Author: arisyi

Just make a noted, banyak orang membicarakan tentang petya ransomware attack, dan saya kepikirian untuk menulis di blog ini. Sebetulnya tulisan terkait mitigasi penyebaran petya ransomware oleh juniper network sudah di posting di forum juniper, anda bisa baca disini, saya perlu sampaikan juniper cukup cepet merespon terkait attack ini yaitu dengan mengeluarkan update signature IPS, Saya tidak perlu menjelaskan lagi apa yang sudah tertulis di forum juniper, yang perlu saya tulis disini adalah bagaimana detail implementasi, jika anda merasa baru untuk firewall juniper, atau baru dalam hal menangani IPS juniper. Jika anda adalah seorang IT, anda perlu tahu juga bagaiamana ransomware menyebar, ada baiknya anda juga membaca artikel dari microsoft, guna mitigasi di sisi client nya sendiri., silahkan cek disini artikelnya. Dan berikut step by step mitigasi menggunakan firewall juniper SRX:

Step 1: Firewall anda harus terpasang IPS

Sebagai engineer, jika firewall anda tidak memiliki IPS, maka anda hanya bisa ‘meratapi’ kondisi yang terjadi, no, it just a joke, haha, Anda bisa mengkontak juniper partner di lokasi anda untuk membantu jika anda ingin membeli license, jika tidak anda bisa mencoba dengan trial license dlu hehe.. ohy anda masih belum tau cara install license IPS, anda bisa baca dokumentasi juniper disini.

Step 2: Update Signature Database IPS

Update signature database IPS juniper, saya bagi dalam 3 langkah/cara:

1. Online/automatic update, syarat cara yang ini adalah firewall anda harus terkoneksi langsung dengan internet, jika tidak anda gak bisa menggunakan step ini, untuk detail step nya anda bisa membaca petunjuknya disini
2. Offline update, ini kita download package terbaru dengan lengkap dlu, lalu nanti kita upload ke local disk juniper firewall. Cara yang ini butuh extra sabar karena lumayan banyak yang harus anda download hehe, step nya bisa anda cek disini
3. Offline update mengunakan Junos Space Security Director, bagi saya ini adalah cara yang lebih praktis jika dibandingkan dengan cara yang kedua, anda cukup download signature database nya latest_db_ips, kemudian cara upload file nya anda bisa lihat artike ini. Ohy saat anda update signature via junos space, usage cpu firewall anda akan mengalami kenaikan, tapi hal ini wajar terjadi, karena sedang progress dalam update ips.

Step 3: Verifikasi, Cek status Database signature

Anda sudah melakukan update signature baik online atau offlince, maka anda perlu memastikan signature nya sudah terupdate, anda bisa cek dengan show security idp security-package-version

 

Step 4:  Create Rule-based IPS policy.

Terkait mitigasi petya ransomware attack ini, anda bisa menggunakan petunjuk dari artikel yang di tulis oleh juniper tadi-detail attack apa saja yang harus anda enable.

Maka untuk rule ips nya seperti berikut ini:

Step 5: Apply Rule IPS pada security Policy.

Terapkan rule ips yang anda buat di step 4 ke dalam security policy, karena rule ips anda tidak akan bekerja klo blom  anda masukkan ke security policy, command tambahanya adalah  permit application-services idp, detail nya seperti berikut:

Step 6: Monitoring

Anda bisa monitor dengan menggunakan junos space security director, atau anda lakukan via command line, dengan command line dibawah ini yang mungkin bisa anda monitor.

atau jika anda ingin memonitor log nya via cli, anda bisa setup dlu syslog nya dengan menambahkan config berikut:

Nanti pada file IPS_log, hanya log RT_IDP dan RT_SCREEN yang ke-grep pada file log tersebut. cukup membantu ya, hehe, Untuk monitor menggukan junos space security director, anda butuh log collecter untuk menyimpan log ips nya. Jika tidak, anda tidak bisa memonitor ips via junos space. Berikut ini adalah contoh capture live threat nya.

Cukup sekian ya, jika anda merasa masih kurang jelas, anda bisa meninggalkan komentar dibwah, 🙂

Good luck!