Understanding Security Zone Concept in Juniper

Security Zone Concept
Security Zone Concept

Alkisah kemaren mumpung ada Juniper SRX210 nganggur, coba deh kenalan sama mereka. Iseng konfig kecil kecilan, DHCP Client, DHCP Server doang, ‘set interface em1.0 family inet dhcp’, ‘set system services dhcp….’. Hloh, perasaan konfig udah bener, kok dhcp client belum dapet IP. Ternyata ohh ternyata, kita perlu define Zone, masukin interface ke Zone, lalu permit dhcp buat ‘lewat’ di zone itu…hahaha…… fiuh, akhirnya lab lanjut, setidaknya sampe NAT, dan filter kecil-kecilan (Packet travel across zones)..haha..:malus

Oke, tapi sebelumnya gimana sih konsepnya Zone itu di Juniper? penggunaannya gimana??…… :bingungs:bingungs, Begini nih,

Zone adalah ‘sesuatu’ yang logical di juniper, yang kita pakai untuk mengelompokkan satu atau beberapa interface yang memiliki ‘kebutuhan/peran’ yang sama (atau mirip, mirip lah). (1) Dalam 1 device kita bisa mendefine banyak Zone, (2)satu Zone bisa dipake untuk satu atau beberapa interface, (3)Satu interface just can belong to one Zone, (4)Zone bakal ngefilter packet-packet yang keluar masuk melalui Zone itu, (5)Packet yang travel across Zones juga perlu kita define policynya di “security policy”, kita define from-zone xxx to-zone yyy match [condition] then [action], (6)by default policynya adalah ‘drop any’, jadi kita perlu define mana aja yang di permit, atau permit all aja kalo males bukain..haha… yakk begitulah ‘aturan’ dasar Zone.

to

Contohnya pada gambar diatas, skenarionnya em0 mengarah ke LAN-A dan em1 mengarah ke LAN-B, sedangkan em2 mengarah ke Internet. Karena antara em0 dan em1 ada kemiripan fungsi/peran, maka bisa nih kita kelompokkan dalam 1 zone, misal aku bikin zone LOCAL, em0 dan em1 aku masukin zone itu. Lalu untuk em2 aku masukin ke Zone UPLINK.

Nah diatas kan udah ane sebutin tuh aturan dasar zone, misal kita enable service DHCP server di em0 dan em1 yang mengarah ke LAN, yaaa kita perlu permit dhcp di zone LOCAL, supaya nanti service DHCP (dhcp discover, offer..dll) bisa diproses, kalo kagak yaudah sampe lebaran kambing DHCP server yang di em0 & em1 @zone LOCAL nggak bakal ngrespon dhcp request dari klien karena belum dibuka permit untuk dhcpnya..haha.. itu salah satu contohnya..

Lalu ‘Packet yang travel across Zones juga perlu kita define policynya’. Ini maksudnya traffic dari em0 & em1 ke em2, nah itu kan mereka (antara em0, em1 <> em2) beda zone, maka perlu nih kita define policy apa aja yang boleh lewat ‘across’ zones itu, kita define di security policy. Kalo nggak di define, sampe lebaran kelinci juga nggak bakal sampe traffic dari zone LOCAL ke zone UPLINK karena default policynya drop…haha….

Lalu apa sih yang bisa dilakukan dengan Zone?? Kita bisa ngefilter :p . Didalem zone itu nanti kita define :

1. Policy – buat ngefilter traffic (yaiyalah, dah kelihatan dari namanya kalee :ngakaks

2. Interface – buat define interface mana aja yang termasuk zone tersebut

3. Screen – buat Statefull Firewall, firewall versi mendalem deh, coba explore sendiri :p

4. Address books

5. TCP-RST (TCP Reset)

Nah, sekian dulu aja deh, gw juga baru nih belajar si “J”, nanti deh kapan-kapan nambah lagi 😀

*btw post ini merujuk ke SRX210 yaa, beda seri juniper, kemungkinan ada perbedaan, juniper Olive 12.1 di GNS3 ternyata ga ada zone-zone-an..haha… :3

Komen dimari gann....

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s