Hari ini Rabu 3 Januari 2007 jam 09:00 di inixindo ujian pertama dari 5 ujian yang harus dilalui untuk mendapatkan sertifikasi Cisco Ceritified Security Professional (CCSP) dari Cisco.842-522 Securing network with Pix and Asa dengan hasil ujian lulus.
Berikut ini adalah rangkuman dari mempelajari pix asa ini, untuk simulasi PIX ini, dapat di akses disini.
Access control list(acl) digunakan untuk authentication dan authorization dari sebuah koneksi berdasarkan network, host dan service (Tcp/udp number port) tertentu
pemeriksaan berdasarkan static, pre-define set of applicarion level inspection fungtions
show flashfs untuk menampilkan ukuran konfigurasi
show xlate untuk menampilkan translasi ip address saat itu dalam pix
show isakmp policy untuk menampilkan semua konfigurasi policies
security appliance dalam mode firewall terbagi menjadi 2 bagian :
routed mode : support dinamic routing dan Nat
transparent : tidak support dinamic routing atau NAt
Asa merupakan algoritma yan digunakan oleh PIX Firewall untuk menyediakan keamanan yang lebih baik dibandingkan packet filter dan performansi yang lebih baik dibandingkan aplikasi proxy
Konfigurasi dinamic address translation
konfigurasi dari nat/pat terbagi menjadi 2 proses :
1. Mengidentifikasi local address yang akan ditranslate (NAT command)
2. Mendefinisikan global address untuk ditranslate (global command)
Konsep AAA
authentication : merupakan sebuah proses mengidentifikasi dan validasi user sebelum di ijinkan mendapat akses ke network device dan service, identitas user dan pengesahan hal yg harus akurat dari fungsi authorization dan acounting.
authorization : merupakan proses untuk menentukan user
2 type failover yaitu : standar failerover dan lan based failover
arp inspection prevents malicious user from impersonating other hosts or routers (known as arp spoofing)
3 type license :
1. Unrestricted : security appliance platform in an unrestricted(UR) license mode allow installation and use of the maximum number of interfaces and ram supported by the platform, the UR license support failover
2. Restricted : security appliance platform in a restricted(R) license mode limit the number of interfaces supported and the amount of ram available within the system, a restricted licensed firewall does not support a redundant system for failover.
3. Failover : failver(FO) software license places the pix security appliance in a failover mode for use aloingside another pix security appliance with a unrestricted license.
Tahap 1 : Konfigurasi interface pix firewall
Tahap 2 : Konfigurasi static routes
Tahap 3 : Konfigurasi NAT (Network address translation)
pix(config)#nat(inside) 1 10.0.0.0 255.255.255.0
pix(config)#nat(dmz) 1 172.16.1.0 255.255.255.0
pix(config)#global(outside) 1 192.168.0.1 netmask 255.255.255.255
keterangan :
nat yg pertama, permit semua host di network inside 10.0.0.0 untuk memulai outbound connection menggunakan ip address dari global id 1
nat yg kedua, permit semua host di network dmz 172.16.1.0 untuk memulai outbound connection menggunakan ip address dari global id 1
ike is synonymous with internet security association key management protocol (isakmp) in cisco router or pix firewall configuration
Failover system Requirement :
1. Identical PIX firewall hardware and software versions
2. the failover feature requires two units that are identical in the following respects contoh :pix 515E cannot be used with a pix 515.
3. same number and type of interfaces
4. identical software version
5. same action key type (des or 3des)
6. same amount of flash memory
7. same amount of ram
terdapat 3 cara untuk untuk mendesign multipoint networking :
1. Unicast : dengan unicast design, applisi dapat mengirim satu copy untuk setiap paket kesetiapmember dari mulitcast group, teknik ini sangat mudah untuk di implementasikan namun harus memiliki batasan jika groupnya besar. dengan kata lain, membutuhkan extra bandwidth karena informasi yang sama akan dibawa berkali-kali. meskipun dalam link yang terbagi
2. Broadcast : dengan broadcast design, applikasi dapat mengirim satu copy untuk setiap paket dan alamat ke setiap alamat boradcast. teknik ini lebih sederhana dibandingkan dengan unicast untuk applikasi yang akan diimplementasikan, namun jika teknik ini digunakan, network harus berhenti mem broadcast dalam lingkup lan (sebuah teknik yang sering digunakan untuk mencegah terjadinya pengiriman secara continu dalam jumlah banyak atau broadcast storam) atau pengiriman broadcast ke semuanya. pengiriman broadcast ke semua ini tentu saja menghabiskan resources network jika hanya group kecil biasanya diperlukan untuk melihat paket
3. Mulicast : dengan multicast design, applikasi dapat mengirim satu copy untuk setiap paket dan alamat ke group komputer yang ingin menerimanya, teknik paket alamat ini kegroup untuk menerima dibandingkan penerima single, dan mengirim pake hanya kepadanetwork yang perlu untuk menerimanya.
multicast ini dapat diterapkan di layer 2 dan layer 3, ethernet dan fddi adalah contoh yang support unicast, broadcast dan multicast
Adi Maulana
adimaulana.wordpress.com 
wah, sulit nyari orang sibuk. lagi konsentrasi belajar untuk persiapan ujian CCSP ya?
hari ini saya coba teleponin gadi, chat, dan email untuk mohon tolong downloadin file dari server di beijing, di sini berat banget. tapi ya sudah gpp, biar karisdi saja yang download. anyway, thanks and good luck! hope you’ll success in the exam. let me know if you pass the exam, will you?
Congratulation for your CCSP! As usual, you always pass the exam.
Good luck! I wish you get more success in career and life in 2007.
-Ar
thx u,tp perjuangan masih jaauh, masih ada 4 modul ujian lg.
saya pernah di training sama pak maul, beliau ini memang mantapz…..ngejelasinnya enakeun.thx pak maul.
Mas Erik.
Terima kasih mau berkunjung ke blog ini.
Saya ini masih dalam tahap belajar, jadi kalo banyak kekurangan disana-sini mohon dimaklumi n dimaafkan.
Mas Erik yg mana ya ?…lupa 🙂
Terima kasih
Adi Maulana