Application control on Fortigate vmware

Masih lanjutan pada bagian web filtering ya, sekarang saatnya kita coba untuk block berdasarkan applikasi. ( Application Control)

Kita liat di fortiview ada traffic gede yang lewat, sampe 30Mb lebih, ini bisa kita cek lebih spesifik dengan klik kanan drill down detaill, bisa juga ngecek lewat destination

oke kita liat dari dari sisi user yang download itu, kita melakukan simulasi downloader mengunakan Uget dari ubuntu, mungkin ini juga bisa berlaku pada downloader lainnya seperti IDM.

kita sebagai IT yang menggunakan perangkat yang masih tradisional mungkin akan kelimpungan untuk mengurus pengguna nakal seperti ini, apalagi jika yang download lebih dari 2 kontent dan lebih dari 4 orang yang melakukan download semacam ini. :D
apa lagi kalo cewe2 download drama korea dan turki kesukaannya yg berepisode2 lamanya :D


yang ada malah di semprot BOS karena internet si BOS jadi lemot. wkwkw
"dimana parameter kecepatan internet bagi orang amam?"
" ya youtube lah broo"..
kalo youtubenya lancar tanpa waferring brrti sistem dan internetnya lancar..
hahahah
ya ga bosss..


lanjut untuk block hal-hal yang kaya gini..

Masuk Ke Security Profile > Application Control > Create New

Tulis name : test123

silahkan block katagori yang tidak di perlukan. wajib untuk botnet dan proxy di block, terus applikasi2 seperti game dan social media, dan yang tidak perlu lainnya.
mau block > klick kanan block / allow / monitor 

nah kasus yang tadi kita cuma mau block berdasarkan kontennya SSL, kita bisa pilih
Add Signature  terus Search SSL (yang mau di block)

kalo udah nemu pilih Use selected signature

pilih Block dan Apply

sekarang masuk kemenu  
Policy and Object > policy > IPv4 > masuk ke traffik all
aktifkan Application control > test123

OK

oke saatnya test lagi si user bandel masih bisa ngegunain downloader apa engga

yup doi udah ga bisa internetan. hahaha

oke sekian terimakasih

nanti kita lanjut dengan case lainnya

Read More

Fortigate on vmware web filtering - its work

Akhir-akhir ini Fortigate lagi booming, beberapa kali dapet project di kantor mengenai fortigate ini,
dan ada beberapa client yang pake cybearoam/sophos aku bujuk pake jurus kepret firewall supaya mereka cobain product fortigate ini.
sebetulnya ada lagi product yang murah tapi fitur yang ditawarin cukup kumplit dan bagus, yaitu productnya SangFor, udah bolak balik orang principalnya dateng kekantor untuk update product sampai handson menggunakan sangfor, nanti request untuk peminjaman unitnya biar bisa di oprek dan update kesini.

untuk meyakinkan calon client ketika presentasi ane kudu buat yang real jadi ga hanya sekedar menampilkan slide fiturnya aja, biasanya kalo kita kasih untuk bentuk dan carakerjanya secara real maka merek (client) semakin antusias dan banyak bertanya, ane seneng melakukan ini bukan karena si client bakalan PO kekita, itu mah yang seneng seles kita cuma kebagian sialnya aja, gajipun tak pernah naik, (semoga si bos baca ini), melainkan supaya mereka lebih aktif bertanya2, ngobrol dan bertukar pikiran, kadang pula ada beberapa dari mereka lebih expert dan gaji lebih gede daripada kita (malu). wis syukuri wae

Nah dari situ kalo ada oppty mengenai firewall aku suka bawa testing simulasi ini, ya tentunya ditambah2 dengan pertanyaan mereka yang bisa ini ga?, bisa di anuin ga?, kalo anu sama anu nempel hasilnya gimana? hehehe

pertama siapin aja
- VMware workstation (download mbah google)
terus,
- OVA/OVF Fortigate vmware nya , ini juga download digoogle atau minta sama partnernya kalo mahasiswa PM aku aja, nanti aku bantu oploadin.
- client install di vmware juga pake windows xp atau ubuntu aja biar enteng
- laptop yang memorynya gede, laptop jadulku corei3, ssd, 8gb ram
- berdoa


ane berasumsi ini fortigate ova dan ubuntu untuk client udah di import ke vmware

terus share koneksi ya dari sumber internet yang masuk ke laptop kita bisa dari LAN bisa dari WLAN
klik kanan, properties, sharing dan pilih interface vmware

terus start fortigate di vmware nya
konfigurasi ip address yang sama dengan interface vmware biasanya kalo udah di share gini masuk dapet ip static sendiri, 192.168.137.1

user login : admin
password : kosong
commandnya beda dengan cisco :D port1 itu port interface vmware1 brrti
ehya ada command yang ketinggalan biar bisa di ping dan di access lewat web guit
(port1) # set allowaccess http ping https

testing ping dan masuk keweb gui, disitu agan dapet notif bahwa trial 15 hari, tenang kalo udah abis delete aja vmwarenya terus import baru lagi. hehehe

kalo berhasil mantep ente gan. hehehe
kalo belom berhasil ngeping internet coba matiin vmwarenya terus idupin lg

kalo direal devices ada Fortiguard IPS, Antivirus, webfilter harus ijo gambarnya dan ada date expaired, jangan sampe unreachable, kalo unreachable itu tandanya si fortiguard belom auto singkron dengan internet, tapi kalo vmware tetep unre walau udah di test avaibility, mungkin karena emang free trial.

Konfigurasi IP address baru, untuk interface vmware2 yang ada di ubuntu/windows client
masuk menu Network > interface > create new

pilih port2 dan buat ip address yang beda segmen, dan kasih ip dhcp aja biar client dapet ip dari fortigatenya setelah itu Apply
pada menu network > DNS > setting aja jadi dns google

terus masuk ke policy & object > policy > IPv4 create new

buat aja any interface dan all smua, kalo udah Apply 

terus masuk ke menu security profile > webfilter

buat aja profile name test dipojok kanan atas, terus block aja mana yang mau diblock,
tapi ini bisa di bikin exeption url kita bisa milih berdasarkan url mana yg di allow dan di block

terus kita bali lagi kemenu  policy & object > policy > IPv4 > pilih yang udah kita buat tadi
terus klik web filter > pilih yang test

lalu testing di client ubuntu
pastikan dapat ip address dan bisa internetan dulu

lalu test apa aja yang kita allow dan block tadi, kita block personal interest, sebetulnya di dalam situ ada sub catagori content lagi

berita ternyata kena block, tapi bisnis dan finance/banking engga

nah sekarang gimana caranya supaya kaskus bisa di allow

menu  security profile > webfilter > pilih menu test yang udah di buat tadi

centang enable url > masukan exeption kaskus

ok, apply

kita test kembali

bisa kebuka lagi....



sebenernya ada banyak fitur2 lain lagi,
seperti application control, trus block berasarkan IP host, traffic shapping dll

sekian

Read More

Konfigurasi MPLS ATOM (Any Transport over)

yeyy akhirnya baru bisa ngelanjutin materi yang dahulukala diposting, hehehehe ini merupakan bagian dari tugas akhir saya, mungkin bisa jadi referensi buat temen2 yang sedang melaksanakan Tugas Akhir
http://guhtomo.blogspot.co.id/2016/03/lab-mpls-vpn-dan-dmvpn-link-backup.html


sekarang kita fokus pada MPLSnya dulu, dengan topologi sebagai berikut;

 btw Apa itu MPLS? berikut penjelasan singkat, ane bikin singkat jg waktu presentasi, yang penting tuh penguji paham dan ane cepet2 keluar dari meja persidangan :v

MPLS Multiprotocol Layer Switching, suatu teknologi penyampaian paket pada jaringan backbone berkecepatan tinggi yang menggabungkan beberapa kelebihan dari sistem komunikasi circuit-switched dan packet-switched. dan sebagai pengganti dari teknologi Frame Relay, mangkanya sering disebut Teknologi Layer 2,5 :D


 
nah untuk teknologi frame relay, PPP, Ethernet itu bisa jalan di MPLS kita bisa carry semua L2 transport namanya AToM (Any Transport over MPLS)
jadi kalo di liat dari topologi di atas mereka menggunakan satu subnet mirip dengan bridging

owh ya ada penjelasan dikit, biasanya di ISP yang menggunakan MPLS itu ada
P (Provide) = Core router, router yang ada di tengah2 MPLS
PE (Provide Edge)= Router yang menghubungkan antara P dan Customer
CE (customer Edge)= router yang berada pada sisi customer

lanjut kembali ke Konfigurasinya ya gans. pertama bikin topologi diatas dengan GNS3 ya,
saya menggunakan IOS 7200 dan 3745

setelah selesai lanjut ke bagian Konfigurasi, yang kita akan konfigurasi adalah

 Konfigurasi pada router P (core router)

interface FastEthernet0/0
 ip address 12.12.12.2 255.255.255.252
 mpls ip
!
interface FastEthernet0/1
 ip address 13.13.13.1 255.255.255.252
 mpls ip
!
router ospf 1
 network 0.0.0.0 255.255.255.255 area 0

 Konfigurasi PE1

interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!                                                                                                                                                   interface FastEthernet0/0
 ip address 12.12.12.1 255.255.255.252
 duplex auto
 speed auto
 mpls ip
!
interface FastEthernet0/1
 no ip address
 xconnect 2.2.2.2 12 encapsulation mpls                                                                                                   !                                                                                                                                                               router ospf 1
 log-adjacency-changes
 network 1.1.1.1 0.0.0.0 area 0
 network 12.12.12.1 0.0.0.0 area 0

Konfigurasi PE2

interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!
interface FastEthernet0/0
 ip address 13.13.13.2 255.255.255.252
  mpls ip
!
interface FastEthernet0/1
 no ip address
 xconnect 1.1.1.1 12 encapsulation mpls
!
router ospf 1
 log-adjacency-changes
 network 2.2.2.2 0.0.0.0 area 0
 network 13.13.13.2 0.0.0.0 area 0

Jadi masing2 Fa0/1 ga kita kasih IP sama sekali, lalu kita ketik command xconnect, trus point kearah ip loopback PE2 (klo dari PE1) dan sebaliknya

Command lengkapnya  xconnect [ip] [vc number] encapsulation [mpls or L3 encapsulation]
VC number berguna klo banyak “bridging” or “tunnel” yang mau kita buat

ane pernah coba dengan satu router tapi beda interface disamain dengan VC number port sebelahnya tidak bisa :v entah karena menggunakan emulator atau apa, akhirnya ane buat menggunakan switch seperti topologi di atas :D

owh iya untuk router2 customer yang terhubung ke xconnect yang melalui switch pada topologi tersebut, konfigurasikan dengan satu subnet lalu test verifikasi

Read More