Simple Network Management Protocol

Snmp adalah protocol yang digunakan untuk managemen/monitoring perangkat jaringan (router, server, switch, firewall device, dll). Snmp terdiri dari tiga item yaitu snmp manager (disebut juga nms (network management system : software yg diinstal dikomputer untuk melakukan monitoring)), snmp agent (software yg berjalan didevice jaringan, yg perlu diaktifkan jika ingin snmp managernya terkoneksi) dan mib (management information base : database yg berisi parameter yg menggambarkan snmp agent tsb seperti ip add, interface, penggunaan cpu, ukuran hardisk yang tersedia, dll)... Jadi boleh dikata proses mendapatkan informasi parangkat jaringan (snmp agent) yaitu  suatu proses pengambilan informasi dari mib yang berada disisi agent oleh snmp manager. 

Versi snmp terdiri dari tiga yaitu snmp versi 1, 2c dan 3. Versi 1 dan 2c tidak berfokus pada security mib, security yang diberikan hanya berupa community string yang terdiri dari pilihan RO (read-only, hanya memberikan akses manager untuk baca mib, tentunya lebih aman) dan RW(read-write, memberikan akses snmp manager untuk baca dan mengubah mib, rentan). Community string yang didefinisikan di manager harus cocok dengan yang diagent agar komunikasi snmp dapat dilakukan.... Sedangkan versi 3 menyediakan keamanan jauh lebih baik dari v1 dan v2, yaitu tidak menyediakan community string lagi, tapi menyediakan feature entity, user dan group.  Hal tsb dapat dicapai dengan menerapkan integrity, authentication (menggunakan hashing password seperti HMAC=MD5 HMAC-SHA algoritma) dan privacy (menggunakan encryption DES 56bit). Walau snmp versi 3 menawarkan security yg jauh lebih baik tapi umumnya masih banyak menggunakan snmp versi 2... Pada cisco telah mendukung snmp v3 pada IOS versi 12.0.3T.

Komunikasi snmp antara manager dan agent berupa pesan, adapun pesan2 tersebut pada versi 1 terdiri dari snmp GET, GET-NEXT, GET-RESPONSE, SET, TRAP... Sedangkan pada v2 terdapat penambahan dua type pesan yaitu INFORM dan GETBULK. Pada v3 masih mengikuti v2.

Bagaimana cara kerja snmp message ? manager melakukan "GET message" untuk memperoleh informasi dari agent dan "GET-NEXT message" untuk memperoleh informasi/object berikutnya dalam mib, "GET-RESPONSE" merupakan balesan dari "GET", "GET-NEXT", "SET"(pada v2, juga balesan dari INFORM dan GETBULK).. Sedangkan "SET message" digunakan ketika manager ingin mengubah nilai object dalam mib yang berada di agent.. Nah "TRAP message" digunakan untuk pemberitahuan ketika suatu peristiwa terjadi (contoh : dilakukan setting, jika penggunaan cpu 80% maka akan ada pemberitahuan, ini jauh lebih efisien dibanding mengirimkan pesan GET secara terus menerus untuk melakukan cek penggunaan cpu). 

"INFORM message" merupakan perbaikan dari TRAP, kalo dengan TRAP tidak ada pesan balasan bahwa informasi telah diterima oleh manager dgn mengirim ack ke agent, beda halnya dengan INFORM, ketika agent mengirim INFORM message ke manager, maka manager akan membalasnya dgn ack ke agent, jika agent belum kunjung dapat ack maka agent akan kirim ulang inform ke manager.. Dengan ini maka agent dapat memastikan bahwa pemberitahuan yang dikirimnya sudah berhasil diterima manager. "GETBULK Request" merupakan perbaikan dari "GET-NEXT message", dgn GETBULK memungkinkan untuk memperoleh  blok data yang besar, seperti  beberapa baris dalam sebuah tabel mib.

Oke skrg waktunya  mereview sedikit mengenai NMS software.. PRTG umumnya digunakan untuk memonitor bandwidth, WHATSUPGOLD untuk memonitor status perangkat jaringan (menawarkan pemetaan device jaringan secara otomatis), TFTP Server untuk memindahkan suatu file dgn protocol ftp, KIWI CATTOOLS untuk melakukan backup konfigurasi router/switch dan bisa juga melakukan perubahan konfigurasi secara manual,  MYLANVIEWER merupakan nms untuk mendeteksi semua perangkat yang terhubung dengan jaringan (ip add, shared resource, OS, mac-address,dll), NETFLOW ANALYZER untuk menampilkan informasi trafik jaringan seperti source/destination mana yang paling tinggi penggunaan trafiknya, protocol apa yang paling sering digunakan, interface mana yang utilisasi trafiknya paling tinggi, dll.

Berikut konfigurasi yang harus dilakukan di snmp agent (#dalam hal ini router, konfigurasi ini yg akan diinputkan pada nms software agar dapat terknoneksi dgn agent).

#Konfigurasi SNMP v1 dan V2

- konfigurasi community string

#Konfigurasi SNMP v3

 - konfigurasi group (ada 3 pilihan security level yang ditawarkan yaitu noauth : no auth + no encryption,, auth : auth + no encryption,, priv : auth + encryption... SNMP v1/v2 hanya support noauth, sdgkan SNMP v3 support semuanya)

melihat group yg ada

- konfigurasi user (dalam membuat user harus terlebih dulu buat engineID nya)

#Disable snmp agent 

*Source : 9tut.com, cisco.com, @fransfernandoasali

Read More

Konfigurasi VPN IPSec Site to Site di Router Cisco

#asumsi : router dan pc sudah dapat terkoneksi inet..

- Konfigurasi di R1

setting DNS (fungsinya ? agar domain web dapat digunakan, di pict ada command yg kurang, tambahkan saja ya "ip domain-lookup",, klo tidak pake command tsb maka tidak akan bisa menggunakan domain)..

membuat ISAKMP phase1 (fungsinya ? sudah ane jelasin di artikel "konfigurasi vpn IPSec over Gre", cari saja di blog ini..hhehe)

membuat transform (fungsinya ? untuk membuat/merubah metode enskripsi+algoritma hashing IPSec)

membuat crypto map (fungsinya ? untuk membuat IPSec Policy)

settingan di Int fa0/0 (assign ip nat inside)

settingan di int fa0/1 (assign ip nat outside dan enable IPSec)

membuat default routing (fungsinya ? agar site/lan bisa akses inet,.. wah kenapa tidak ada routing static site to site sperti vpn GRE ? krna tidak diijinkannya NAT maka tidak ada juga routing static site to site)

membuat acl extended dengan penamaan "DENY-NAT_SERVICE" untuk rule NAT... kenapa trafik dari site1 ke site 2 harus di deny ? krna dalam membuat vpn IPSec tidak boleh adanya trafik nat ke site, oleh krna itu diatasi dgn acl yang meng-deny trafik dari site 1 ke 2 dan mengijinkan trafik ke lainnya/inet kemudian acl ini akan diterapkan pada nat (bukan di int).

membuat  acl extended dengan numbering "100" untuk rule IPSec tunnel (nanti diperlukan dalam membuat crypto map)

- Konfigurasi di R2

- Verifikasi di PC dan Router

Command untuk monitoring vpn  "show crypto isakmp sa" dan "show crypto ipsec sa"

#Kesimpulan :

bedanya IPSec dgn Gre ? kalo di gre harus ada int tunnel, network yang sama dikedua router gre, nat berlaku, dibuat static routing site to site dgn ip nexthop dari int tunnel tapi beda dengan IPSec, yaitu tidak ada dibuat int tunnel, tidak ada ip tunnel, tidak boleh ada trafik nat ke site, dan tidak ada static routing ke site.

Read More

Konfigurasi VPN IPSec Over Gre Site to Site di Router Cisco

Tujuan dibuat ipsec encryption over gre, tidak lain hanya untuk memproteksi gre tunnel agar lebih secure.. Langkah2 pembuatannya adalah pertama konfigurasi ISAKMP (ISAKMP phase 1) kemudian konfigurasi IPSec. Tujuan konfigurasi ISAKMP phase 1 untuk membangun SAs (Security Association) untuk IPSec, sebelum SAs terbentuk maka ISAKMP phase 1 akan melakukan negotiate dengan router lawannya... Dalam melakukan konfigurasi IPSec ada beberapa langkah yang harus dibuat, yaitu membuat ACL extended, IPSec Transform, Crypto map, mendaftarkan Crypto map ke interface wan+int GRE tunnel.

- Konfigurasi di R1 (untuk penjelasan setiap command, ada di pict)

jangan lupa dibuat routing staticnya ya, baris routing pertama itu untuk Lan agar dapat akses inet, sdgkan baris kedua itu untuk meroutingkan site to site.

yu mari kita coba lihat verifikasi vpn nya, agar kita tau perbedaan verifikasi sebelum dan sesudah terbentuk vpn IPSec over GRE.

- Konfigurasi di R2

jangan lupa dibuat routing static untuk R2 juga.

- Verifikasi di Router dan PC

- Untuk melakukan Monitoring vpn dapat dilakukan dengan command "show crypto isakmp sa" dan "show crypto ipsec sa". Silahkan cek perbedaan sebelum dan sesudah vpn IPSec over GRE terbentuk.

 

 

Read More