Part 5: Mengamankan Jaringan dari BGP Hijacking dengan RPKI di Juniper
Selamat datang di Part 5! Seiring bertumbuhnya internet, kerentanan pada protokol BGP semakin terlihat. Karena BGP pada awalnya dirancang berdasarkan rasa "saling percaya", sebuah router bisa saja berbohong dan mengiklankan blok IP milik orang lain. Insiden ini dikenal sebagai BGP Hijacking.
Untuk mencegah lalu lintas jaringan Anda dibelokkan oleh pihak yang tidak bertanggung jawab, dunia internet kini menerapkan standar keamanan baru bernama RPKI (Resource Public Key Infrastructure) dan ROV (Route Origin Validation). Secara sederhana, router kita akan mengecek ke database kriptografi global untuk memastikan apakah ASN yang mengiklankan IP tersebut benar-benar pemilik sahnya.
(Terima Rute)") B -->|Tidak Terdaftar| D("UNKNOWN
(Terima Rute)") B -->|Beda ASN / Palsu!| E("INVALID
(Tolak/Beri Tag Khusus)") style A fill:#2d2d2d,stroke:#66d9ef,stroke-width:2px,color:#fff style B fill:#2d2d2d,stroke:#ff9800,stroke-width:2px,color:#fff style C fill:#2d2d2d,stroke:#a6e22e,stroke-width:2px,color:#fff style D fill:#2d2d2d,stroke:#a0a0a0,stroke-width:2px,color:#fff style E fill:#2d2d2d,stroke:#ff5f56,stroke-width:2px,color:#fff
Langkah 1: Membuat Community untuk Status RPKI
Sebelum membuat filter, mari kita kombinasikan ilmu dari Part 4. Kita akan membuat tiga buah BGP Community untuk menandai setiap rute yang masuk dengan status validasinya. Anggaplah AS Number kita adalah 65001.
set policy-options community rpki-valid members 65001:4000 set policy-options community rpki-invalid members 65001:4001 set policy-options community rpki-unknown members 65001:4002
Langkah 2: Membuat Policy Validasi
Kini kita buat urutan logikanya. Jika rute terbaca Valid, kita tempelkan community Valid. Jika Invalid (indikasi BGP Hijacking), kita tempelkan community Invalid, begitu juga untuk Unknown (belum mendaftarkan sertifikat RPKI).
Catatan: Banyak ISP memilih untuk tetap melakukan accept pada rute Invalid di awal masa transisi, dan hanya memberikan tag peringatan. Namun di lingkungan ketat, rute Invalid biasanya langsung di-reject.
# Term 1: Untuk Rute yang VALID set policy-options policy-statement RPKI-CHECK term valid from protocol bgp set policy-options policy-statement RPKI-CHECK term valid from validation-database valid set policy-options policy-statement RPKI-CHECK term valid then validation-state valid set policy-options policy-statement RPKI-CHECK term valid then community add rpki-valid set policy-options policy-statement RPKI-CHECK term valid then accept # Term 2: Untuk Rute yang INVALID (Terdeteksi Palsu) set policy-options policy-statement RPKI-CHECK term invalid from protocol bgp set policy-options policy-statement RPKI-CHECK term invalid from validation-database invalid set policy-options policy-statement RPKI-CHECK term invalid then validation-state invalid set policy-options policy-statement RPKI-CHECK term invalid then community add rpki-invalid set policy-options policy-statement RPKI-CHECK term invalid then accept # Term 3: Untuk Rute yang UNKNOWN (Belum Didaftarkan) set policy-options policy-statement RPKI-CHECK term unknown from protocol bgp set policy-options policy-statement RPKI-CHECK term unknown from validation-database unknown set policy-options policy-statement RPKI-CHECK term unknown then validation-state unknown set policy-options policy-statement RPKI-CHECK term unknown then community add rpki-unknown set policy-options policy-statement RPKI-CHECK term unknown then accept
Langkah 3: Verifikasi Status RPKI pada Tabel Routing
Setelah policy dipasang (sebagai bagian dari rantai Import Policy BGP Anda), router secara otomatis akan mengevaluasi setiap tabel routing. Anda dapat memeriksa state dari suatu IP menggunakan perintah operasional bawaan Juniper.
show route 1.1.1.0/24 detail | match "Validation State|Communities"
Validation State: valid
Communities: 65001:4000
Kini jaringan ISP atau Enterprise Anda satu langkah lebih aman dari ancaman pembajakan trafik internet! Di Part selanjutnya, kita akan membahas teknik troubleshooting apabila sesi BGP Anda bermasalah.
Post a Comment