Priviledge level menggunakan Radius

Saya sendiri masih agak asing dengan radius, karena memang attribute nya yang sangat banyak. Saat kita menggunakan ACS sebagai AAA server, kita bisa membuat priviledge level untuk setiap user yang melakukan otentikasi ke dalam device, entah itu switch/router/asa atau device lainya yang support tacacs maupun radius. Biasanya, ketika saya melakukan implementasi, saya selalu menggunakan tacacs, selain device yang akan di manage adalah Cisco, juga karena Tacacs support command set, dimana kita bisa memberikan batasan kepada user, command apa aja yang bisa dilakukan saat dia berhasil melakukan otentikasi ke sebuah device.

Ada pertanyaan, "Apakah Radius juga bisa membatasi level user?", jawabnya bisa, hanya saja radius tidak bisa memberikan batasan command. Misalnya gini, user A dengan level 15, dia bisa melakukan semua command, dengan Tacacs user B dengan level 15 saya bisa batasi dia hanya bisa command show, tidak bisa selain itu, Radius tidak bisa melakukan itu.

Ok, berikut konfigurasi di switch dan ACS nya, untuk ACS saya menggunakan ACS 5.3

aaa authentication login SSH2 group radius local
aaa authorization exec SSH2 group radius local if-authenticated
!
!! Beberapa output di potong
radius-server host 172.16.10.138 auth-port 1645 acct-port 1646 key compnet123
!
!! Beberapa output di potong
line vty 0 4
authorization exec SSH2
login authentication SSH2
transport input ssh

Untuk konfigurasi di ACS nya, berikut beberapa screenshootnya.

[caption id="attachment_564" align="aligncenter" width="300"] Manage user[/caption]

[caption id="attachment_566" align="aligncenter" width="300"] Menambah radius attribute av-pair[/caption]

[caption id="attachment_567" align="aligncenter" width="300"] Manage Access profile[/caption]

Sedikit note untuk av-pair, shell:priv-lvl=15, 15 disini menunjukan priviledge level.

Read More

Mengaktifkan fitur "SSH"

SSH, atau secure shell, merupakan salah satu fitur dimana kita bisa melakukan remote kedalam sebuah device. Jika sebelumnya kita menggunakan Telnet, maka untuk alasan keamanan maka dikenalkan fitur SSH. Kelebihan dari SSH sendiri adalah dilakukannya proses enkripsi pada saat mengirimkan informasi, terutama username dan password. Untuk router cisco sendiri fitur SSH mulai di dukung pada IOS versi  Release 12.1(3)T.

Untuk mengaktifkan fitur SSH di Cisco Switch/Router, berikut langkah-langkahnya :

Konfigurasi hostname dan ip domain name.

Router#
Router(config)# hostname HO-RTR
HO-RTR(config)# ip domain-name company.co.id

Setelah itu, kita generate crypto rsa nya.

HO-RTR(config)# crypto key generate rsa

Secara default besarnya modulus 512, tetapi cisco sendiri merekomendasikan 1024. Selanjutnya buat username di router dan melakukan konfigurasi line vty supaya menggunakan SSH serta login menggunakan username dan password di local router.

HO-RTR(config)# username admin priviledge 15 password P@ssw0rd!
HO-RTR(config)# line vty 0 15
HO-RTR(config-line)# transport input ssh
HO-RTR(config-line)# login local

Seandainya ingin menggunakan fitur SSH version 2 ketik command berikut.

HO-RTR(config)#ip ssh version 2

Untuk melakukan verifikasi konfigurasi bisa menggunakan beberapa perintah berikut.

HO-RTR#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
HO-RTR#
HO-RTR#show ssh
Connection Version Encryption State Username
2 1.5 3DES Session started donc
%No SSHv2 server connections running.
HO-RTR#

Read More

Check Point training at Mtech Indonesia

Weits, ketemu dengan Linux lagi ..

Check Point merupakan salah satu product security yang paling terkemuka saat ini. Bahkan rekan kerja saya bilang bahwa saat ini check point adalah yang terbaik di seluruh dunia. Dari sisi Operating System, check point di rilis dalam banyak varian, mulai dari UNIX, Linux, BSD dan windows. Tetapi untuk UNIX dan windows sudah mulai tidak dikembangkan lagi.

Dari training yang saya dapet kemarin, saya sempat hands-on sebentar, dan dari penglihatan sekilas itu, saya sempet note beberapa fitur yang menurut saya memang oke. Oia sebelumnya saya mau menginformasikan terlebih dahulu bahwa check point bukanlah UTM, tetapi XTM (eXtensible Threat Management) *pesan sponsor* artinya apa? Check Point bisa dibilang software base, kita bisa menambah fitur baru hanya dengan melakukan installasi fitur tersebut, ingat core dari check point adalah OS biasa ( Windows, Linux etc). Mereka biasa menyebut fitur-fitur itu dengan sebutan "module", jadi saat ada istilah Security Gateway Module, Security Management Module, itu adalah aplikasi-aplikasi yang membentuk Check Point.

Ok, balik lagi ke beberapa note yang ingin saya sebutkan tadi;

1. Access-list pada check point boleh saya bilang sangat flexible, kita sudah tidak lagi bicara layer 3 baik itu untuk source atauun destination. Kita bisa menggantinya dengan ID (people ID) mungkin semacam object-group kalau di ASA dan juga untuk destination kita sudah bicara aplikasi ( facebook, youtube, twitter). Bagi saya ini sangat flexible.


2. Ada satu fitur lagi yang membuat saya cukup wahh, smartTracker (kalo gak salah inget), semacam logging. Bagi saya view nya cukup detail, apalagi pada saat kita troubleshoot, terdapat beberapa icon berbeda untuk setiap aplikasi, sehingga jika ada sebuah paket di drop di IPS misalnya, maka akan ada pesen dengan icon semacam tameng, atau jika di blok di firewall, maka kita bisa liat pesen error dengan icon bata.


3. Note yang terakhir adalah report, sangat-sangat rapi. Report tersusun dengan rapi, berupa tabel-tabel dengan penjelasan yang cukup detail dan mudah di baca.

hehehe tertarik untuk mencobanya? jika berminat untuk mencoba ada versi VM nya, namanya SPLAT, downloadnya dimana saya kurang tahu, karena kemarin saya hanya dapat dari trainernya .. :D

Oke lah segitu dulu, ngomongin yang baik-baik dulu lah sebelum kena ribetnya firewall hahaha ..

Read More