Showing posts with label Tutorial. Show all posts
Showing posts with label Tutorial. Show all posts
Monday, May 5, 2014
Create Multiple IP Addresses to One Single Network Interface
The concept of creating or configuring multiple IP addresses on a single network interface is called IP aliasing. IP aliasing is very useful for setting up multiple virtual sites on Apache using one single network interface with different IP addresses on a single subnet network.
The main advantage of using this IP aliasing is, you don’t need to have a physical adapter attached to each IP, but instead you can create multiple or many virtual interfaces (aliases) to a single physical card.
Linux IP Aliasing
Create Multiple IP Addresses in One NiC
The instructions given here are applies to all major Linux distributions like Red Hat, Fedora, and CentOS. Creating multiple interfaces and assign IP address to it manually is a daunting task. Here we’ll see how we can assign IP address to it defining a set of IP range. Also understand how we are going to create a virtual interface and assign different range of IP Address to an interface in one go. In this article we used LAN IP‘s, so replace those with ones you will be using.
Creating Virtual Interface and Assign Multiple IP Addresses
Here I have an interface called “ifcfg-eth0“, the default interface for the Ethernet device. If you’ve attached second Ethernet device, then there would be an “ifcfg-eth1” device and so on for each device you’ve attached. These device network files are located in “/etc/sysconfig/network-scripts/” directory. Navigate to the directory and do “ls -l” to list all devices.
# cd /etc/sysconfig/network-scripts/
# ls -l
Sample Output
ifcfg-eth0 ifdown-isdn ifup-aliases ifup-plusb init.ipv6-global
ifcfg-lo ifdown-post ifup-bnep ifup-post net.hotplug
ifdown ifdown-ppp ifup-eth ifup-ppp network-functions
ifdown-bnep ifdown-routes ifup-ippp ifup-routes network-functions-ipv6
ifdown-eth ifdown-sit ifup-ipv6 ifup-sit
ifdown-ippp ifdown-tunnel ifup-isdn ifup-tunnel
ifdown-ipv6 ifup ifup-plip ifup-wireless
Let’s assume that we want to create three additional virtual interfaces to bind three IP addresses (172.16.16.126, 172.16.16.127, and 172.16.16.128) to the NIC. So, we need to create three additional alias files, while “ifcfg-eth0” keeps the same primary IP address. This is how we moving forward to setup three aliases to bind the following IP addresses.
Adapter IP Address Type
-------------------------------------------------
eth0 172.16.16.25 Primary
eth0:0 172.16.16.26 Alias 1
eth0:1 172.16.16.27 Alias 2
eth0:2 172.16.16.28 Alias 3
Where “:X” is the device (interface) number to create the aliases for interface eth0. For each alias you must assign a number sequentially. For example, we copying existing parameters of interface “ifcfg-eth0” in virtual interfaces called ifcfg-eth0:0, ifcfg-eth0:1 and ifcfg-eth0:2. Go into the network directory and create the files as shown below.
# cd /etc/sysconfig/network-scripts/
# cp ifcfg-eth0 ifcfg-eth0:0
# cp ifcfg-eth0 ifcfg-eth0:1
# cp ifcfg-eth0 ifcfg-eth0:2
Open a file “ifcfg-eth0” and view the contents.
[root@tecmint network-scripts]# vi ifcfg-eth0
DEVICE="eth0"
BOOTPROTO=static
ONBOOT=yes
TYPE="Ethernet"
IPADDR=172.16.16.125
NETMASK=255.255.255.224
GATEWAY=172.16.16.100
HWADDR=00:0C:29:28:FD:4C
Here we only need two parameters (DEVICE and IPADDR). So, open each file with VI editor and rename the DEVICE name to its corresponding alias and change the IPADDR address. For example, open files “ifcfg-eth0:0“, “ifcfg-eth0:1” and “ifcfg-eth0:2” using VI editor and change both the parameters. Finally it will look similar to below.
ifcfg-eth0:0
DEVICE="eth0:0"
BOOTPROTO=static
ONBOOT=yes
TYPE="Ethernet"
IPADDR=172.16.16.126
NETMASK=255.255.255.224
GATEWAY=172.16.16.100
HWADDR=00:0C:29:28:FD:4C
ifcfg-eth0:1
DEVICE="eth0:1"
BOOTPROTO=static
ONBOOT=yes
TYPE="Ethernet"
IPADDR=172.16.16.127
NETMASK=255.255.255.224
GATEWAY=172.16.16.100
HWADDR=00:0C:29:28:FD:4C
ifcfg-eth0:2
DEVICE="eth0:2"
BOOTPROTO=static
ONBOOT=yes
TYPE="Ethernet"
IPADDR=172.16.16.128
NETMASK=255.255.255.224
GATEWAY=172.16.16.100
HWADDR=00:0C:29:28:FD:4C
Once, you’ve made all changes, save all your changes and restart/start the network service for the changes to reflect.
[root@tecmint network-scripts]# /etc/init.d/network restart
To verify all the aliases (virtual interface) are up and running, you can use “ifconfig” or “ip” command.
[root@tecmint network-scripts]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.125 Bcast:172.16.16.100 Mask:255.255.255.224
inet6 addr: fe80::20c:29ff:fe28:fd4c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:237 errors:0 dropped:0 overruns:0 frame:0
TX packets:198 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:25429 (24.8 KiB) TX bytes:26910 (26.2 KiB)
Interrupt:18 Base address:0x2000
eth0:0 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.126 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
eth0:1 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.127 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
eth0:2 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.128 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
Ping each of them from different machine. If everything setup correctly, you will get a ping response from each of them.
ping 172.16.16.126
ping 172.16.16.127
ping 172.16.16.128
Sample Output
[root@tecmint ~]# ping 172.16.16.126
PING 172.16.16.126 (172.16.16.126) 56(84) bytes of data.
64 bytes from 172.16.16.126: icmp_seq=1 ttl=64 time=1.33 ms
64 bytes from 172.16.16.126: icmp_seq=2 ttl=64 time=0.165 ms
64 bytes from 172.16.16.126: icmp_seq=3 ttl=64 time=0.159 ms
--- 172.16.16.126 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 0.159/0.552/1.332/0.551 ms
[root@tecmint ~]# ping 172.16.16.127
PING 172.16.16.127 (172.16.16.127) 56(84) bytes of data.
64 bytes from 172.16.16.127: icmp_seq=1 ttl=64 time=1.33 ms
64 bytes from 172.16.16.127: icmp_seq=2 ttl=64 time=0.165 ms
64 bytes from 172.16.16.127: icmp_seq=3 ttl=64 time=0.159 ms
--- 172.16.16.127 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 0.159/0.552/1.332/0.551 ms
[root@tecmint ~]# ping 172.16.16.128
PING 172.16.16.128 (172.16.16.128) 56(84) bytes of data.
64 bytes from 172.16.16.128: icmp_seq=1 ttl=64 time=1.33 ms
64 bytes from 172.16.16.128: icmp_seq=2 ttl=64 time=0.165 ms
64 bytes from 172.16.16.128: icmp_seq=3 ttl=64 time=0.159 ms
--- 172.16.16.128 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 0.159/0.552/1.332/0.551 ms
Seems everything working smoothly, With these new IPs’ you can setup virtual sites in Apache, FTP accounts and many other things.
Assign Multiple IP Address Range
If you would like to create a range of Multiple IP Addresses to a particular interface called “ifcfg-eth0“, we use “ifcfg-eth0-range0” and copy the contains of ifcfg-eth0 on it as shown below.
[root@tecmint network-scripts]# cd /etc/sysconfig/network-scripts/
[root@tecmint network-scripts]# cp -p ifcfg-eth0 ifcfg-eth0-range0
Now open “ifcfg-eth0-range0” file and add “IPADDR_START” and “IPADDR_END” IP address range as shown below.
[root@tecmint network-scripts]# vi ifcfg-eth0-range0
#DEVICE="eth0"
#BOOTPROTO=none
#NM_CONTROLLED="yes"
#ONBOOT=yes
TYPE="Ethernet"
IPADDR_START=172.16.16.126
IPADDR_END=172.16.16.130
IPV6INIT=no
#GATEWAY=172.16.16.100
Save it and restart/start network service
[root@tecmint network-scripts]# /etc/init.d/network restart
Verify that virtual interfaces are created with IP Address.
[root@tecmint network-scripts]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.125 Bcast:172.16.16.100 Mask:255.255.255.224
inet6 addr: fe80::20c:29ff:fe28:fd4c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1385 errors:0 dropped:0 overruns:0 frame:0
TX packets:1249 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:127317 (124.3 KiB) TX bytes:200787 (196.0 KiB)
Interrupt:18 Base address:0x2000
eth0:0 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.126 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
eth0:1 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.127 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
eth0:2 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.128 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
eth0:3 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.129 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
eth0:4 Link encap:Ethernet HWaddr 00:0C:29:28:FD:4C
inet addr:172.16.16.130 Bcast:172.16.16.100 Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:18 Base address:0x2000
If you having any trouble in setting up, please do post your queries in the comment section.
Tuesday, December 25, 2012
RFID Implementations
In the United States retail giant Wal-Mart announced the adoption of RFID for advanced supply chain management. Similarly, Germany's Metro Group is also preparing to adopt the RFID for supply chain management.
Glossary of Terms:
Active tag: An RFID tag that has an internal power source such as a battery.Carrier: A Radio Frequency (RF) sine wave generated by the reader (interrogator) to transmit energy to the tag and retrieve data from the tag. 125 kHz and 13.56 MHz, utilize transformer-type electromagnetic coupling, whereas 2.45GHz uses RF link between the reader and the tag for communication.
Passive tag: An RFID tag without internal source of power.
Reader: Also called interrogator, is a device used to communicate with RFID tags. The reader has an antennas, which emit radio waves. These electromagnetic waves are picked up by the tag, and the tag sends back signals containing unique information.
Back Scatter: A method of communication between a passive tag and a reader. The tag reflects the received rf frequencies with modulated carrier.
Barcode: A barcode (also called bar code) is a machine-readable representation of information in a visual format on a surface. Barcodes normally store data in the widths and spacings of printed parallel lines. However, they also come in patterns of dots, concentric circles, and hidden in images.
Radio Frequency Identification (RFID): A method of identifying unique items using radio frequencies. Here a reader communicates with a tag, which holds digital information in a microchip.
Savants: Middleware that filters data from EPC readers and pass it on to enterprise systems. Savants reside on servers across the EPC Network and pass data to one another and act as backbone for the network.
Smart label: A term that usually refers to a barcode label that contains an RFID. It's considered "smart" because it can store information (say, a unique serial number), and communicate with a reader.
Transceiver: A device that both transmits and receives radio waves.
Universal Product Code (UPC): The barcode standard used in North America. It is administered by the Uniform Code Council.
Monday, December 24, 2012
Konfigurasi Juniper di GNS3
Hi, All
Juniper LAB in GNS3 Installation video with networking......
Click Here To download ConfigurationVideo
Download all the required software from the Links mentioned below and
keep all in a folder.
(Thanks for all forum related to gns3 juniper discussion)
1. Junos file part1--http://www.4shared.com/file/aw3BfhNQ/jinstall-101R18-domestic-olive.html
Junos file part2--http://www.4shared.com/file/GG0Fdbik/jinstall-101R18-domestic-olive.html
Junos file part3--http://www.4shared.com/file/uuzrjuu7/jinstall-101R18-domestic-olive.html
2. BSD OS-- ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/ISO-IMAGES/4.11/4.11-RELEASE-i386-miniinst.iso
3. HJsplit-- http://www.4shared.com/file/W27ckARB/hjsplit.html
4. ISO creator--http://www.4shared.com/file/5sIyV3W0/freeisocreator.html
5.Installation steps--http://www.4shared.com/document/o4D2jryl/Juniper_gns3_steps.html
6. Juniper Router Installation Logs --http://www.4shared.com/document/y0p-TnAu/juniperinstallation.html
7.Qemu --http://www.4shared.com/file/N87Z9Fv4/qemu-0110patchedwin32.html
---------------------------------------------------------------------------------------------
Steps for installing BSD OS in qemu:
-----------------------------------------
* Extract qemu-0.11.0.patched.win32.zip and Keep as folder named Qemu.
* Place 4.11-RELEASE-i386-miniinst.iso inside qemu folder.
* To create Junos Binary image apply the below command
qemu-img.exe create junos-binary.img -f qcow2 8G
* Now junos-binary.img is created with max space of 8Gb.
* To insert BSD OS cd use the below command
qemu -m 256 -hda junos-binary.img -cdrom 4.11-RELEASE-i386-miniinst.iso
Press ctrl+alt to come out of qemu window.
* choose express installation
* Press A
* Press Q
* Enter Standard installation.
Now partion creation:
------------------------
* press c
Type 2048M select FS mount point /
* Again press c
Type 1024M select swap
* Again press c
Type 100M select FS mount point /config
* Again press c
Selct remaing space selct FS mount point /var
selct Q
* Selct option 8----> Users
for port collection say NO.
then select exit
* select Installation media as CD/DVD
* User confirmation requested press- yes
Installation started..........
* User confirmation requested press- yes
* set the root password
Then Exit...
Now BSD is installed in virtual machine.
---------------------------------------------------------------------------------------------
Steps to install Junos OS in BSD OS:
------------------------------------------
* Use Hjsplit.exe to join all the splitted junos os file.
* Use freeisocreator.exe to make junos os into iso image so that we can mount like cd and install it
,instead of going for ftp to load that file into junos-binary.img
* Place junos.iso inside quemu folder.
* Use below command to boot junos-binary.img with junos.iso as mounted as CD.
qemu -m 256 -hda junos-binary.img -cdrom junos.iso
Steps to untar the signed junos image in iso :
------------------------------------------------
#mount /cdrom
#cd /var/tmp
#mkdir junos
#cd junos
#tar zxvf /cdrom/jinstall-10.1R1.8-domestic-olive.tgz
Then untar the unsigned image:
----------------------------------
#mkdir jinst
#cd jinst
#tar zxvf ../jbundle-10.1R1.8-domestic.tgz
#cd..
Extract the pkgtools.tgz file and replace the checkpic binary inside with /usr/bin/true :
-----------------------------------------------------------------------------------------
#mkdir pkgtools
#cd pkgtools
#tar zxvf ../pkgtools.tgz
#cd bin
#cp /usr/bin/true ./checkpic
#cd ..
Create tar for pkgtools then remove the directory:
---------------------------------------------------
#tar zcvf ../pkgtools.tgz *
#cd ..
#rm -rf pkgtools(remove that folder)
Create tar for the new jinstall package with modified checkpic
---------------------------------------------------------------------
#tar zcvf /var/tmp/juniper.tgz *
(Will take more time to zip depend on system config)
Then install the new jinstall with bsd pkg_add tool:
--------------------------------------------------------------------
#pkg_add -f /var/tmp/juniper.tgz
Will take some time to process.......
It will ask to reboot to continue the installation.
#init 6
then after it started reboot just close the qemu.
-------------------------------------------------------------------------------------------------------------
Now put the below command and see the installation of junos
------------------------------------------------------------
qemu -L . -m 512 -hda junos-binary.img -serial telnet:127.0.0.1:1001,server,nowait,nodelay –localtime
* now telnet 127.0.0.1 1001 to see the installation
One installation is finished and prompt is returned press Crtl+Alt+2 then type “q” press enter
Now junos-binary.img is ready for gns3.
-------------------------------------------------------------------------------------------------------------
Steps for adding 2 juniper router in gns3 with external world communication::(GNS3 version 0.7.2)
-------------------------------------------------------------------------------------------------------------
* copy the junos-binary.img separately and rename as juniper1.img
* Again copy junos-binary.img in same folder and rename as juniper2.img
* Open GNS3 and go to Edit-->Preference-->quemu-->junos-->add the juniper1.img then press ok.
* Now drag and drop 2 juniper router in workspace and edit 2nd router config and change binary from juniper1.img into juniper2.img
* Also drag and drop cloud for local ethernet card integration.
Juniper1-192.168.200.2
Juniper2-192.168.200.1(192.168.1.3-which is in my host NIC card LAN)
Reachablility between all are present Now..
--------------------------------------->I made simple connectivity config and now run as many as u can and test MPLS and BGP and enjoy.
Once again thanks to gns3 team and all forum related to gns3 juniper discussion.
All the best.
Juniper LAB in GNS3 Installation video with networking......
Click Here To download ConfigurationVideo
Download all the required software from the Links mentioned below and
keep all in a folder.
(Thanks for all forum related to gns3 juniper discussion)
1. Junos file part1--http://www.4shared.com/file/aw3BfhNQ/jinstall-101R18-domestic-olive.html
Junos file part2--http://www.4shared.com/file/GG0Fdbik/jinstall-101R18-domestic-olive.html
Junos file part3--http://www.4shared.com/file/uuzrjuu7/jinstall-101R18-domestic-olive.html
2. BSD OS-- ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/ISO-IMAGES/4.11/4.11-RELEASE-i386-miniinst.iso
3. HJsplit-- http://www.4shared.com/file/W27ckARB/hjsplit.html
4. ISO creator--http://www.4shared.com/file/5sIyV3W0/freeisocreator.html
5.Installation steps--http://www.4shared.com/document/o4D2jryl/Juniper_gns3_steps.html
6. Juniper Router Installation Logs --http://www.4shared.com/document/y0p-TnAu/juniperinstallation.html
7.Qemu --http://www.4shared.com/file/N87Z9Fv4/qemu-0110patchedwin32.html
---------------------------------------------------------------------------------------------
Steps for installing BSD OS in qemu:
-----------------------------------------
* Extract qemu-0.11.0.patched.win32.zip and Keep as folder named Qemu.
* Place 4.11-RELEASE-i386-miniinst.iso inside qemu folder.
* To create Junos Binary image apply the below command
qemu-img.exe create junos-binary.img -f qcow2 8G
* Now junos-binary.img is created with max space of 8Gb.
* To insert BSD OS cd use the below command
qemu -m 256 -hda junos-binary.img -cdrom 4.11-RELEASE-i386-miniinst.iso
Press ctrl+alt to come out of qemu window.
* choose express installation
* Press A
* Press Q
* Enter Standard installation.
Now partion creation:
------------------------
* press c
Type 2048M select FS mount point /
* Again press c
Type 1024M select swap
* Again press c
Type 100M select FS mount point /config
* Again press c
Selct remaing space selct FS mount point /var
selct Q
* Selct option 8----> Users
for port collection say NO.
then select exit
* select Installation media as CD/DVD
* User confirmation requested press- yes
Installation started..........
* User confirmation requested press- yes
* set the root password
Then Exit...
Now BSD is installed in virtual machine.
---------------------------------------------------------------------------------------------
Steps to install Junos OS in BSD OS:
------------------------------------------
* Use Hjsplit.exe to join all the splitted junos os file.
* Use freeisocreator.exe to make junos os into iso image so that we can mount like cd and install it
,instead of going for ftp to load that file into junos-binary.img
* Place junos.iso inside quemu folder.
* Use below command to boot junos-binary.img with junos.iso as mounted as CD.
qemu -m 256 -hda junos-binary.img -cdrom junos.iso
Steps to untar the signed junos image in iso :
------------------------------------------------
#mount /cdrom
#cd /var/tmp
#mkdir junos
#cd junos
#tar zxvf /cdrom/jinstall-10.1R1.8-domestic-olive.tgz
Then untar the unsigned image:
----------------------------------
#mkdir jinst
#cd jinst
#tar zxvf ../jbundle-10.1R1.8-domestic.tgz
#cd..
Extract the pkgtools.tgz file and replace the checkpic binary inside with /usr/bin/true :
-----------------------------------------------------------------------------------------
#mkdir pkgtools
#cd pkgtools
#tar zxvf ../pkgtools.tgz
#cd bin
#cp /usr/bin/true ./checkpic
#cd ..
Create tar for pkgtools then remove the directory:
---------------------------------------------------
#tar zcvf ../pkgtools.tgz *
#cd ..
#rm -rf pkgtools(remove that folder)
Create tar for the new jinstall package with modified checkpic
---------------------------------------------------------------------
#tar zcvf /var/tmp/juniper.tgz *
(Will take more time to zip depend on system config)
Then install the new jinstall with bsd pkg_add tool:
--------------------------------------------------------------------
#pkg_add -f /var/tmp/juniper.tgz
Will take some time to process.......
It will ask to reboot to continue the installation.
#init 6
then after it started reboot just close the qemu.
-------------------------------------------------------------------------------------------------------------
Now put the below command and see the installation of junos
------------------------------------------------------------
qemu -L . -m 512 -hda junos-binary.img -serial telnet:127.0.0.1:1001,server,nowait,nodelay –localtime
* now telnet 127.0.0.1 1001 to see the installation
One installation is finished and prompt is returned press Crtl+Alt+2 then type “q” press enter
Now junos-binary.img is ready for gns3.
-------------------------------------------------------------------------------------------------------------
Steps for adding 2 juniper router in gns3 with external world communication::(GNS3 version 0.7.2)
-------------------------------------------------------------------------------------------------------------
* copy the junos-binary.img separately and rename as juniper1.img
* Again copy junos-binary.img in same folder and rename as juniper2.img
* Open GNS3 and go to Edit-->Preference-->quemu-->junos-->add the juniper1.img then press ok.
* Now drag and drop 2 juniper router in workspace and edit 2nd router config and change binary from juniper1.img into juniper2.img
* Also drag and drop cloud for local ethernet card integration.
Juniper1-192.168.200.2
Juniper2-192.168.200.1(192.168.1.3-which is in my host NIC card LAN)
Reachablility between all are present Now..
--------------------------------------->I made simple connectivity config and now run as many as u can and test MPLS and BGP and enjoy.
Once again thanks to gns3 team and all forum related to gns3 juniper discussion.
All the best.
Wednesday, December 12, 2012
Arsitektur Dasar Firewall
Arsitektur dasar firewall
dibagi menjadi tiga jenis. Masing masing adalah:
- Arsitektur dengan dual-homed host (dual-homed gateway/DHG)
Sistem DHG
menggunakan sebuah komputer dengan (paling sedikit) dua network-interface.
Interface pertama dihubungkan dengan jaringan internal dan yang lainnya dengan
Internet. Dual-homed host nya sendiri berfungsi sebagai bastion host (front
terdepan, bagian terpenting dalam firewall).
- Screened-host (screened-host gateway/ SHG)
Pada topologi
SHG, fungsi firewall dilakukan oleh sebuah screening-router dan bastion host.
Router ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali
yang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan
pembatasan. Dengan cara ini setiap client servis pada jaringan internal dapat
menggunakan fasilitas komunikasi standard dengan Internet tanpa harus melalui
proxy.
- Screened-subnet (screened-subnet gateway/SSG)
Firewall
dengan arsitektur screened-subnet menggunakan dua screening-router dan jaringan
tengah (perimeter network) antara kedua router tersebut, dimana ditempatkan
bastion host. Kelebihan susunan ini akan terlihat pada waktu optimasi
penempatan server.
Security Networking
Seperti
yang kita lihat di saat ini, Internet telah tumbuh dan berkembang hingga
mencapai angka beberapa juta unit komputer yang terkoneksi di berbagai belahan
dunia. Dari hari ke hari pula informasi yang terkandung di dalam jaringan
Internet tersebut semakin lengkap, akurat, dan penting. . Informasi telah
menjadi suatu asset yang sedemikian berharga sehingga perlu mendapat perlakuan
yang lebih spesifik. Selain itu pula, kemajuan yang dicapai dalam bidang
pengembangan sistem operasi komputer sendiri dan utulitasnya sudah sedemikian
jauh dimana tingkat performansi, keandalan dan fleksibilitas software menjadi
kriteria utama dalam proses pengembangan software. Dengan semakin penting dan
berharganya informasi tersebut dan ditunjang oleh kemajuan pengembangan
software, tentunya menarik minat para pembobol (hacker) dan penyusup (intruder)
untuk terus bereksperimen guna menemukan dan mempergunakan setiap kelemahan
yang ada dari konfigurasi sistem informasi yang telah ditetapkan
Bertolak
dari kenyataan di atas, muncul sebuah konsep yang lebih sering disebut dengan
Network Security. Pada awalnya, konsep ini menjelaskan lebih banyak mengenai
keterjaminan (security) dari sebuah sistem jaringan komputer yang terhubung ke
Internet terhadap ancaman dan gangguan yang ditujukan kepada sistem tersebut.
Cakupan konsep tersebut semakin hari semakin luas sehingga pada saat ini tidak
hanya membicarakan masalah keterjaminan jaringan komputer saja, tetapi lebih
mengarah kepada masalah-masalah keterjaminan sistem jaringan informasi secara
global. Beberapa negara Eropa dan Amerika bahkan telah menjadikan Network
Security menjadi salah satu titik sentral perhatian pihak-pihak militer
masing-masing.
Sebenarnya,
masalah Network Security ini timbul dari konektivitas jaringan komputer lokal
yang kita miliki dengan wide-area network (seperti Internet). Jadi, selama
jaringan lokal komputer kita tidak terhubung kepada wide-area network, masalah
Network Security tidak begitu penting. Tetapi hal ini bukan berarti memberikan
arti bahwa bergabung dengan wide-area network adalah suatu hal yang
'menakutkan' dan penuh bahaya. Network Security hanyalah menjelaskan
kemungkinan-kemungkinan yang akan timbul dari konektivitas jaringan komputer
lokal kita dengan wide-area network.
Secara
umum, terdapat 3 (tiga) kata kunci dalam konsep Network Security ini, yaitu:
- resiko / tingkat bahaya,
- ancaman, dan
- kerapuhan sistem (vulnerability)
Resiko atau tingkat bahaya
Dalam hal ini, resiko berarti berapa besar kemungkinan keberhasilan para penyusup dalam rangka memperoleh akses ke dalam jaringan komputer lokal yang dimiliki melalui konektivitas jaringan lokal ke wide-area network. Secara umum, akses-akses yang diinginkan adalah :
Dalam hal ini, resiko berarti berapa besar kemungkinan keberhasilan para penyusup dalam rangka memperoleh akses ke dalam jaringan komputer lokal yang dimiliki melalui konektivitas jaringan lokal ke wide-area network. Secara umum, akses-akses yang diinginkan adalah :
- Read Access : Mampu mengetahui keseluruhan sistem jaringan informasi.
- Write Access : Mampu melakukan proses menulis ataupun menghancurkan data yang terdapat di sistem tersebut.
- Denial of Service : Menutup penggunaan utilitas-utilitas jaringan normal dengan cara menghabiskan jatah CPU, bandwidth maupun memory.
Ancaman
Dalam hal ini, ancaman berarti orang yang berusaha memperoleh akses-akses illegal terhadap jaringan komputer yang dimiliki seolah-olah ia memiliki otoritas terhadap akses ke jaringan komputer.
Dalam hal ini, ancaman berarti orang yang berusaha memperoleh akses-akses illegal terhadap jaringan komputer yang dimiliki seolah-olah ia memiliki otoritas terhadap akses ke jaringan komputer.
Kerapuhan System (Vulnerability)
Kerapuhan sistem lebih memiliki arti seberapa jauh proteksi yang bisa diterapkan kepada network yang dimiliki dari seseorang dari luar sistem yang berusaha memperoleh akses illegal terhadap jaringan komputer tersebut dan kemungkinan orang-orang dari dalam sistem memberikan akses kepada dunia luar yang bersifat merusak sistem jaringan.
Kerapuhan sistem lebih memiliki arti seberapa jauh proteksi yang bisa diterapkan kepada network yang dimiliki dari seseorang dari luar sistem yang berusaha memperoleh akses illegal terhadap jaringan komputer tersebut dan kemungkinan orang-orang dari dalam sistem memberikan akses kepada dunia luar yang bersifat merusak sistem jaringan.
Untuk
menganalisa sebuah sistem jaringan informasi global secara keseluruhan tentang
tingkat keandalan dan keamanannya bukanlah suatu hal yang mudah dilaksanakan.
Analisa terhadap sebuah sistem jaringan informasi tersebut haruslah mendetil
mulai dari tingkat kebijaksanaan hingga tingkat aplikasi praktisnya.
Sebagai
permulaan, ada baiknya kita melihat sebuah sistem jaringan yang telah menjadi
titik sasaran utama dari usaha-usaha percobaan pembobolan tersebut. Pada umumnya,
jaringan komputer di dunia menggunakan sistem operasi Unix sebagai platform.
Unix telah menjadi sebuah sistem operasi yang memiliki keandalan tinggi dan
tingkat performansi yang baik. Tetapi, pada dasarnya Unix tersusun oleh
fungsi-fungsi yang cukup rumit dan kompleks. Akibatnya, Unix juga memiliki
beberapa kelemahan seperti bug-bug (ketidaksesuaian algoritma pemrograman)
kecil yang kadang kala tidak disadari oleh para pemrogram Unix. Selain itu,
utilitas-utilitas yang memanfaatkan Unix sebagai platformnya, seringkali
mempunyai bug-bug tersendiri pula. Nah, hal-hal inilah yang sering
dieksploitasi oleh para hacker dan intruder di seluruh dunia.
Guna
mencegah berhasilnya eksploitasi para hacker dan intruder tersebut,
dikembangkan sebuah konsep yang dikenal dengan UNIX Network Security
Architecture. Arsitektur ini mencakup 7 lapis tingkat sekuriti pada jaringan.
Ketujuh lapis tersebut adalah sebagai berikut :
- Lapis ke-7 : Kebijaksanaan
- Lapis ke-6 : Personil
- Lapis ke-5 : Local Area Network
- Lapis ke-4 : Batas Dalam Jaringan
- Lapis ke-3 : Gateway
- Lapis ke-2 : Paket Filtering
- Lapis ke-1 : Batas Luar Jaringan
Kebijaksanaan
Lapis kebijaksanaan menjadi pelindung terhadap keseluruhan program proteksi dan sekuriti jaringan yang diterapkan. Lapis ini mempunyai fungsi mendefinisikan kebijakan-kebijakan organisasi mulai dari resiko yang paling besar yang mungkin didapat hingga bagaimana mengimplementasikan kebijaksanaan yang diambil terhadap prosedur-prosedur dasar dan peralatan yang digunakan. Lapis ini menjadi salah satu penentu utama keberhasilan program proteksi dan sekuriti sistem.
Lapis kebijaksanaan menjadi pelindung terhadap keseluruhan program proteksi dan sekuriti jaringan yang diterapkan. Lapis ini mempunyai fungsi mendefinisikan kebijakan-kebijakan organisasi mulai dari resiko yang paling besar yang mungkin didapat hingga bagaimana mengimplementasikan kebijaksanaan yang diambil terhadap prosedur-prosedur dasar dan peralatan yang digunakan. Lapis ini menjadi salah satu penentu utama keberhasilan program proteksi dan sekuriti sistem.
Personil
Lapis ini mendefinisikan segi manusia dalam sistem jaringan informasi. Personil yang melakukan instalasi, konfigurasi, pengoperasian hingga orang-orang yang mampu menjalankan akses-akses yang tersedia di sistem adalah termasuk dalam lapis ini. Kebijakan yang diambil pada lapis ini pada dasarnya harus mencerminkan tujuan-tujuan yang ingin dicapai dalam program proteksi dan sekuriti ini.
Lapis ini mendefinisikan segi manusia dalam sistem jaringan informasi. Personil yang melakukan instalasi, konfigurasi, pengoperasian hingga orang-orang yang mampu menjalankan akses-akses yang tersedia di sistem adalah termasuk dalam lapis ini. Kebijakan yang diambil pada lapis ini pada dasarnya harus mencerminkan tujuan-tujuan yang ingin dicapai dalam program proteksi dan sekuriti ini.
Local Area Network
Lapis selanjutnya mendefinisikan peralatan-peralatan dan data-data yang harus mendapatkan proteksi. Selain itu, lapis ini juga mencakup prosedur-prosedur pengawasan dan kontrol yang sering diterapkan dalam sistem.
Lapis selanjutnya mendefinisikan peralatan-peralatan dan data-data yang harus mendapatkan proteksi. Selain itu, lapis ini juga mencakup prosedur-prosedur pengawasan dan kontrol yang sering diterapkan dalam sistem.
Batas Dalam Jaringan Batas
Dalam Jaringan mendefinisikan lapisan sistem yang terkoneksi secara fisik ke daerah "penyangga" yang menjadi pemisah antara sistem jaringan informasi lokal dengan jaringan luar. Batas ini menjadi penting karena titik ini menjadi sasaran utama usaha-usaha eksploitasi untuk memperoleh akses illegal. Ada baiknya daerah penyangga ini dikonsentrasikan pada satu titik sehingga penerapan prosedur pengawasan dan kontrol menjadi lebih mudah. Demikian pula bila datang serangan dari luar sistem, hanya akan terdapat satu titik masuk yang paling utama. Dengan demikian, akan lebih mudah mengisolasi sistem yang dimiliki dari konektivitas ke luar bila terjadi gangguan.
Gateway Dalam Jaringan mendefinisikan lapisan sistem yang terkoneksi secara fisik ke daerah "penyangga" yang menjadi pemisah antara sistem jaringan informasi lokal dengan jaringan luar. Batas ini menjadi penting karena titik ini menjadi sasaran utama usaha-usaha eksploitasi untuk memperoleh akses illegal. Ada baiknya daerah penyangga ini dikonsentrasikan pada satu titik sehingga penerapan prosedur pengawasan dan kontrol menjadi lebih mudah. Demikian pula bila datang serangan dari luar sistem, hanya akan terdapat satu titik masuk yang paling utama. Dengan demikian, akan lebih mudah mengisolasi sistem yang dimiliki dari konektivitas ke luar bila terjadi gangguan.
Gateway mendefinisikan menjadi pintu utama dari dan ke sistem yang dimiliki. Kebijaksanaan proteksi dan sekuriti sebuah sistem yang terkoneksi dengan wide-area network seharusnya lebih mengarahkan usaha-usaha yang ada untuk mengamankan lapis ini sebaik mungkin. Servis-servis publik ada baiknya diletakkan pada lapis tersebut guna meminimisasi kemungkinan akses yang lebih jauh ke dalam sistem.
Paket Filtering
Lapis ini mendefinisikan platform yang berada di antara network interface lapis 3 (gateway) dengan network interface yang menjadi tempat penerapan metoda Firewall. Lapis tersebut lebih bersifat sebagai program yang menjalankan fungsi pengawasan (monitoring) terhadap paket-paket data yang masuk maupun yang keluar sistem.
Batas Luar Jaringan
Batas Luar Jaringan mendefinisikan titik dimana sistem terhubung dengan wide-area network dan kita tidak memiliki kontrol langsung terhadap titik tersebut.
Seperti yang telah dijabarkan di atas, lapis ke-3 menjadi titik utama dan yang paling rawan dalam network security ini. Implementasi kebijaksanaan yang diambil pada layer ini hanya bisa dilakukan secara software. Terdapat beberapa jenis security software yang bisa digunakan untuk memperkuat usaha proteksi dan sekuriti sistem pada lapis ke-3 ini. Di antaranya adalah :
TCP Wrapper
Program ini menyediakan layanan monitoring dan kontrol terhadap network services. Pada dasarnya, yang dilakukan oleh program ini adalah membuat daftar log mengenai aktivitas-aktivitas hubungan yang terjadi. Program ini dapat diambil secara gratis melalui anonymous FTP via ftp.cert.org yang terletak pada direktori pub/tools/tcp_wrappers/tcp_wrappers.*
Swatch
Program Swatch menggabungkan daftar-daftar log yang telah diciptakan oleh program-program utilitas lain di samping kelebihannya yang mampu dikonfigurasi sehingga pada saat melakukan logging, Swatch bisa melakukan aksi lain berdasar pada prioritas-prioritas tertentu. Swatch tersedia melalui anonymous FTP dari sierra.stanford.edu pada direktori pub/sources.
SOCKS library dan sockd
Program ini menjadi alternatif lain dari implementasi konsep "TCP Wrapper". Kegunaan utama program ini adalah mengkonsentrasikan semua layanan umum internet pada suatu titik. "sockd" dijalankan oleh "inetd" pada saat permintaan layanan tertentu muncul dan hanya memperbolehkan koneksi dari host-host yang telah terdaftar. Program ini tentu saja juga melakukan aktivitas log yang berkaitan dengan koneksi yang terjadi. Program ini dapat diperoleh melalui anonymous FTP pada host s1.gov pada direktori /pub dengan nama socks.tar.Z.
Subscribe to:
Posts (Atom)
