih baik.

Jangan lupa!! kembalikan lagi opsi vga=788 ke quiet di boot option sebelum restart notebooknya.
#sudo gedit /boot/grub/menu.lst
Kode:
kernel /vmlinuz-2.6.24-19-generic root=UUID=65100fb0-8e19-41b8-bd10-a5d42e00c987 ro quiet splash acp1=off noapic nolapic pnpbios=off
Dan jangan lupa di save kembali.

Sudah selesai? ternyata belum masih ada kendala, antara lain bagaimana mengenal WiFi nya?
Harus menunggu diposting berikutnya nih )

Saya melanjutkan cerita mengenai betapa powerfullnya Cisco Emulator ini, saya akan memulainya dengan bahasan mengenai Bridging dan Switching (L2&L3), disini berisi:
#topologi jaringan
#file konfigurasi (.net), yang di run menggunakan dynagen (atau GNS3)
#initial config, dan capture konfigurasi router

Seperti dikatakan di bahasan saya sebelumnya mengenai GNS3, untuk mengfungsikan router menjadi switch bisa dengan menggunakan module etherswitch (NM-16ESW), cuma memiliki keterbatasan fitur, antara lain konfigurasi VLAN hanya bisa menggunakan command vlan database, bukan di mode config seperti yang diremokendasikan:

P1DSW1#vlan database
% Warning: It is recommended to configure VLAN from config mode,
as VLAN database mode is being deprecated. Please consult user
documentation for configuring VTP/VLAN in config mode.

Point:
Disini fungsi switch (L2/L3) baik access switch dan distribution switch digantikan dengan router seri 3725 dengan IOS versi (c3725-adventerprisek9-mz.124-15.T5.BIN) ditambah dengan modul NM-16ESW.
Sedangkan untuk fungsi host digunakan Virtual PC Simulator (vpcs).

Untuk penjelasan yang cukup detail mengenai ini bisa merujuk ke link ini: http://ccie-in-3-months.blogspot.com/search/label/dynamips
Terkait dengan bahasan ini, saya ringkas beberapa hal dari link diatas:
@create vlan di config mode ternyata hidden command!!
P1DSW1(config)#vlan ?
accounting VLAN accounting configuration
ifdescr VLAN subinterface ifDescr
P1DSW1(config)#vlan 1900
P1DSW1(config-vlan)#
P1DSW1(config-vlan)#

@Disini kita hanya bisa create extended-range vlans (1006-4094).
@Extended-range Vlan bisa dicreate asalkan VTP mode harus di set transparent (nilai defaultnya VTP adalah Server mode).

Saya kira untuk kebutuhan lab ini sudah cukup, betul ya?

#Topologi Jaringan
Topologi jaringan untuk switching digambarkan sbb:

Gambar 1. Topologi untuk Switching

Keterangan:
P1ASW1 dan P2ASW2 adalah access switch
P1DSW1 dan P2DSW2 adalah distribution switch
PC1 dan PC2 adalah host

#Konfigurasi File (.net)
Untuk file konfigurasi ini saya gunakan di dynagen (dengan GNS3 tentunya lebih memudahkan karena ditambah tampilan grafis untuk topologi jaringannya, sangat memudahkan secara visual)

File .net: bcmsn01.net
################
autostart = false

[[ROUTER P2ASW2]]
model = 3725
console = 2004
slot1 = NM-16ESW
Fa1/5 = NIO_udp:30001:127.0.0.1:20001

###########
Cara membaca dan membuat file .net ini bisa merujuk pada tutorial offline yang ada di folder \Dynamips\docs\ ketika kita pertama kali menginstal bundle dynagen (+dynamips) di laptop kita. Untuk versi online, bisa merujuk pada bahasan sebelumnya mengenai GNS3.

#Initial Config dan Capture Konfigurasi
Untuk kebutuhan lab ini dan selanjutnya, saya gunakan initial config seperti ini, silakan sesuaikan dengan kebutuhan anda.
@apply di config mode
###########
config-register 0x2102
service password-encryption
enable secret cisco
logging buffered
clock timezone GMT 0
line con 0
no exec-timeout
logging synchronous
no ip domain-lookup
line vty 0 4
no exec-timeout
secret cisco
login
exit
exit
clear logging
copy run start
exit
###########

Gambar 2. Vlan 1900 dan 1901 adalah vlan yang dicreate di config mode

Gambar 3. Show vtp status

Gambar 4. Show int status

Topologi diatas bisa digunakan untuk mempelajari module exam BCMSN: VLAN, Trunking, VTP, Spanning Tree, Portfast, L3 Switching, QoS, dll
Silakan melanjutkan, mari kita sama-sama belajar!.

Sangat menarik mengikuti perkembangan Cisco Emulator - GNS3 (Graphical Network Emulator).

Baru-baru ini dirilis Tutorial GNS3-0.5 oleh Mike Fuzner (version 1.0). Download tutorial lengkap GNS3 ini ada di link: http://downloads.sourceforge.net/gns-3/GNS3-0.5-tutorial.pdf?download

Tutorial ini menjadi panduan (hampir) lengkap untuk Graphical Network Emulator, saya katakan hampir lengkap karena ada satu topik yang belum dimasukkan untuk melengkapi apa yang bisa dilakukan oleh sebuah emulator dibandingkan dengan Router simulator yang ada sekarang ini.

Pertanyaannya masihkan perlu router simulator?

Ini emulator bos!!, mirip seperti vmware atau Virtual PC yang bisa mengemulasikan OS dan lingkungan virtual. Kalo yang ini mengemulasikan Cisco IOS dan FIX Firewall dalam lingkungan virtual di pc anda!!

Emulator dengan tampilan grafis ini jauh melampaui router simulator. Tampilan grafis memang memudahkan untuk visualisasi topologi network, jika terbiasa dengan commad line, sebenarnya dynagen telah lebih dari cukup.

Bagi yang belum familiar dengan Cisco Emulator dan GNS3 ini bisa mengawali dari link sbb:
http://www.ipflow.utc.fr/index.php/Cisco_7200_Simulator Dynamips – the actual emulator
http://www.ipflow.utc.fr/blog/ Dynamips blog
http://dyna-gen.sourceforge.net/ Dynagen (front end Dynamips, command line)
http://www.ipflow.utc.fr/bts/ Dynamips/Dynagen bug tracking
http://7200emu.hacki.at Hacki’s forum (forum diskusi)
http://www.gns3.net GNS3’s primary Web site (front end Dynamips, graphical)
http://wiki.gns3.net GNS3’s Wiki site
http://www.gns3-labs.com/ Share topologi untuk GNS3

Isu yang selama ini menjadi kekurangan (ada kekurangan??) mendorong orang lain untuk menyempurnakannya..inilah dunia open source, dimana setiap orang bisa berkolaborasi memperbaiki, melengkapi fitur2 yang ada.

Tutorial ini hampir lengkap dari mulai pengenalan GNS3, Quick GNS guide untuk pengguna Windows dan Ubuntu, bagaimana cara membangun topologi di GNS, dll termasuk solusi untuk isu-isu yang muncul terkait seperti bagaimana mengemulasikan host, idlepc, IOS compressed, capture paket, pemakaian cpu dan memori. (Yang sering dibahas di Hacki Forum)

Saya mencatat beberapa hal yang kerap menjadi isu terkait dengan kemampuan emulator ini adalah
1. Bagaimana mengemulasikan host dalam sebuah topologi yang kita buat.
2. Isu pemakaian CPU dan memori
3. Isu bagaimana mengemulasikan switch Catalyst (L2/L3)

Untuk point 1, secara minimal sebenarnya bisa diakali dengan membuat interface loopback sebagai pengganti host (yg memiliki ip addresss), cuma kalo kita membutuhkan kemampuan ping atau traceroute, biasanya digunakan VMware atau Virtual PC sebagai pengganti host atau menggunakan router sebagai host (yang bisa melakukan ping dan traceroute), cuma solusi ini memakan resources cpu yang cukup intensif padahal kebutuhannya cuma untuk bisa melakukan ping dan traceroute.
Disini diperkenalkan solusi menggunakan Virtual PC Simulator: VPCS (ini bukan Virtual PC buatan Microsoft ya), untuk difungsikan sebagai host pada topologi yang kita buat.
Link tools ini : http://wiki.freecode.com.cn/doku.php?id=wiki:vpcs.
Ini adalah program yang bisa jalan di Windows dan linux dengan fungsi terbatas, akan tetapi memiliki kemampuan yang penting untuk diposisikan sebagai host dalam topologi yang kita buat (bisa ping dan traceroute). VPCS ini dapat menghemat resource memori dan CPU. VPCS ini bisa mensimulasikan sampai 9 buah PC virtual. Mantap!!

Untuk point 2, terkait dengan isu pemakain CPU dan memori yang intensif, karena emulator ini menggunakan Cisco IOS & FIX, bergantung seberapa banyak router yang kita emulasikan, dan tipe router/IOS yang digunakan, akan memakan resourses yang intensif. Solusi pertamanya adalah dengan menggunakan idlepc, yang bisa mengurangi secara signifikan penggunaan cpu dan memori, cuma untuk FIX Firewall tidak ada konfigurasi idlepc seperti di IOS, sehingga emulasi FIX kerap akan memakan resources CPU hampir 100%. Oleh karena itu digunakan third-party software untuk mengontrol penggunaan CPU ini. Untuk windows bisa gunakan tools BES (http://mion.faireal.net/bes/) dan di linux menggunakan cpulimit (http://cpulimit.sf.net atau http://cpulimit.sourceforge.net). Tools ini bahkan bisa dipakai tidak hanya untuk membatasi pengunaan cpu untuk emulasi FIX Firewall bisa juga dipakai untuk membatasi penggunaan cpu untuk emulasi IOS (walaupun sudah diantisipasi dengan idlepc).

Untuk point 3, ini yang saya bilang kurang di manual ini adalah fitur emulasi switch catalyst (L2/L3). Di tutorial ini menyinggung mengenai etherswitch card (NM-16ESW), dengan fitur-fitur terbatas untuk mengemulasikan switch. Disini kita bisa menggunakan router 3725 dengan IOS (c3725-adventerprisek9-mz.124-15.T5.BIN) plus modul NM-16ESW, dengan kombinasi ini kita bisa mendapatkan semua fitur dari switch catalyst (L2/L3). Link tutorial terkait ada di: http://ccie-in-3-months.blogspot.com/search/label/dynamips

Kalo sudah seperti ini, rasanya buang-buang waktu kalau kita masih menggunakan router simulator untuk belajar cisco networking, selain router simulator itu berbayar dan fitur2nya yang sangat terbatas. Ini adalah emulator Cisco IOS dan FIX Firewall. Kita bisa buat topologi network yang kompleks di pc atau laptop kita, bisa dipakai belajar networking, bisa dipakai untuk mensimulasikan konfigurasi sebelum di deploy di live network, serta bisa jadi alat latihan lab untuk bisa ambil exam CCNA sampe CCIE.

Selamat belajar menuju CCIE!!.

Akses remote ke Cisco router/switch secara default menggunakan telnet. Dengan alasan sekuriti, kita membutuhkan komunikasi yang lebih aman, yakni dengan ssh.

Secure Shell (SSH) adalah program yang memungkinkan kita login ke mesin melewati jaringan, mampu mengeksekusi mesin secara remote, dan memindahkan file dari satu mesin ke mesin lain. Ssh memberikan autentifikasi dan komunikasi yang aman melewati jalur yang tidak aman. Ketika kita menggunakan ssh, semua sesi login, termasuk transmisi password dienkripsi maka dengan demikian lebih aman.

Saya googling dan menemukan artikel berikut di websiteCisco:
“Configuring Secure Shell on Routers and SwitchesRunningCiscoIOS”

Untuk bisa menerapkan akses ssh ke router/switch Cisco, saya mendapati hal-hal sebagai berikut:
*Ssh hanya mendukung autentifikasi dengan username dan password, tidak seperti akses telnet yang minimal hanya membutuhkan autentifkasi password untuk bisa akses ke mesin.
*Artinya saya harus meng’create username dan password terlebih dahulu.
*Saya perlu mengaktifkan aaa new model atau perintah login local dibawah line vty untuk autentifikasi username dan password.
*Membutuhkan hostname dan nama domain untuk bisa mengenerate key. Karena router menggunakan FQDN sebagai label di key pair.
*Maka ssh akan eksis secara default.

Pra kondisi: kita membutuhkan versi IOS minimal 12.1 (silakan cek dengan perintah sh version)

Berikut adalah tahapan untuk mengaktifkan ssh:
1.Pertama, kita perlu menset hostname
hostname mycisco

2.Kedua, kita perlu menset ip domain name
ip domain-name myciscolab.com

3.Ketiga, kita harus meng’enable aaa new-model atau menset login local di bawah line vty
aaa new-model
atau
line vty 0 4
login local

4.Keempat, kita perlu membuat user/password
username tes privilege 15 secret 0 testssh

5.Kelima, kita mesti mengenerate RSA keys
crypto key generate rsa
if you have RSA keys before you will receive a message, type yes
% You already have RSA keys defined named mycisco.myciscolab.com.
% Do you really want to replace them? [yes/no]: yes
it will ask for modulus size, 1024 is fine (it depends your security needs)
How many bits in the modulus [512]: 1024

6.Keenam, kita harus menset metode vty akses (bisa telnet dan ssh atau hanya bisa akses ssh saja), jika kita memilih hanya akses ssh dan meniadakan akses telnet.
line vty 0 4
transport input ssh

7.Ketujuh, dengan menggunakan putty (free) atau secureCRT (lisensi), masukan hostname atau ip address akses via ssh. Kita akan ditanyain username dan password. Login dan sukses.

Semoga membantu.

B.Konfigurasi Perangkat Cisco agar bisa menggunakan Syslog Server
Bagi seorang network administrator jangan sekali-kali melupakan router log. Logging adalah sangat diperlukan sebagai peringatan tentang adanya masalah, forensik jaringan dan audit sekuriti. Sebagian besar perangkat cisco menggunakan syslog protocol untuk mengelola system log dan alert.

Cisco router menangani pesan log dengan lima jalan:
Secara default, router mengirimkan semua log ke console port. Hanya user yang secara fisik terkoneksi ke console port yang bisa melihat pesan log ini. Ini dinamakan console logging.
Terminal logging, mirip dengan console logging, cuma menampilkannya ke VTY line router. Jenis logging ini tidak tersedia secara default, jika kita ingin gunakan ini, kita harus mengaktifkannya untuk setiap line yang diinginkan.
Buffered logging menggunakan RAM router untuk menyimpan pesan log. Sirkular buffer memiliki ukuran yang fix untuk memastikan log tidak menguras memori sistem yang berharga.Router akan menghapus log yang lama ketika log baru bertambah.
Router meneruskan pesan log ke eksternal syslog server sebagai penampung tersentralisasi. Jenis logging ini tidak ada secara default. Router mengirimkan pesan syslog ke server via UDP port 514. Server tidak membutuhkan acknowledge untuk pesan ini.
SNMP trap logging, router menggunakan SNMP traps untuk mengirimkan syslog ke eksternal SNMP server. Ini adalah cara yang efektif untuk menangani log di lingkungan SNMP-base.

Cisco log dikategorikan dengan severity level, mengikuti struktur dan format BSD Unix syslog framework. Makin rendah severity level maka makin kritis log tersebut. Severity level sudah dijelaskan di bahasan sebelumnya.

Disini kita membahas penggunaan syslog server untuk menampung syslog dari router cisco.
Tips
Sebelum mengkonfigurasi perangkat Cisco untuk mengirimkan syslog, pastikan tanggal, waktu dan zona waktu dengan benar. Data syslog akan menjadi tidak berguna pada saat troubleshooting jika memperlihatkan tanggal dan waktu yang salah. Anda dapat mengkonfigurasi perangkat jaringan menggunakan NTP. Dengan NTP memungkinan dilakukannya sikronisasi waktu untuk semua perangkat jaringan. Setting perangkat dengan waktu yang akurat akan sangat membantu dalam korelasi kejadian.

Untuk mengaktifkan fungsi syslog di jaringan cisco, haruslah mengkonfigurasi syslog klien bawaan dari perangkat cisco.
Perangkat cisco menggunakan severity (tingkat keakutan) dari warning sampai emergencies untuk menggenerate pesan kesalahan dari software atau hardware malfunction. Debunging level memperlihatkan output dari debug command. Tingkat pemberitahuan (notice level) memperlihatkan inrteface up or down transisi dan pesan restart sistem. Level informational bisa berupa request reload dan pesan low-proccess stack.

Untuk mengkonfigurasi router Cisco dengan IOS-base agar bisa mengirim pesan ke eksternal syslog server, ikuti langkah-langkah sebagai berikut.

Catatan:
Ketika kita menggunakan perintah logging trap level, router akan mengirimkan pesan meliputi level dibawahnya. Misalkan perintah logging trap warning akan mengkonfigurasi router untuk mengirimkan pesan dengan tingkat keakutan warning, error, critical, dan emergency. Dengan demikian perintah logging trap debug akan menyebabkan router mengirimkan semua pesan ke syslog server. Dengan mengaktifkan debug level, maka proses debug akan menyebabkan network menjadi sibuk dan memungkinan router menjadi crash.

Berikut adalah contoh konfigurasi router cisco untuk mengirimkan pesan syslog dengan facility local7, router akan mengirimkan pesan dengan severity informational dan level yang lebih rendah. Syslog server adalah mesin dengan ip 10.143.27.11

Router-ku#
Router-ku#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router-ku(config)#logging 10.143.27
Router-ku(config)#service timestamps debug datetime localtime show-timezone msec
Router-ku(config)#service timestamps log datetime localtime show-timezone msec
Router-ku(config)#logging facility local7
Router-ku(config)#logging trap informational
Router-ku(config)#end
Router-ku##sh log
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, 0 flushes, 0 overruns)
Console logging: level debugging, 2716 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 2716 messages logged
Exception Logging: size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 1096 message lines logged
Logging to 10.143.27.11, 3 message lines logged

[bersambung] pembahasan berikutnya adalah deploy syslog server.

Saya sedang membayangkan sebuah kejadian imajiner, dimana saya kehilangan akses ke laptop saya dikarenakan kerusakan hardware sehingga ybs harus diinapkan di service center. Sedangkan saya membutuhkan akses dan update ke file-file dokumen saya (dokumen dan spreadsheet) untuk kebutuhan reporting misalkan.

Sementara saya hanya diberi pinjam akses ke sebuah desktop dimana program-program pengolah kata tersebut tidak terinstal didalamnya dan saya tidak punya hak untuk instal tentunya. Satu-satunya yang ada adalah akses Internet (dan browser tentunya) . Bisa saja saya download aplikasi OpenOffice di desktop tsb, cuma untuk instalnya? kan saya tidak punya hak admin untuk bisa instal. …mmmm

Saya ketik www.google.com, saya ketik kata kunci google doc, Hai!! Saya menemukan ini. Welcome to Google Docs. Saya bisa akses dengan account gmail yang saya miliki saat ini. Saya lihat item by type, dokumen tipe apa yang bisa disupport oleh Google Docs ini: Document, spreadsheet dan Presentation. Cukup…sementara ini sudah cukup bagi saya!! Terima kasih.

Langkah pertama saya adalah upload file document dan spreadsheet yang saya miliki ke Google Docs tsb. Akhirnya saya bisa akses dan update file-file yang saya inginkan. Terima kasih Google Docs. Setelah selesai update, saya perlu file reporting itu untuk dikirim ke Bos2, saya cari-cari menu downloadnya koq ngak ada ya? Gimana cara ambil file tersebut ke lokal desktop ini? dan dikirim sebagai attachment menggunakan web mail milik kantor?

Akhirnya searching lagi-lagi via Google , gimana caranya mendowload file-file yang tersimpan di Google Docs ini. Pencarian menemukan beberapa alternatif tools, salah satunya adalah Greasemonkey. Yang bisa diinstal sebagai add-ons nya Firefox. Untung juga browsernya Firefox nih (dalam hati).

Di Firefox, masuk menu Tools> Add-ons> Get Extensions. Di menu sebelah kanan saya menemukan Greasemonkey, klik dan tinggal klik menu Add to Firefox, tunggu beberapa saat tools itu telah terinstal sebagai Add-ons extensions. Setelah instal firefox membutuhkan restart servicenya. Jangan khawatir, web yang sedang kita buka bisa kembali muncul otomatis dengan menekan menu restore sessionnya.

Sekarang saya bisa download file-file dokumen dan spreadsheet yang telah update dan disimpan ke lokal desktop. Setelah itu barulah report tersebut bisa saya kirim sebagai attachment. Sekali lagi terima kasih Google Docs.

Kondisi imajiner ini mungkin bisa terjadi menimpa anda, cuma jangan khawatir ternyata masih ada jalan keluarnya.

Selamat mencoba.

Pembahasan mengenai syslog ini saya bagi menjadi tiga bagian:
A.Apa itu Syslog?
B.Konfigurasi Perangkat Cisco agar bisa menggunakan Syslog Server
C.Deploying Syslog Server: versi Windows dengan Kiwi SysLog Daemon dan versi Linux dengan Syslog-ng Daemon

A. Apa itu Syslog?
Syslog adalah standar untuk pengiriman pesan log (log messages) di dalam jaringan IP. Syslog protokol didokumentasikan dalam RFC 3164, yang aslinya ditulis oleh Eric Allamn. Syslog protokol mengirimkan pesan ukuran kecil (kurang dari 1024 bytes) ke penerima syslog (kolektor). Penerima atau kolektor ini lebih dikenal dengan nama “syslogd”, “syslog daemon” atau “syslog server”. Pesan syslog bisa dikirim via UDP atau TCP. Data dikirim dalam bentuk clear text.

Syslog menggunakan User Datagram Protocol (UDP), port 514 untuk berkomunikasi. Ini adalah protokol komunikasi tidak andal (unreliable), tanpa koneksi (connectionless) antara host-host jaringan, UDP tidak memberikan acknowledgement (ACK). Di lapisan aplikasi , ketika server syslog menerima pesan dia tidak mengirimkan ACK balik ke pengirim. Konsekuensinya, mesin pengirim pesan mengirimkan syslog tanpa mengetahui apakah syslog server menerima atau tidak pesan tersebut. Dalam kenyataannya, mesin pengirim tetap mengirimkan pesan walaupun tidak ada server syslog sebagai penampung pesan.

Syslog ini biasanya digunakan untuk troubleshooting dan audit sekuriti, syslog didukung oleh beragam perangkat dengan beragam platform. Oleh karena itu syslog dapat dipakai untuk mengintegrasikan log data dari berbagai jenis sistem dalam satu tempat penyimpanan terpusat. Syslog adalah standar komponen dalam sistem Unix/Linux, yang kemudian diimplementasikan ke berbagai sistem operasi lain.

Berbagai perangkat jaringan Cisco, seperi router, PIX Firewall, VPN concentrator dsb, menghasilkan pesan sebagai informasi dan peringatan. Sebagai contoh router dapat menghasilkan syslog ketika interfacenya mati atau terjadi perubahan konfigurasi. PIX Firewall akan menghasilkan syslog ketika memblok koneksi TCP. Perangkat Cisco dapat dikonfigurasi agar bisa mengirimkan syslog ke eksternal mesin yang berfungi sebagai server pusat syslog. Namun demikian, jika koneksi diantara perangkat Cisco dan syslog servernya mati, maka tidak ada syslog yang dapat ditangkap oleh server. Dalam kasus seperti ini syslog hanya disimpan secara lokal di perangkat Cisco tersebut.

Syslog membawa informasi sebagai berikut:
* facility
* severity
* hostname
* timestamp
* messages
Pemahaman masing-masing paramater akan membantu memudahkan mendeploy sistem syslog di jaringan.

Facility: syslog dapat dikategorikan oleh sumber yang menghasilkan pesan. Penghasil pesan itu bisa berupa operating system, proses, atau aplikasi. Kategori ini dinamakan facility, yang diwakili oleh bilangan bulat. Perangkat Cisco menggunakan facility local untuk mengirimkan pesan syslog. Secara default perangkat Cisco IOS-base, CatOS catalyst, dan VPN 3000 Concentrator menggunakan facility local7, dan PIX Firewall menggunakan facility local4 untuk mengirim pesan syslog.
Tabel.1 Facility

Severity: Sumber atau facility yang menghasilkan pesan syslog selalu menspesifikan tingkat keakutan (severity) dengan menggunakan bilangan bulat tunggal.
Tabel.2 Severity

Perangkat Cisco menggunakan severity tingkat darurat (emergency) ke tingkat peringatan (warning) untuk melaporkan adanya software atau hardware isu. Sistem restart atau interface up/down dikrim dengan tingkat pemberitahuan (notice). Sistem reload dilaporkan lewat tingkat informasi. Output dari debug dilaporkan dalam tingkat debug.

Hostname: Bagian hostname mengandung informasi nama mesin atau IP Address dari mesin pengirim pesan. Untuk perangkat seperti router atau PI Firewall dimana memiliki interface lebih dari satu, syslog menggunakan IP address dari interface darimana pesan itu dikirim.

Timestamp: Timestamp adalah waktu lokal, dalam format MMM DD HH:MM:SS. RFC 3164 tidak menjelaskan mengenai zona waktu, Cisco IOS dapat dikonfigurasi agar bisa mengirimkan infromasi zona waktu sebagai bagian dari pesan syslog. Dimana timestamp yang mengandung informasi zona waktu, formatnya adalah MM DD HH:MM:SS TimeZone
Catatan: agar informasi timestamp akurat, secara praktik untuk mengkonfigurasi semua perangkat menggunakan Network Time Protocol (NTP).

Messages: Adalah isi dari pesan syslog, yang berisi informasi terkait proses yang terjadi. Pesan syslog yang dihasilkan oleh perangkat Cisco IOS dimulai dengan simbol persen (%) dan menggunakan format:
%Facility-Severity-Mnemonic:Messages-Text

Dengan mengikuti deskripsi yang telah dibuat diatas:
Facility: merujuk kepada sumber pesan, bisa berupa hardware, protokol, atau modul dari sistem software.
Severity: merujuk kepada tingkat keakutan
Mnemonic: kode khusus yang dihasilkan mesin untuk mengidentifikasikan pesan
Messages-Text: adalah text yang menyatakan isi pesan dan detail, bisa berupa nomor port dan alamat jaringan.

Contoh pesan syslog yang dihasilkan oleh perangkat Cisco IOS:
*Apr 10 03:56:06.908 gmt: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loop systack0, changed state to up

Pesan ini dimulai dengan spesial karakter (*) dan timestamp mengandung informasi zona waktu. Pesan ini dihasilkan oleh facility LINEPROTO dengan severity level 5 (notice:pemberitahuan). Mnemonic UPDOWNmenggambarkan kejadian.

Format pesan syslog yang dihasilakn CatOS-base sedikit berbeda dibanding IOS-base, berikut adalah format yang dihasilkan perangkat CatOS-base switch.
mm/dd/yyy:hh/mm/ss:facility-severity-MNEMONIC:Message-text

Format pesan dari PIX Firewall dimulai dengan tanda persen (%), dan sedikit berbedadengan pesan IOS-base:
%PIX-Level-Message_number: Message_text

bersambung…
Bagian berikutnya membahas: Konfigurasi Perangkat Cisco agar bisa menggunakan Syslog Server

Ada banyak tools yang bisa digunakan untuk audit sekuriti dari perangkat jaringan, seperti router, switch, firewall, dll. Disini dibahas mengenai Nipper.

About Nipper: http://nipper.titania.co.uk/
Download: http://sourceforge.net/projects/nipper
Contoh Report Nipper: http://i.i.com.com/cnwk.1d/i/tr/downloads/home/Cisco0823.html

Apa itu Nipper?
Nipper singkatan dari Network Infrastructure Parser, Nipper adalah open source security auditing tools untuk perangkat jaringan. Salah satu keuntungannya open source adalah gratis. Sebelumnya dikenal dengan nama CiscoParse. Tools ini mudah diinstal dan mudah penggunaanya.

Yang sangat menarik adalah Nipper ini bisa dipakai untuk mengaudit bermacam perangkat jaringan: Cisco, Nokia, Juniper, CheckPoint and Nortel. Ini adalah daftar perangkat jaringan dimana Nipper bisa melakukan audit terhadapnya.

* Cisco IOS-based Switches
* Cisco IOS-based Routers
* Cisco IOS-based Catalysts
* Cisco NMP-based Catalysts
* Cisco CatOS-based Catalysts
* Cisco PIX-based Firewalls
* Cisco ASA-based Firewalls
* Cisco FWSM-based Firewalls
* Cisco CSS-based Content Service Switches
* Juniper NetScreen ScreenOS-based Firewalls
* CheckPoint Firewall-1 (FW1)
* Nortel Passport Devices
* SonicWALL SonicOS Firewalls

Nipper mampu melakukan sekuriti audit untuk perangkat jaringan dan menghasilkan report, yang terdiri dari beberapa bagian:

* Isu terkait dengan sekuriti
> Meliputi deskripsi dari isu sekuriti, seberapa mudah untuk melakukan ekploitasi, dan rekomendasi.
> Rekomendasi meliputi cara mengatasi isu yang ada.
* Laporan konfigurasi
> Meliputi detail dari konfigurasi
* Appendiks
> Abbreviations
> Zona waktu
> Common Ports
> Logging Severity Levels
> Version Details

Bagaimana menggunakan Nipper?
Nipper mampu mengaudit sejumlah perangkat dengan banyak variasi opsi yang bisa dipakai. Disini saya akan memperlihatkan dasar pengoperasiannya saja. Sebagai contoh saya ingin mengaudit Cisco catalyst switch.

Saya menggunakan catalyst switch seri 2900, dengan konfigurasi yang ada saat ini.
Pertama, download Nipper dan Windows. Ekstrak ke folder di lokal PC, misalkan C:\nipper.
Kedua, ambil file konfigurasi catalyst dalam bentuk text. Telnet atau SSH ke catalyst, gunakan perintah show running-config, copy & paste outputnya ke notepad dan simpan hasilnya ke lokal PC di direktori C:\nipper yg telah kita buat sebelumnya.
Alternatif kita bisa gunakan failitas tftp server untuk menyimpan file konfigurasi ke lokal PC. Sebagai contoh dapat gunakan tftpd32.
File konfigurasi itu dapat digunakan untuk mengaudit konfigurasi switch di pc kita, masuk ke windows prompt, dan masuk ke direktori C:\nipper. Ikuti perintah berikut, seperti gambar dibawah.

C:\nipper>nipper –ios-switch –input=01-in-sw-01-confg –output=audit-sw1.html

file konfigurasi: 01-sw-01-conf
output audit: audit-sw1.html (format html)

Detail perintah dan opsi yang dipilih, bisa dilihat di folder C:\nipper\docs. Atau bisa jalankan peritah C:\nipper\nipper -help untuk detailnya.

Sistem akan mengembalikan ke command prompt tanpa memberikan informasi apapun. Tapi jangan khawatir perintah tersebut berfungsi.
Selanjutnya, buka web browser dan masukkan url C:\nipper\audit-sw1.html. File audit-sw1.html ini adalah hasil sekuriti audit. Berikut adalah screenshoot hasil audit.

Apa yang Nipper beritahu?
Dari report yang dikeluarkan, Nipper memberikan informasi sekuriti audit seperti:
* Versi software yang memiliki vulnerabilities dan nomor referensinya
* Memberi rekomendasi untuk men disable service yang memungkinkan orang lain bisa mengakses router/switch.
* Perintah yang diperlukan untuk meningkatkan sekuriti router/switch.

Contohnya, nipper bisa memberitahu kita tentang:
* Perlu tidaknya upgrade IOS untuk mencegah vulnerability telnet remote Dos attack dan TCP listener Dos attack
* Perlunya konfigurasi service tcp-keepallives-in untuk membantu mencegah Dos attack.
* Perlunya mengkonfigurasi timeout console session, untuk mencegah seseorang mengambil alih akses ke router dari sesi telnet atau consol.
* Konfigurasi secure HTPP services menggunakan HTTPS.
* Konfigurasi enable logging.

Disamping rekomendasi tsb, Nipper memberikan ringkasan konfigurasi perangkat, service apa yang on atau off, status line, status interface, DNS, time zone, dan lain-lain.

Nipper itu tools yang sangat bagus untuk membantu network administrator dalam mengaudit perangkat jaringan disamping ukuran file instalasinya yang kecil, sederhana cara penggunaannya, dan free tentunya.

Selamat mencoba.

Alternatif selain cacti, whatsup
Link:
http://www.mikrotik.com/thedude.php

The Dude network monitor is a new application by MikroTik which can dramatically improve the way you manage your network environment. It will automatically scan all devices within specified subnets, draw and layout a map of your networks, monitor services of your devices and alert you in case some service has problems.

Some of it’s features:
The Dude is free of charge!
Auto network discovery and layout
Discovers any type or brand of device
Device, Link monitoring, and notifications
Includes SVG icons for devices, and supports custom icons and backgrounds
Easy installation and usage
Allows you to draw your own maps and add custom devices
Supports SNMP, ICMP, DNS and TCP monitoring for devices that support it
Individual Link usage monitoring and graphs
Direct access to remote control tools for device management
Supports remote Dude server and local client
Runs in Linux Wine environment, MacOS Darwine, and Windows
Best price/value ratio compared to other products (free of charge)