To install CA Certificate, We must configure NTP first (because Certificate has a lifetime)
Click add…and enter the NTP Server (you can go through internet how to make NTP Server, including cisco router)
The 10.1.1.254 is my Gateway Router (and My 2nd CA Server…and also my NTP Server)
Then go to the Clock…just set the time zone and click update displayed time
================================================
Installing CA into ASA is easy..
Just go to Configuration (Remote Access VPN or Site-to-Site VPN or Device Management)
Go to Configuration > Certificate Management > CA Certificates > click add
My CA Server name is “CA”… in ASA we can see this in “issued-by CN=CA“
3 ways of inserting CA certificates:
From Downloaded File, Copy Paste the Code, or using SCEP (Simple Certificate Enrollment Protocol)
In More Option…we can ignore (do not check) certificate revocation
======================================
inserting CA certificates:
===================================
The Question is, how we create CA Server?!?
There are 3 ways of doing this:
Easy…just go to Certificate Management (same page as adding CA certificates page), then go to Local
Certificate Authority > CA Server
Set passphrase (password if we may say), and another option (Key Size, Lifetime, URL)
If we set into 512 bit RSA key, only SSH v1.0 supported…if 1024 bit, the SSH v1.9 is deployed (v1.9 is capable of version 1 and version 2 SSH)
Type the password for securing the Certificate Key
Click add…and enter the NTP Server (you can go through internet how to make NTP Server, including cisco router)
The 10.1.1.254 is my Gateway Router (and My 2nd CA Server…and also my NTP Server)
Then go to the Clock…just set the time zone and click update displayed time
================================================
Installing CA into ASA is easy..
Just go to Configuration (Remote Access VPN or Site-to-Site VPN or Device Management)
Go to Configuration > Certificate Management > CA Certificates > click add
My CA Server name is “CA”… in ASA we can see this in “issued-by CN=CA“
3 ways of inserting CA certificates:
From Downloaded File, Copy Paste the Code, or using SCEP (Simple Certificate Enrollment Protocol)
In More Option…we can ignore (do not check) certificate revocation
======================================
inserting CA certificates:
-
1st Way: Download the Certificate and Upload it
-
2nd Way: Copy Paste the whole encryption
-
3rd Way: Or using SCEP (Simple Certificate Enrollment Protocol)
10.1.1.4 is the CA Server (PKI Server using Windows Server 2008)
===================================
The Question is, how we create CA Server?!?
There are 3 ways of doing this:
- Using Server Appliance as CA Server(Windows Server)
- Using ASA as CA Server
- Using Router as CA Server
- Windows Server
- Make ASA as CA Server
Easy…just go to Certificate Management (same page as adding CA certificates page), then go to Local
Certificate Authority > CA Server
Set passphrase (password if we may say), and another option (Key Size, Lifetime, URL)
- Make Router as CA Server
- 1st Step: Create the key (with encryption like RSA/AES) with the name of “CA”, and make it exportable
If we set into 512 bit RSA key, only SSH v1.0 supported…if 1024 bit, the SSH v1.9 is deployed (v1.9 is capable of version 1 and version 2 SSH)
- 2nd Step: Export the key using PEM file format, store it in NVRAM using 3des encyption with passphrase “cisco123″
- 3rd Step: dont forget making our router into http server capable !! (because ASA will retrieve it using port 80 which is http port)
-
4th Step: now we create the PKI Server (CA Server)
- we name the Server “CA” with database pointing into nvram (just like the key)
- then store all the minimum info required info for certificate issuing
- and set the name of issuer using Common Name (CN) “CA”
- also set the lifetime of CA Certificate is 1 year (365 days)
- we name the Server “CA” with database pointing into nvram (just like the key)
- 5th Step: finally…lets bring up this bit*h up with no shut command
Type the password for securing the Certificate Key
CBAC and ZBF
December 25, 2013
Postingan tepat tanggal 25 Desember, dimana beberapa teman yang beragama nasrani sedang merayakan hari raya mereka
walaupun berbeda prinsip, tetep ane berharap supaya perayaan kali ini aman, lancar, dan tentram…
anyway…back to the topic i want to post…
==================================
Kali ini kita akan bahas limitasi dari implementasi ACL, dan fitur firewall bernama CBAC (Context-Based Access Control) dan ZBF (Zone-Based Firewall)
Initial topology (the good news is…CBAC and ZBF can be practiced in Packet Tracer)
Initial config dari PC
Gw bikin secondary ip untuk bikin “seolah2″ ada PC banyak yang konek ke FW-Router (tanpa harus bikin router PC banyak2 @_@ ), dan gateway-nya 10.1.1.10 (ip FW-Router)
Ceritanya gw bikin ACL yang isinya “hanya host 10.1.1.1 yang boleh akses server”
Yuk kita tes ping (1.1.1.2 adalah IP server)
Ping dari 10.1.1.1 berhasil
Ping dari 10.1.1.2 ke server ga berhasil (U = Destination Unreachable), tapi bagaimana kalau sebaliknya?? Dari server ke 10.1.1.2
Klo dari server…sama juga…
Tadi kan Traffic dari 10.1.1.2 yang menuju server sukses di blok (unreachable by ACL), yang jadi masalah adalah…traffic dari Server (sebaliknya) ke 10.1.1.2 pun ikut2an di blok (request time out)
Inilah kelemahan ACL, maka Pertanyaannya adalah:
“bisa ga itu FW-Router nge-blok traffic dari 10.1.1.0 (PC Network) tapi ga nge-blok traffic yang berasal dari Server ke 10.1.1.0??“
Bisa…pake Reflexsive ACL atau pake yang lebih powerful…CBAC
Kok bisa gitu…yang satu Unreachable tapi yang satu lagi RTO?? Inget…ini koneksi 2-arah…
Unreachable berarti emang pas masuk udah kena filter ACL
RTO berarti trafficnya ga di blok…tapi pas device tujuan nge-REPLY ping source device, hasilnya di blok
=======================================
CBAC (Context-Based Access Control) aka IOS Firewall
CBAC inilah jawaban dari kelemahan ACL…nge-blok berdasarkan “konteks” (contoh: dari mana traffic itu berasal dan pake protocol apa)
“gw bisa bikin ping dari arah server ga di blok, tapi dari arah PC akan gw blok“
Mirip2 dengan Reflexive ACL (nanti kapan2 gw bahas), bedanya adalah…CBAC itu ampe Layer 7, klo Reflexive ACL filteringnya ampe layer 4 aja
Keyword untuk CBAC adalah inspect
Define dulu apa yang mau kita inspeksi…trus kasi nama inspeksinya
Ip inspect name [nama inspeksi] [protocol yang di-inspeksi]
*Note: di packet tracer…protocol yang bisa diinspeksi cuma http, icmp, tcp/udp, ama telnet doang
Trus pasang di interface yang kita mau inspeksi…inspeksi traffic yang masuk (in) atau yang keluar (out)
Nah, karena traffic ping dari arah Fa1/0 (PC Network) di blok oleh ACL dan kita pengen traffic ping dari arah Server ga di blok oleh ACL pas itu PC Network REPLY itu icmp ping request
Kita bikin ip inspect [nama] out, biar si FW-Router membolehkah traffic ping dari server keluar dari interface yang sudah kita pasang ACL tadi
karena di perbolehkan…berarti traffic ping REPLY dari PC network ke arah Server (Fa1/0 in) juga diperbolehkan
Yuk kita tes…
10.1.1.0 network tetep ga bisa ping ke ip server 1.1.1.2 (gara2 ServerACL yang kita buat tadi)
Tapi apakah si Server juga ga bisa ping ke 10.1.1.2??? We’ll see
Sep….sebagai tambahan…kita bisa juga tambahin ip inspect audit-trail untuk record siapa aja yang masuk lewat firewall trus taro ke Syslog server dengan keyword logging [ip Syslog server]
*note: CBAC harus pake extended ACL
Eh…tapi klo kek gini gimana??
“gw pengen LAN bisa create session (ping) ke WAN, tapi WAN ga bole inisialisasi session ke LAN“
“trus gw pengen LAN bisa HTTP ke DC, dan DC ama WAN ga bole ping2an kecuali DC duluan yang ping“
Wokeh…ini ribet, klo kita pake CBAC berarti kita harus inspect protokolnya plus kita harus input inspectnya ke interface (itu juga klo inspectnya 1 macem protocol, klo kita mau inspect http, telnet, dll…wassalam ini Network Engineer-nya, belum lagi interface yang mau dikonfigur banyak)
Nah, ada 1 cara yang disebut Zoning, kita define daerah mana yang untrusted, mana yang trusted, mana yang harus di-inspect dulu
Metode ini disebut Zone-Based Firewall (ZBF / ZFW)
========================================
Zone-Based Firewall (ZBF)
Note: untuk konfigurasi ini…kita harus pake IOS Security (sama kek kita mau pake VoIP harus make IOS Voice yang ada command2 buat voice), coba aja lo ketik “zone ?” di IOS biasa…pasti ga ada
Contoh kasus:
*Note: klo lo uda pernah setting QoS di Router Cisco, lo pasti uda familiar dengan pola konfigurasi ZBF, pake class-map dan policy-map…dia pake MQC (Modular QoS CLI) juga
1st Step – Create Zone
Inside untuk LAN, Outside ke WAN, DC/DMZ untuk ke DC
Nanti ini zone ditempatin di interface yang bersangkutan (see Step 5)
Klo mau langsung ya step2nya jadi 1, 5, 2, 3, 4…bukan step 1, 2, 3, 4, 5
2nd step – Create Inspect Class-Map
Inspect?? ya…ZBF pake “engine” CBAC
Soalnya kita mau inspect ping (icmp), telnet, dan (kalo ada) web (http)
3rd step – Create Policy-Map
Nanti policy ini akan dimasukkan ke Zone-Pair (step 4) yang akan kita bikin
4th Step – Create Zone Pair (Zona2 mana saja yang akan di inspeksi ketika masuk Zona2 tertentu)
Zone-pair security [nama Zone-Pair] source [nama zone] destination [nama zone], trus taro policy-map [nama] yang uda kita bikin tadi
5th Step – Apply the Zone to Interface
See the topology again if you confused…
NOW….LETS TEST IT
LAN boleh ping ke WAN, sebaliknya ga bole
Nice…sekarang LAN hanya bole telnet ke DC
Ping fail, telnet bisa…AMEEEN TO GOD
==================================
pertama kali gw nge-liat ini konfig ZBF…ribet, tapi lama2 make sense klo lo punya interface banyak, klo make CBAC mulai ga terkontrol soalnya
create class-map, nanti class-map nya dimasukin ke policy-map, nah…policy-map nya nanti dimasukin ke zone-pair
(3x dimasukin..wkwkwk)
trus zone-pair nya harus di-define…mau inspect dari source zone mana ke destination zone mana
eh man, klo gw pengen situs tertentu di blok, trus bisa ngelindungin dari virus, mencegah ddos, dll gimana?!? Bisa ga pake ZBF ini??
walaupun berbeda prinsip, tetep ane berharap supaya perayaan kali ini aman, lancar, dan tentram…
anyway…back to the topic i want to post…
==================================
Kali ini kita akan bahas limitasi dari implementasi ACL, dan fitur firewall bernama CBAC (Context-Based Access Control) dan ZBF (Zone-Based Firewall)
Initial topology (the good news is…CBAC and ZBF can be practiced in Packet Tracer)
Initial config dari PC
Gw bikin secondary ip untuk bikin “seolah2″ ada PC banyak yang konek ke FW-Router (tanpa harus bikin router PC banyak2 @_@ ), dan gateway-nya 10.1.1.10 (ip FW-Router)
Ceritanya gw bikin ACL yang isinya “hanya host 10.1.1.1 yang boleh akses server”
Yuk kita tes ping (1.1.1.2 adalah IP server)
Ping dari 10.1.1.1 berhasil
Ping dari 10.1.1.2 ke server ga berhasil (U = Destination Unreachable), tapi bagaimana kalau sebaliknya?? Dari server ke 10.1.1.2
Klo dari server…sama juga…
Tadi kan Traffic dari 10.1.1.2 yang menuju server sukses di blok (unreachable by ACL), yang jadi masalah adalah…traffic dari Server (sebaliknya) ke 10.1.1.2 pun ikut2an di blok (request time out)
Inilah kelemahan ACL, maka Pertanyaannya adalah:
“bisa ga itu FW-Router nge-blok traffic dari 10.1.1.0 (PC Network) tapi ga nge-blok traffic yang berasal dari Server ke 10.1.1.0??“
Bisa…pake Reflexsive ACL atau pake yang lebih powerful…CBAC
Kok bisa gitu…yang satu Unreachable tapi yang satu lagi RTO?? Inget…ini koneksi 2-arah…
Unreachable berarti emang pas masuk udah kena filter ACL
RTO berarti trafficnya ga di blok…tapi pas device tujuan nge-REPLY ping source device, hasilnya di blok
=======================================
CBAC (Context-Based Access Control) aka IOS Firewall
CBAC inilah jawaban dari kelemahan ACL…nge-blok berdasarkan “konteks” (contoh: dari mana traffic itu berasal dan pake protocol apa)
“gw bisa bikin ping dari arah server ga di blok, tapi dari arah PC akan gw blok“
Mirip2 dengan Reflexive ACL (nanti kapan2 gw bahas), bedanya adalah…CBAC itu ampe Layer 7, klo Reflexive ACL filteringnya ampe layer 4 aja
Keyword untuk CBAC adalah inspect
Define dulu apa yang mau kita inspeksi…trus kasi nama inspeksinya
Ip inspect name [nama inspeksi] [protocol yang di-inspeksi]
*Note: di packet tracer…protocol yang bisa diinspeksi cuma http, icmp, tcp/udp, ama telnet doang
Trus pasang di interface yang kita mau inspeksi…inspeksi traffic yang masuk (in) atau yang keluar (out)
Nah, karena traffic ping dari arah Fa1/0 (PC Network) di blok oleh ACL dan kita pengen traffic ping dari arah Server ga di blok oleh ACL pas itu PC Network REPLY itu icmp ping request
Kita bikin ip inspect [nama] out, biar si FW-Router membolehkah traffic ping dari server keluar dari interface yang sudah kita pasang ACL tadi
karena di perbolehkan…berarti traffic ping REPLY dari PC network ke arah Server (Fa1/0 in) juga diperbolehkan
Yuk kita tes…
10.1.1.0 network tetep ga bisa ping ke ip server 1.1.1.2 (gara2 ServerACL yang kita buat tadi)
Tapi apakah si Server juga ga bisa ping ke 10.1.1.2??? We’ll see
Sep….sebagai tambahan…kita bisa juga tambahin ip inspect audit-trail untuk record siapa aja yang masuk lewat firewall trus taro ke Syslog server dengan keyword logging [ip Syslog server]
*note: CBAC harus pake extended ACL
Eh…tapi klo kek gini gimana??
“gw pengen LAN bisa create session (ping) ke WAN, tapi WAN ga bole inisialisasi session ke LAN“
“trus gw pengen LAN bisa HTTP ke DC, dan DC ama WAN ga bole ping2an kecuali DC duluan yang ping“
Wokeh…ini ribet, klo kita pake CBAC berarti kita harus inspect protokolnya plus kita harus input inspectnya ke interface (itu juga klo inspectnya 1 macem protocol, klo kita mau inspect http, telnet, dll…wassalam ini Network Engineer-nya, belum lagi interface yang mau dikonfigur banyak)
Nah, ada 1 cara yang disebut Zoning, kita define daerah mana yang untrusted, mana yang trusted, mana yang harus di-inspect dulu
Metode ini disebut Zone-Based Firewall (ZBF / ZFW)
========================================
Zone-Based Firewall (ZBF)
Note: untuk konfigurasi ini…kita harus pake IOS Security (sama kek kita mau pake VoIP harus make IOS Voice yang ada command2 buat voice), coba aja lo ketik “zone ?” di IOS biasa…pasti ga ada
Contoh kasus:
- Traffic dari LAN ke WAN ga di blok, tapi sebaliknya diblok
- LAN ke DC hanya bole Telnet (ato kalo di production kita hanya bole akses http alias web)
*Note: klo lo uda pernah setting QoS di Router Cisco, lo pasti uda familiar dengan pola konfigurasi ZBF, pake class-map dan policy-map…dia pake MQC (Modular QoS CLI) juga
1st Step – Create Zone
Inside untuk LAN, Outside ke WAN, DC/DMZ untuk ke DC
Nanti ini zone ditempatin di interface yang bersangkutan (see Step 5)
Klo mau langsung ya step2nya jadi 1, 5, 2, 3, 4…bukan step 1, 2, 3, 4, 5
2nd step – Create Inspect Class-Map
Inspect?? ya…ZBF pake “engine” CBAC
Soalnya kita mau inspect ping (icmp), telnet, dan (kalo ada) web (http)
3rd step – Create Policy-Map
Nanti policy ini akan dimasukkan ke Zone-Pair (step 4) yang akan kita bikin
4th Step – Create Zone Pair (Zona2 mana saja yang akan di inspeksi ketika masuk Zona2 tertentu)
Zone-pair security [nama Zone-Pair] source [nama zone] destination [nama zone], trus taro policy-map [nama] yang uda kita bikin tadi
5th Step – Apply the Zone to Interface
See the topology again if you confused…
NOW….LETS TEST IT
LAN boleh ping ke WAN, sebaliknya ga bole
Nice…sekarang LAN hanya bole telnet ke DC
Ping fail, telnet bisa…AMEEEN TO GOD
==================================
pertama kali gw nge-liat ini konfig ZBF…ribet, tapi lama2 make sense klo lo punya interface banyak, klo make CBAC mulai ga terkontrol soalnya
create class-map, nanti class-map nya dimasukin ke policy-map, nah…policy-map nya nanti dimasukin ke zone-pair
(3x dimasukin..wkwkwk)
trus zone-pair nya harus di-define…mau inspect dari source zone mana ke destination zone mana
eh man, klo gw pengen situs tertentu di blok, trus bisa ngelindungin dari virus, mencegah ddos, dll gimana?!? Bisa ga pake ZBF ini??
No comments:
Post a Comment