Dynamic & Static NAT Cisco ASA 8.4

Konfigurasi NAT pada cisco ASA dengan IOS 8.4 memang berbeda dengan IOS sebelumnya. Untuk perbandingannya mungkin akan saya coba posting pada artikel yang lain.
Pada artikel kali ini saya akan memberikan contoh konfigurasi dynamic NAT (PAT) dan static NAT di ASA 8.4.
Topologi yang akan kita gunakan adalah sebagai berikut.

Skenarionya adalah, pada inside network akan terdapat 2 network, segmen user akan di wakili oleh interface loopback 1 dengan ip 172.16.1.0/24, network ini akan kita PAT menggunakan interface outside ASA. Kemudian ada segmen server akan diwakili interface loopback 0 dengan ip 172.16.0.0/24. Segmen ini akan kita gunakan 1 ip address 172.16.0.10 kemudian akan kita static NAT ke ip 192.168.0.10. Oia, kelupaan, segmen outside adalah 192.168.0.0/24.

Berikut ini konfigurasi R1 (inside network)

Current configuration : 802 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname INSIDE-RTR
!
// output tidak ditampilkan
!
interface Loopback0
 ip address 172.16.0.10 255.255.255.0
!
interface Loopback1
 ip address 172.16.1.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 10.10.10.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 10.10.10.1
!
// output tidak ditampilkan

Konfigurasi R2 (outside network) :

Current configuration : 649 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname OUTSIDE-RTR
!
// output tidak ditampilkan
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!

Dan yang terakhir konfigurasi pada ASA :

ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
 nameif outside
 security-level 0
 ip address 192.168.0.2 255.255.255.0
!
interface GigabitEthernet1
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
ftp mode passive
object network obj-172.16.0.10
 host 172.16.0.10
object-group network obj-nat
 network-object 10.10.10.0 255.255.255.0
 network-object 172.16.1.0 255.255.255.0
access-list OUTSIDE_IN extended permit icmp any any
access-list OUTSIDE_IN extended permit ip any host 172.16.0.10
access-list OUTSIDE_IN extended permit icmp any host 172.16.0.10
pager lines 24
logging enable
logging asdm debugging
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source dynamic obj-nat interface
!
object network obj-172.16.0.10
 nat (inside,outside) static 192.168.0.10
access-group OUTSIDE_IN in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1
route inside 172.16.0.0 255.255.0.0 10.10.10.2 1
// output tidak ditampilkan 

 Untuk korelasi masing-masing command saya beri warna yang berbeda. Mudah-mudahan berguna .. :)

Read More

Menggunakan port alternatif untuk SSH

Default port untuk SSH adalah 22, tapi demi alasan keamanan mungkin kita terpikir untuk menggunakan port lain selain port 22. Walaupun sekarang ini sudah banyak sekali tool untuk scan-port, tetapi gak ada salahnya kita coba mengganti port tersebut.
Command yang kita gunakan disini adalah rotary, command ini akan kita pasang di line vty. Hanya saja command ini tidak mengubah port SSH, dia hanya memberikan alternatif port yang bisa di gunakan untuk melakukan SSH, di akhir artikel ini akan kita bahas bagaimana melakukan blocking port 22.
Berikut konfigurasi di router.
Untuk mengaktifkan fitur SSH silahkan lihat artikel saya sebelumnya.

OMYN-RTR(config)#ip ssh port 2000 rotary 1

Command ini untuk mengaktifkan port 2000 yang nantinya akan digunakan sebagai alternatif port untuk SSH.
Untuk konfigurasi di line vty nya kurang lebih seperti berikut :

line vty 0 4
 password cisco
 login local
 rotary 1
 transport input ssh
line vty 5 15
 password cisco
 login local
 rotary 1
 transport input ssh

Selanjutnya bisa dicoba melakukan SSH ke dalam router menggunakan port 2000

Dengan ini berarti kita sudah punya alternatif port untuk melakukan SSH, tetapi kita tetep masih bisa melakukan SSH menggunakan port 22. Kita bisa melakukan blocking port 22 menggunakan Control-Plane Protection (CPPr) atau menggunakan access-list. Tetapi biar kelihatan keren kita akan coba menggunakan CPPr. Berikut konfigurasinya :

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname OMYN-RTR
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name fakeroute.com
ip ssh port 2000 rotary 1
ip ssh version 2
!
multilink bundle-name authenticated
!
username admin privilege 15 password 0 admin
!
class-map type port-filter match-any CMAPPORT22
 match  port tcp 22
!
policy-map type port-filter PMAPPORT22
 class CMAPPORT22
   drop
   log
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.0.100.1 255.255.255.0
 duplex auto
 speed auto
!
no ip http server
no ip http secure-server
!
control-plane host
 service-policy type port-filter input PMAPPORT22
!
control-plane
!
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password cisco
 login local
 rotary 1
 transport input ssh
line vty 5 15
 password cisco
 login local
 rotary 1
 transport input ssh
!
!
end

Saat kita coba melakukan SSH maka di router akan muncul error.

OMYN-RTR#
*Mar  1 01:03:02.815: %CP-6-TCP: DROP TCP/UDP Portfilter  10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#
*Mar  1 01:03:05.795: %CP-6-TCP: DROP TCP/UDP Portfilter  10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#
*Mar  1 01:03:11.795: %CP-6-TCP: DROP TCP/UDP Portfilter  10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#

Read More

Cisco Priviledge Level

Secara default, Cisco IOS menawarkan 3 priviledge level, yaitu 0,1 dan 15. Priviledge level 0 hanya bisa mengetikkan perintah disable, enable, exit, help dan logout. Priviledge level 1 menawarkan semua user-exec command dengan router> prompt. Priviledge level 15 menawarkan semua command pada router dengan router# prompt.

Pada saat kita membuat username pada sebuah router, biasanya kita akan melihat banyak sekali pilihan priviledge level, mulai dari 0 sampai dengan 15. Walaupun secara default priviledge level di cisco hanya 3 (0,1,15) tetapi kita bisa membuat custom priviledge menggunakan priviledge level 2-9. Setiap priviledge pada custom priviledge, bisa kita masukan command-command apa aja yang bisa.

Dibawah ini sedikit contoh penggunaannya :

Building configuration...
// output tidak ditampilkan
!
username cisco password 0 cisco
username cisco7 privilege 7 password 0 cisco7
username admin privilege 15 password 0 admin
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.100.1 255.255.255.0
duplex auto
speed auto
!
// output tidak ditampilkan
!

privilege configure all level 7 interface
privilege exec level 7 configure terminal
privilege exec level 7 configure
privilege exec level 7 show running-config
privilege exec level 7 show

!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
login local
line vty 5 15
login local
!
!
end

OMYN-RTR(config)#

Bisa dilihat dalam contoh diatas username cisco7 merupakan user dengan priviledge level 7. Command yang di ijinkan pada saat user cisco7 melakukan login adalah dia bisa masuk kedalam configure terminal untuk melakukan konfigurasi, tetapi apa aja yang bisa di konfigurasi akan di batasi yaitu hanya bisa melakukan konfigurasi interface saja. Selain itu dia juga bisa melakukan command show running-config, tetapi karena dia hanya bisa melakukan konfigurasi interface saja, maka pada saat melakukan perintah show running-config yang muncul hanya konfigurasi interface saja.

Mudah-mudahan bermanfaat .. :)

Read More