Configuring VPN IPsec vShield Edge to Mikrotik

Configuring VPN IPsec vShield Edge to Mikrotik

  10:26 PM    Donny Achmadi

---

Not like with another common router platform, configuring VPN IPsec of vShield Edge (vCloud Director) tunneling with mikrotik Router is not easy, because the VPN parameters on vShield Edge are so limited. so we have to do adjustment for VPN Ipsec parameters which exist provided by peering devices; such as DH-Group, lifetime, PFS Group, etc which exist on Mikrotik, Cisco ASA, Checkpoint, pfSense, Vyatta, and another Routers platform.

For this LAB, i will perform setup VPN connection between vShield Edge on vCloud Director with Mikrotik RouterOS based on the topology below :

Based on any sources from internet about compatibility configuration VPN on vShield Edge, actually there are some parameters which being template configuration that have to applied on peer devices (mikrotik)



Configuration on vShield Edge

For the first, I have to setup VPN configuration on vShield Edge (cloud site) with the configuration below :

• Name    : VPN to Office (name of VPN Profile) and then check enable button
• Description    : Put the description of VPN Profile*
• Tunnel to    : a Remote Network

Peer Settings

• Peer IP Address    : 202.179.188.32 (IP Public or IP WAN of Mikrotik)
• Peer Gateway    : 172.16.0.1 (IP address which attached on interface LAN Mikrotik and acts as a gateway)
• Peer Subnet Mask    : 255.255.255.0 (Subnet mask for LAN/internal Network Mikrotik)

Tunnel Settings

• Encryption Protocol    : 3DES
• Shared Secret    : 123KarenaAllahlahKitaKuatDanKitaMampu (at least minimum 32 character, and must be same in both site)
• Show key    : Optional to ensure the shared-key which typed is correct 
• MTU    : 1500 (use default value)

Configuration on Mikrotik Router

We have to configure VPN IPsec on Mikrotik Router which adjusted with suitable parameter on vShield Edge. i have found the fix parameters for this Mikrotik and already tested too with the success result and stable connection.

All of the scripts below are adjusted with the topology above, so you can just copy this command that already fixed to Mikrotik Console and change the parameters which highlighted with underline, and then adjust it with your network details.

/ip ipsec proposal add name=VPN_Cloud auth-algorithms=sha1 enc-algorithms=3des lifetime=1h pfs-group=none

/ip ipsec policy add dst-address=192.168.0.0/24 proposal=VPN_Cloud sa-dst-address=103.7.0.3 sa-src-address=202.179.188.32 src-address=172.16.10.0/24 tunnel=yes protocol=255 action=encrypt level=require ipsec-protocols=esp priority=0

/ip ipsec peer add address=103.7.0.3/32 port=500 enc-algorithm=3des lifetime=8h nat-traversal=yes secret=123KarenaAllahlahKitaKuatDanKitaMampu passive=no exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=sha1 dh-group=modp1024 generate-policy=no dpd-interval=120 dpd-maximum-failures=5

/ip firewall filter

add chain=forward dst-address=192.168.0.0/24 src-address=172.16.10.0/24 action=accept

add chain=forward dst-address=172.16.10.0/24 src-address=192.168.0.0/24 action=accept

/ip firewall nat

add chain=srcnat dst-address=192.168.0.0/24 src-address=172.16.10.0/24 action=accept

add chain=srcnat dst-address=172.16.10.0/24 src-address=192.168.0.0/24 action=accept

=================================================
type /ip ipsec export in console from mikrotik, then check and verify all of parameters, is it already input correctly.

So, let's perform testing in both side by test ping from LAN user in Cloud (vShield Edge) site to LAN user in another (Mikrotik) site and do the opposite. why ? because tipically the IPsec will be up soon after triggered by flowing traffic between site (in this case is trigger by ping)

I have ran these steps in my LAB, and tunneling between vShield Edge to Mikrotik success established.

Let try my steps and let me know if you get the problem.

Please give your input, comment, or anything that would be improve me :)

Regards,
Donny Achmadi
(at Night on 29 September 2014) 

Read More

Solusi Keamanan Sistem menggunakan Cloud Services

Solusi Keamanan Sistem menggunakan Cloud Services

  10:52 PM    Donny Achmadi

---

Jika kita melihat kilas balik beberapa tahun yang lalu pada awal masa pertumbuhan internet, kita mengenal adanya istilah “hacker” atau yang biasa disebut peretas. Istilah hacker disematkan kepada kelompok atau individu yang mempunyai keahlian khusus untuk melakukan tindakan-tindakan kejahatan seperti membobol celah keamanan system, merusak tampilan website, mencuri data-data penting suatu organisasi bahkan sampai melumpuhkan suatu sistem sampai tidak dapat diakses, dan masih banyak bentuk-bentuk kejahatan lainnya.

Setelah diperhatikan terdapat beberapa perbedaan tujuan yang dimiliki oleh para hacker dalam 2 dekade terakhir. Jika sebelumnya para hacker melancarkan aksinya untuk merusak atau membobol celah keamanan suatu sistem organisasi hanya dalam rangka bersenang-senang, usil, atau sekedar ingin menunjukan kemampuannya dan ingin diakui kehebatannya dalam membobol sistem dan semacamnya- saat ini nampaknya mereka justru memanfaatkan keahlian dan kemampuan yang mereka miliki dalam rangka komersil yang bertujuan untuk menghasilkan uang.

Demi mendapatkan keuntungan komersil banyak diantara mereka dahulu beraksi dengan cara mencuri data-data kartu kredit mencapai puluhan ribu jumlahnya bahkan sampai jutaan, yang jelas-jelas itu merugikan banyak pihak. Singkat kata kini mereka lebih kreatif dalam mencari income, yaitu dengan cara menjual keahlian yang mereka miliki untuk dimanfaatkan oleh orang-orang tertentu yang ingin menggunakan keahlian mereka untuk merugikan pihak lain. Misalnya saja untuk melumpuhkan layanan sistem atau aplikasi kompetitor mereka sehingga bisnis mereka tidak dapat berjalan dan niatan-niatan buruk lainnya.

Hingga saat ini bentuk penyerangan yang paling menjadi momok menakutkan bagi banyak organisasi adalah serangan DDoS (Distributed Denial of Services). Yang pada awalnya serangan DDoS ini dijalankan oleh mereka para pemuda yang senang bermain komputer untuk bersenang-senang dan melakukan uji coba. Kini ternyata mereka tumbuh menjadi alat pemerasan yang digunakan untuk kejahatan yang terorganisir, dan bahkan akhir-akhir ini hal tersebut dijadikan sebagai bentuk dan wujud “alat protes” berkenaan dengan kepentingan politik atau bahkan agama.

Ditunjang dengan sangat mudahnya mencari komunitas yang menyediakan jasa penyerangan DDoS atau yang biasa disebut “DDoS as a Services”, Anda bisa coba cari di google dengan keyword tersebut

Bahkan ada di salah satu komunitas yang menjual jasa DDoS ini menyatakan bahwa mereka telah berpengalaman dalam “membantu” mereka yang ingin melumpuhkan lawan bisnisnya melalui serangan DDoS. Jika ingin melumpuhkan atau meng-offline-kan lawan bisnis anda, cukup sebutkan Target yang akan menjadi korban dan mereka akan melihat seberapa kuat pertahanan yang sudah terpasang pada target, kemudian mereka akan mematok tarif yang disesuaikan dengan kondisi keamanan target yang akan diserang.

Bagi sebuah perusahaan/organisasi yang layanan mereka telah bergerak secara online maka kekhawatiran semacam ini menjadi momok yang menakutkan dan harus dipertimbangkan serta harus segera mencari tindakan preventif guna menghindari kejadian-kejadian yang tak diinginkan seperti; lumpuhnya layanan system, tercurinya data-data rahasia dan lainnya pada server mereka, misalnya saja web server, database server, dan sebagainya.

Mungkin bagi sebuah perusahaan/organisasi yang mempunyai anggaran besar dalam hal ini tidaklah terlalu menjadi sebuah masalah yang berarti. Mereka akan dengan mudahnya menggelontorkan anggaran khusus untuk membiayai pengadaan perangkat-perangkat security seperti Firewall, anti DDoS, IPS/IDS, anti virus dan semacamnya seberapapun mahalnya. Tidak menutup kemungkinan juga  mereka akan mengadakan tenaga-tenaga handal dan terlatih demi menjaga agar sistem mereka tetap berjalan tanpa dikhawatirkan adanya serangan DDoS dan sejenisnya.

Bagaimana dengan organisasi/perusahaan yang mereka tidak punya cukup anggaran untuk mengadakan perangkat-perangkat security yang harganya sangat mahal? Sementara ancaman DDoS bisa kapan saja menyerang server mereka yang sedang berjalan online, entah serangan itu nantinya akan datang dari orang-orang usil atau bahkan memang sengaja dilancarkan oleh para kompetitor bisnis mereka guna menjatuhkan lawan bisnisnya dengan cara melumpuhkan server dan sistemnya, dan semuanya itu bisa saja terjadi.

Salah satu pilihan yang cukup tepat bagi pemegang kebijakan IT adalah sudah saatnya mereka memindahkan sistem yang berjalan pada organisasi mereka ke sebuah penyedia layanan cloud yang sudah memiliki system keamanan yang dapat dipercaya, mulai dari kelengkapan perangkat Firewall, anti DDoS, IPS/IDS, anti virus dan sebagainya. Karena dengan begitu mereka mendapatkan beberapa keuntungan dari segi bisnis, diantaranya: mendapatkan keunggulan atas pengadopsian sistem cloud, efisiensi biaya operasional, dan yang terpenting dalam hal ini adalah mendapatkan perlindungan sistem keamanan yang terbaik atas sistem atau aplikasi yang mereka miliki dengan biaya yang terjangkau. Mereka tidak perlu lagi membeli perangkat-perangkat keamanan yang sangat mahal harganya tersebut, dan cukup membayar biaya berlangganan jasa penyediaan cloud computing.

Karena melihat kekhawatiran sebagian pengguna IT yang masih enggan untuk mengadopsi cloud computing dikarenakan isu keamanan dan privasi data, justru membuat para penyedia layanan cloud untuk semakin berlomba-lomba meningkatkan fasilitas dan keunggulan mereka pada sisi perangkat securitinya. Tentu hal tersebutlah yang kita inginkan bersama, dimana standardisasi keamanan bagi penyedia layanan cloud bukan lagi menjadi hal yang dikhawatirkan.

Melalui  pemahaman yang utuh mengenai pentingnya penjagaan sistem keamanan bagi para pengguna IT, organisasi maupun penyedia layanan cloud itu sendiri akan meningkatkan percepatan nilai pengadopsian teknologi cloud computing di semua kalangan.

Published via : Solusi Keamanan Sistem dengan Menggunakan Cloud Services

Read More

Meninjau Security pada Cloud Provider

Meninjau Security pada Cloud Provider

  9:50 PM    Donny Achmadi

---

Ketika perkembangan era teknologi dalam dunia Teknologi Informasi semakin berkembang ternyata Cloud menjadi sebuah hal yang menarik minat para pengguna dunia IT, dan dengan salahsatu karakteristiknya yang bersifat “scalable”, “pay as you go” menjadi sebuah point yang menambah keluwesan era teknologi yang satu ini untuk membuktikan “where technology enable business”.

Namun disamping keuntungan-keuntungan yang ada pada sistem Cloud ini ada beberapa hal yang menjadi bahan pertimbangan bagi beberapa perusahaan/organisasi untuk mengadopsi teknologi Cloud dalam operasional sistem mereka, diantaranya yang terpenting adalah mengenai “security on cloud”, bagaimana keamanannya ?

Wajar saja jika hal ini yang masih menjadi pembicaraan ramai dan kekhawatiran soal pengadopsian Cloud bagi sebuah perusahaan/organisasi terutama untuk layanan Public Cloud, karena ketika mereka mengadopsi dan mempercayakan system mereka sepenuhnya berada di “awan”, maka mereka juga sepenuhnya memberikan kepercayaan bahwa “keamaan dan privasi data” mereka sepenunya dilempar ke penyedia layanan Cloud (Cloud Provider).

Maka sangat penting bagi kita dalam memilih dan menentukan Cloud provider. Mungkin ada beberapa hal yang perlu diperhatikan dalam menentukan Cloud Provider, diantaranya:

1. Data Protection
Sangat penting bagi kita mengetahui bagaimana system proteksi yang berjalan pada suatu cloud provider, bagaimana mereka menjaga ketersediaan dan privasi data-data yang berjalan pada system cloud mereka, teknologi seperti apa yang digunakan? bagaimana security role yang berjalan dan pembatasan aksesnya seperti apa? dan yang lainnya


2. High availability
Salahsatu hal terpenting juga dalam Cloud, kita harus memastikan bahwa data kita dapat diakses setiap saat, dimana pun dan kapan pun. Maka dalam hal ini maka kita harus mencari Cloud Provider yang memiliki High availability pada akses internetnya, kita pastikan bahwa ISP yang dimiliki lebih dari 1 ISP untuk koneksi Lokal dan internasionalnya. Dan mungkin cara yang termudah untuk mengetahui high availability servicesnya adalah dengan mengetahui seberapa besar SLA yang diberikan pada Cloud Provider tersebut.


3. Security Devices
Mengenal perangkat apa yang digunakan oleh sebuah Cloud Provider dalam rangka memberikan solusi keamanan pada system Cloud mereka menjadi sebuah informasi yang wajib kita ketahui, dan kita harus pastikan keberadaannya, bagaimana kita bisa mempercayai sebuah Cloud Provider yang didalam infrastruktur mereka tidak terdapat perangkat security untuk menangkal aktifitas penyerang ?? padahal isu DDOS, Brute Force, serta tindakan hacking/cracking lainnya masih menjadi momok yang sangat mengkhawatirkan hingga kini.

Oleh karena itu, sebaiknya kita memilih Cloud Provider minimal yang sudah memiliki Network Security Devices seperti Firewall dan anti DDOS pada infrastruktur mereka, serta pastikan bahwa devices yang digunakan sudah teruji dan terbukti baik secara performa maupun kualitasnya.


4. Multi-Tenancy
> Pada system Cloud Computing, virtualisasi umunya secara fisik berjalan pada mode resource sharing , banyak Virtual Machine yang berjalan pada resource yang sama, maka kita harus pastikan bahwa sebuah Cloud Provider menggunakan teknologi yang dapat memastikan data kita tidak bocor kepada penyewa yang lain.

Mungkin itu sedikit sharing dari saya mengenai beberapa hal yang sekiranya dapat menjadi bahan pertimbangan bagi kita dalam menentukan dan memilih sebuah penyedia layanan Cloud (Cloud Provider) dari sisi Kemanan teknologi Cloudnya.

Published via:
Blog Indonesian Cloud: Meninjau Security pada Cloud Provider

Read More