Hidup Ini Indah

January 15, 2006

Tadinya gue berencana untuk membagi waktu selama libur 9 hari menjadi tiga: 8 jam buat belajar CCIE, 8 jam buat bersama keluarga dan 8 jam buat tidur. Tapi ternyata 8 jam terlalu berharga jika hanya untuk tidur.
Jadinya gue kembali tidur 5 jam sehari seperti biasa.
Tetap belajar CCIE 8 jam dan semua waktu yg ada gue curahkan bersama keluarga.

Cuaca di Dubai lagi perfect. Kalo siang paling panas 23-25 derajat celcius.
Pagi-pagi bisa 17-18 derajat. Sangat kontras jika dibandingkan dgn waktu summer yg bisa mencapai lebih dari 45 derajat celcius di siang hari.

Dalam masa libur ini gue dan keluarga beberapa kali pergi ke pantai, tepatnya di Jumeira open beach berdekatan dgn Burj Al Arab. Menghabiskan waktu seharian buat tiduran di pasir putih. Berenang di laut yg bersih dgn ombak yg tidak terlalu besar. Mengumpulkan kerang, kepiting sampe ke binatang laut kecil lain spt starfish.

Hidup ini indah. Cuman satu hal yg kurang: CCIE security.

Persiapan gue untuk ujian ke-2 kali ini sedikit berbeda.
Kalo dulu gue fokus ke latihan untuk speed, sekarang gue lebih fokus ke akurasi dalam menjawab soal. Semua teknologi security gue review dan gue tumpuk satu sama lain.
Dulu gue bergantung pada lab workbook dari berbagai vendor. Sekarang gue banyak menghabiskan waktu untuk baca CCO: technical tips, sample configuration, product guide, technology support sampe presentasi2 di networkers.

Berdasarkan hasil ujian pertama gue, gue dapet full point di bagian switching, IGP, BGP, AAA dan IDS. Jadi target gue nanti adalah untuk mempertahankan full point di bagian-bagian tsb, dan berusaha untuk dapet full point di firewall (pix dan IOS) dan vpn. Bagian IOS features dan stopping network attack menurut gue adalah hal tersulit di ujian karena apapun bisa keluar
di sana. Jadi untuk yg dua itu, gue bakal keep finger crossed dan berusaha sebaik mungkin.

Gue mulai belajar dgn melihat CCIE lab blueprint, baca tiap teknologi yg di list di situ satu-satu, trus coba di apply dalam satu network yg sama.
Sebagai contoh, gue mulai dgn setup lab gue dgn satu topologi network biasa. Terus pasang routing yg di hardened. Router dan switchnya sendiri juga gue hardened agar sulit di penetrasi attacker.
User bisa login ke device setelah di autentikasi dan di authorize pake radius, tacacs, atau local database.
Lewatkan process routing di firewall dan vpn tunnel.
Tumpuk VPN static dgn dynamic. Pasang VPN LAN to LAN dan remote access secara bersamaan dan autentikasi ke Radius atau Tacacs server.
Routing yg normal dan routing buat VPN gue acak-acak. Kadang pake static route, kadang policy routing. Bisa juga static route yg muncul akibat reverse-route gue inject ke routing protocol.
IPSec tunnel bisa di terminate ke HSRP address untuk high availability.

Satu router bisa jalan beberapa routing protocol sekaligus. Seringkali malahan beberapa instance dari routing protocol yg sama.
Ada router yg konek ke router lain dgn OSPF lewat 1 interface, konek juga ke router lain lagi dgn OSPF process-id 2 lewat interface yg lain. Kedua process-id tidak di redistribusi tapi jalan masing-masing.
Hampir semua router dipasang 802.1q trunk di ethernet interface nya. Dgn cara begini gue bisa bikin banyak virtual router. Satu router yg sama tapi konek ke network di beberapa titik dan ngejalanin routing yg berbeda-beda. Dan koneknya bisa dgn cuma 1 ethernet port.

VPN concentrator bisa jalan dgn 2 interface atau 1 interface, disebut vpn on a stick. Kalo pake 1 interface doank akan banyak trick di filter dan routing. GRE tunnel ada di mana-mana. NAT dan PAT dipasang di mana-mana.
IPsec dgn NAT overlapping atau PAT port redirection. IPsec dgn NAT-transparancy atau normal. QOS dan fragmentation di IPsec tunnel. Router sbg EZVPN server sekaligus client.
Dynamic vpn tunnel dgn source ip address yg berbeda-beda, dan routing protocol yg berbeda-beda pula running di dalam tunnel. VPN bisa antara firewall dgn router, router dgn router, firewall dgn vpn concentrator, router dgn vpn
concentrator, router ke router melalui firewall dengan atau tanpa NAT.
Gue pernah bikin sampe 10 VPN tunnel, terbanyak yg pernah gue bikin di satu network. Enam static tunnel dgn nat overlapping, port redirection dan juga high availability, sisanya dynamic tunnel untuk EZVPN client dan dgn menggunakan DMVPN. Ada router yg mau konek ke PC di directly connected network tapi lewat tunnel dulu ke router yg lain.
Policy routing, policy routing, policy routing.

Firewall configuration guide dan technical tips gue baca satu-satu dan cobain di lab. Fitur-fitur individu di firewall gue coba jalanin dan liat efeknya begitu di gabung dgn device-device yg lain.
Firewalling dilakukan dgn cara melewatkan established packet, reflective access control utk mem-permit return traffic, sampe stateful inspection. Time based access control atau dynamic ACL juga dicoba.
User di autentikasi terlebih dahulu sebelum bisa kirim paket web, smtp sampai sqlnet.
Teknik2 untuk nge-block attack di router atau firewall diaktifkan. Mulai dari block worm, scanning attempt sampe melimit bandwidth buat suspicious traffic.
Cuman satu maasalah di network attack, setingan kita tidak selalu bisa di test.

Trus jalanin IDS untuk monitor berbagai segment. Bikin custom signature dgn berbagai action: log, shun, reset.
Signature di match untuk paket stream dan atomic. Bikin berbagai scenarios utk atomic signature dgn berbagai action di beberapa titik.
Alarmnya di customize utk berbagai situasi. Mulai dari threshold jumlah alert yg otomatis berganti, summarize alert sampe ke custom signature berdasarkan source-destination ip address dan port atau cuman source address doank.
Action blocking atau shunning bisa di firewall, di router atau di kedua-duanya sekaligus.

Semua ini gue cobain di satu network yg sama. Device yg gue pilih untuk menjalankan suatu fitur bener2 random. Kadang router dgn router yg konek back-to-back, kadang router di belakang firewall dgn router di ujung yg jauh.
Scenario tanpa pola, untuk mengantisipasi segala kemungkinan pertanyaan di lab nanti.
Debug dari NTP, routing update sampe ke isakmp dijalankan di mana-mana.
Semua fitur yg dijalankan harus di test agar bener2 yakin bisa jalan.

Segala kombinasi setingan firewall, vpn dan ids gue coba lakukan.
Baru berhenti setelah konfigurasi jadi bener2 berantakan, setelah masing-masing teknologi ini bentrok satu sama yg lain.
Atau bisa juga karena fiturnya terlalu sulit buat dicoba, dan kemungkinan ini tidak akan ditanyakan di lab nanti.
Bisa juga berhenti karena gue sudah *enek* ngeliat hasil debug.

Lalu? Restart.
Reboot semua router dan mulai dgn setup topologi network yg baru.

Moto belajar CCIE yg tadinya: practice, practice, practice.
Gue ubah menjadi: practice, read CCO, and pray.

Gak ada jaminan cara baru bisa berhasil. Gak ada jaminan cara lama tidak bisa berhasil juga.
Tapi paling enggak gue menemukan cara yg membuat gue bisa belajar implikasi dari berbagai teknologi security jika di apply dalam satu network.
Buat gue ini satu langkah maju.
Dan kalo mau jujur, cara ini lebih fun ketimbang sebelumnya.
Gue yg bikin scenario, gue yg bikin limitasi, gue yg setup rules.

Sepuluh hari lagi.

Posted in Uncategorized | Comments (3)