Alternative Media for Cisco & Juniper Certifications

The Journal of Networking is created as an alternative media for understanding and learning the computer network knowledges. Most of the articles are base on Cisco & Juniper material/student guide. This journal also want to encourage people become certified in their IT industry field.
For now on, we are try to discussing ICND1v1.0, ICND2v1.0, CSEv4.0, BSCIv3.0, BCMSNv3.0, ISCWv1.0, ONTv1.0, QoS, BGP, MPLSv2.2 and CJFV material.
Have a nice collaborating!

Thursday, November 5, 2009

CCSP Sebagai Solusi Keamanan Jaringan

Percepatan perkembangan teknologi informasi dan komunikasi (TIK) serta percepatan tekonologi keamanan jaringan tidak sebanding dengan kemampuan dan wawasan seseorang akan teknologi keamanan jaringan itu sendiri. Sehingga seringkali muncul berbagai kasus bobolnya sistem jaringan oleh pihak-pihak yang tidak bertanggung jawab.

Kini saatnya kita perlu membangun sebuah infrastruktur jaringan yang aman dan memiliki kecanggihan dalam mengantisipasi datangnya ancaman keamanan sistem serta jaringan itu sendiri. Salah satu cara dalam membangun infrastruktur keamanan jaringan ini adalah membekali para profesional IT dengan sertifikasi khusus di bidang ini. Sertifikasi khusus ini adalah CCSP atau Cisco Certified Security Professional. Diharapkan melalui sertifikasi ini, para profesional memiliki kemampuan dan pengetahuan yang sistematis serta lengkap berkaitan dengan keamanan sistem jaringan pengamanan produktifitas organisasi.

Posted by Arnastya I S at 7:18 PM 0 comments
Labels: ,
Reactions: 

Monday, November 2, 2009

CCSP

CCSP adalah satu-satunya program sertifikasi dari Cisco yang diperuntukkan bagi para profesional infrastruktur jaringan yang terkonsentrasi pada masalah keamanan jaringan. Dengan sertifikasi ini, para profesional dianggap telah memiliki keahlian untuk mengamankan dan mengelola infrastruktur jaringan untuk mengamankan produktifitas suatu organisasi dan mengantisipasi ancaman keamanan. Persyaratan mengikuti program CCSP ini, peserta training CCSP adalah tingkatan sertifikasi kedua setelah Cisco Certified Network Associate (CCNA) dan CCNA Security. Untuk tahap selanjutnya professional di bidang security dapat mengikuti program sertifikasi tingkat expert yaitu Cisco Certified Internetwork Expert (CCIE) Security.

Program CCSP terdiri dari tiga training yang direkomendasikan dan tiga training lainnya sebagai pilihan. Training yang direkomendasikan tersebut diantaranya adalah Securing Networks with Cisco Routers and Switches (SNRS), Securing Networks with ASA Foundation (SNAF), Implementing Cisco Intrusion Prevention System (IPS). Sedangkan training lanjutan sebagai pilihan diantaranya adalah Implementing Cisco NAC Appliance (CANAC), Implementing Cisco Security Monitoring, Analysis and Response System (MARS), dan Securing Networks with ASA Advanced (SNAA).

Posted by Arnastya I S at 12:11 AM 0 comments
Labels: , , ,
Reactions: 

Wednesday, October 7, 2009

Tetap Semangat Mengikuti Kelas Malam

Jaman sekarang yang dibutuhkan adalah solusi. Begitu juga untuk urusan training IT. Bagi karyawan yang tidak bisa meninggalkan pekerjaannya, mereka dapat bergabung di sebuah IT training khusus "after office hour". Hal ini telah berhasil dijalankan dan ternyata sama sekali tidak membuat semangat peserta training dan pengajar menjadi kendor.

Waktu training dimulai dari pukul lima sore hingga sembilan malam. Sesi istirahat hanya satu kali yaitu untuk makan malam saja. Apabila dihitung, jumlah waktu yang efektif adalah tiga jam dalam satu hari training. Lab yang bisa diakses via Internet adalah salah satu solusi agar peserta dapat berlatih di kantor ataupun di rumah. Beberapa kelas malam yang pernah diikuti peserta adalah materi CCNP, CCNA dan CSE.

Pada bulan puasa yang lalu masih di tahun yang sama, saya mengajar kelas malam tersebut. Selain mengikuti training, peserta dan pengajar sekaligus berbuka bersama. Materi training dikemas sedemikian rupa agar mudah dipahami peserta.

Solusi kelas malam ini juga cocok bagi karyawan internal. Hal ini juga dibuktikan dengan antusiasnya teman-teman satu kantor yang mendapatkan undangan mengikuti kelas CSE baru-baru ini. Meski pulang kantor, dengan sisa-sisa tenaga di sore hari, ternyata peserta tetap semangat mendengarkan penjelasan tentang materi-materi training yang saya sampaikan.








Photo: Peserta kelas CSE di bilangan Jakarta @ photo session



Posted by Arnastya I S at 10:10 PM 0 comments
Labels: , ,
Reactions: 

Tuesday, October 6, 2009

Router-ID

Di lingkungan jaringan OSPF, router-id sangat dibutuhkan untuk melakukan identifikasi antar sesama router OSPF. Router-id disediakan dalam format dot decimal 32 bit. Layaknya penulisan IP Address, router-id menggunakan konsep yang sama. Router-id dapat dibentuk dan dibuat secara manual ataupun secara otomatis dari penulisan setiap link yang ada di sebuah router OSPF.

Pada sebuah router, router-id akan dipilih oleh sistem berdasarkan IP Address yang paling tinggi dari semua pengalamatan IP Address yang terdapat pada router itu sendiri. Sebagai contoh ada sebuah router OSPF yang memiliki 3 interface (ethernet0/0, ethernet0/1 dan serial0/0) dan masing-masing telah diberikan pengalamatan IP Address yang berbeda jaringan (secara berurutan: 10.1.1.1/24, 10.2.2.1/24, 192.168.1.1/24), maka kita perlu memperhatikan nilai IP Address tersebut. Nilai IP Address yang paling besar akan dideklarasikan oleh sistem sebagai router-id router tersebut. Dalam contoh tersebut maka serial0/0 dengan IP Address 172.16.1.1 akan dipakai sebagai router-id.

Kita dapat secara sengaja melakukan disain router-id khusus untuk router OSPF tersebut. Terdapat dua solusi untuk memberikan router-id yang baru tanpa mengubah pengalamatan di sebuah interface fisik. Yang pertama dengan cara memberikan interface loopback pada router tersebut dan memberikan pengalamatan IP Address tertentu (misalnya 172.16.1.1/32), maka router-id yang sebelumnya (192.168.1.1/24) dapat tergantikan. Cara yang kedua adalah dengan memberikan tambahan perintah dibawah konfigurasi router OSPF, dengan menuliskan router-id lalu diikuti dengan penulisan 32bit dot decimal (192.168.100.1).

Dengan kronologis diatas, bergantinya router-id tersebut tidak secara otomatis dilakukan sistem. Oleh karena itu perlu kiranya menghapus distribusi router-id OSPF dengan menggunakan perintah clear ip ospf. Apabila hal tersebut tidak berhasil maka perlu melakukan reload router atau mungkin harus menghapus konfigurasi router OSPF baru kemudian dilakukan konfigurasi ulang :(

Untuk menghindari hal tersebut terjadi, diupayakan agar merencanakan disain jaringan dan melakukan konfiguras lebih baik lagi. Apabila berencana menggunakan loopback interface sebagai router-id, maka tundalah membuat konfigurasi router OSPF setelah benar-benar interface loopback aktif dipakai. Namun demikian sangat disarankan agar memberikan router-id dengan memakai perintah router-id dibawah konfigurasi router. Untuk melihat dan memastikan kebenaran router-id, kita dapat menggunakan perintah show ip ospf.

Berikut ini gambaran penulisan router-id tersebut:
router-id 10.1.1.1

Untuk melihat dan memastikan kebenaran router-id, kita dapat menggunakan perintah show ip ospf.
Router# show ip ospf 

Routing Process "ospf 201" with ID 192.42.110.200 
Supports only single TOS(TOS0) route 
It is an area border and autonomous system boundary router 
Redistributing External Routes from, 
    igrp 200 with metric mapped to 2, includes subnets in redistribution 
    rip with metric mapped to 2 
    igrp 2 with metric mapped to 100 
    igrp 32 with metric mapped to 1 
Number of areas in this router is 3 
Area 192.42.110.0 
    Number of interfaces in this area is 1 
    Area has simple password authentication 
    SPF algorithm executed 6 times

Posted by Arnastya I S at 1:46 AM 0 comments
Labels: , , , , ,
Reactions: 

Monday, October 5, 2009

SRTT

SRTT kepanjangan dari Smooth Round-Trip Time. SRTT adalah salah satu field yang terdapat pada hasil monitoring protokol routing EIGRP. SRTT adalah angka dalam perhitungan millisecond yang dibutuhkan sebuah EIGRP paket yang akan dikirimkan ke router tetangganya dan bagi router lokal yang menerima acknowledge sebuah paket itu sendiri. SRTT dalam millisecond itu dapat dilihat manakala kita memonitor protokol routing EIGRP menggunakan perintah show ip eigrp neighbor.

Ada perbedaan saat kita mencoba memeriksa dan memonitor routing proses milik EIGRP ini secara statik menggunakan perintah show. Apabila menggunakan show ip eigrp interface maka perhitungan interval ini dalam hitungan second atau detik. 

Contoh menggunakan perintah neighbor:
Router# show ip eigrp neighbors 

P-EIGRP Neighbors for process 77 
Address                 Interface     Holdtime Uptime   Q      Seq  SRTT  RTO 
                                      (secs)   (h:m:s)  Count  Num  (ms)  (ms) 
172.16.81.28            Ethernet1     13       0:00:41  0      11   4     20 
172.16.80.28            Ethernet0     14       0:02:01  0      10   12    24 
172.16.80.31            Ethernet0     12       0:02:02  0      4    5     20 

Contoh menggunakan perintah interface:
Router# show ip eigrp interfaces detail 

IP-EIGRP interfaces for process 123 
                        Xmit Queue   Mean   Pacing Time   Multicast    Pending
Interface        Peers  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes 
IP-EIGRP interfaces for process 123 
                        Xmit Queue   Mean   Pacing Time   Multicast    Pending
Interface        Peers  Un/Reliable  SRTT  Un/Reliable  Flow Timer    Routes 
Fa0/1              0        0/0        0       0/10            0           0

Posted by Arnastya I S at 11:30 PM 0 comments
Labels: , , , , , ,
Reactions: 

Tuesday, September 15, 2009

Policy Dulu, Baru Yang Lain...

Beberapa waktu lalu saat mendapatkan kesempatan mengajar kelas Network Security, saya bertemu dengan beberapa teman engineer dari perusahaan BUMN. Mengenai nama BUMN baiknya tidak saya sebutkan disini demi etika dan kesopanan. Mereka rela mengikuti training 4 modul yang harus dihabiskan selama empat minggu berturut-turut demi objektif yang sedang saya pertanyakan ini.

Di awal training seperti biasanya kami berkenalan dan pada akhirnya saya menanyakan motivasi mereka mengikuti training semacam ini. Tidak disangka, ternyata mereka ingin memiliki tools atau semacam software penyerang yang rencananya dipakai untuk menyaingi salah satu karyawan yang "bandel". Belakangan saya tahu bahwa karyawan yang bandel itu tidak lain adalah rekan kerjanya sendiri! Dan melalui obrolan yang intens, saya mendapatkan informasi bahwa karyawan yang "bandel" ini adalah seorang junior di perusahaan tersebut namun mendapatkan jabatan koordinator di lingkungan mereka. Sepertinya sebagai rekan seniornya mereka tidak mau diatur ya :-?

Mereka adalah contoh script kiddies, orang yang tidak punya kemampuan hacking namun mencoba menggunakan software dan tools hacking yang rencananya dipakai untuk tujuan tertentu. Hal-hal seperti diatas adalah salah satu contoh dan kesamaan masalah di sebuah organisasi yang sama sekali tidak memiliki policy. Apakah mereka tidak bisa membuatnya atau tidak mau membuatnya? Seringkali hal seperti ujung-ujungnya masalah politis saja. Security policy menjadi hal yang tidak diperhatikan. Padahal hal ini menyangkut keamanan dan confidentiality sebuah organisasi. Cerita tentang teman-teman engineer di salah satu BUMN tersebut menggambarkan betapa Internal Relations belum solid.

Secara teoritis dan praktikal, pertahanan yang paling baik adalah dengan membangun Internal Relations dan Internal Policy yang sistematis. Setelah Internal Relations dan Policy-nya dibentuk, barulah memperkuat pertahanan dari luar. Sehingga bila berbicara tentang Network Security, IT Security, Data Confidentiality atau semacamnya, cobalah pertanyakan lebih dahulu; "Apakah Anda memiliki Organization Policy?" Naaaah, kalo sudah membuat "Policy" baru yang lainnya...

Posted by Arnastya I S at 2:33 PM 0 comments
Labels: , ,
Reactions: 

Tuesday, August 25, 2009

Empat Hal Yang Dibutuhkan Peralatan Keamanan Jaringan


Apabila ada peralatan yang dianggap sebagai peralatan kemanan jaringan, dia harus memiliki persyaratan tertentu. Setidaknya ada empat buah faktor yang harus bisa dilakukan oleh alat ini. Yang pertama, harus memiliki kemampuan melakukan pengiriman frame data maupun paket data. Kedua mempunyai kemampuan sebagai Firewall, yang ketiga alat ini harus mampu menterjemahkan alamat IP. Yang keempat, alat ini dapat membangun sebuah Virtual Private Network (VPN).

Kemampuan yang pertama mengindikasikan bahwa alat ini sama layaknya sebuah switch. Dimana switch memiliki kemampuan mengirimkan frame dari satu collision domain menuju kepada collision domain yang berbeda. Hal ini sering disebut aktifitas switching frame. Aktifitas switching frame didasarkan pada pembacaan alamat di layer 2. Apabila kita bicara tentang LAN, maka alamat yang dipakai adalah MAC-Address. Sama seperti peralatan switch, tabel MAC-Address akan dipakai untuk verifikasi aktifitas switching frame

Alat ini juga harus mampu meneruskan paket dari satu broadcast domain tertentu menuju broadcast domain yang berbeda. Hal ini sama dengan kemampuan sebuah router dengan aktifitas switching packet-nya. Aktifitas ini didasarkan atas pembacaan alamat IP/layer 3. Tabel routing akan dipakai untuk verifikasi aktifitas switching paket tersebut. Beberapa hal yang harus dikelola adalah penggunaan static routing, dynamic routing dan default routing.

Kemampuan yang kedua adalah Firewall. Fungsi yang dilakukannya adalah mencoba untuk menyaring paket yang lalu lalang. Cara penyaringan paket ini dapat berdasarkan IP/Layer3, berdasarkan TCP/UDP, atau dapat dimungkinkan berdasarkan header dari aplikasi yang berjalan di jaringan. Hal ini dipakai untuk menerapkan kebijakan keamanan di jaringan.

Alat keamanan jaringan seperti ini umumnya ditempatkan pada posisi paling terdepan/ujung. Oleh karena itu dia harus punya kemampuan menerjemahkan alamat IP internal yang nantinya dianggap sebagai jaringan yang tidak dapat diroutingkan dari luar. Caranya yaitu dengan mengganti/menterjemahkan alamat IP internal. Hal ini dapat dilakukan dengan cara Network Address Translation (NAT), Port Address Translation (PAT) atau bahkan keduanya tergantung dari konfigurasi yang diinginkan

Terakhir, alat ini harus mampu dipakai untuk membangunVPN menggunakan alamat IP publik sebagai medium antara dua situs yang berbeda. Oleh karena itu, alat ini harus dapat melakukan enkapsulasi dari situs sumber menuju situs tujuannya melewati jaringan publik seperti Internet. Alat ini juga harus mampu melakukan penyandian paket sehingga pada saat melewati jaringan publik seseorang tidak punya kemampuan untuk membuka paket tersebut. Alat ini juga harus memiliki kemampuan untuk melakukan otentikasi alat-alat yang memang dilibatkan pada proses VPN itu sendiri. Jadi yang melakukannya bukan sembarang alat yang ada di jaringan Internet, hanya alat-alat tertentu saja.

Apabila Anda memiliki sebuah peralatan jaringan, apakah alat tersebut dapat diandalkan sebagai peralatan keamanan jaringan atau tidak, sebaiknya selalu melihat empat kemampuan diatas.

Posted by Arnastya I S at 9:29 PM 2 comments
Labels: , , , , ,
Reactions: 

Monday, August 17, 2009

Ujian Sertifikasi Pengajar Cisco

Di pertengahan tahun 2008, saya mendapatkan kesempatan untuk mengikuti ujian sertifikasi khusus untuk pengajar Cisco. Sertifikasi ini disebut CCSI yaitu kepanjangan dari Cisco Certified Systems Instructor. Program sertifikasi ini diadakan untuk validasi pengajar Cisco di seluruh dunia. Pemegang sertifikasi ini berhak mengajar materi Cisco dan diakui secara legal oleh pihak Cisco System.

Syarat mengikuti ujian ini, peserta harus pernah mengikuti training CCNA dan lulus ujian CCNA terlebih dahulu. Setelah itu dapat mendaftarkan diri di CLSP terdekat. Lokasi ujian bisa bervariasi, umumnya bila asal negara di Indonesia, maka negara penyelenggara ujian ini difokuskan di Asia Pasific. Saat itu kebetulan saya mengikuti ujian CCSI di Singapura.

Materi yang diujikan adalah CCNA. Sedangkan jenis ujiannya terdiri dari tiga penilaian. Yaitu penilaian penguasaan kelas, materi CCNA dan penguasaan konfigurasi lab. Ujian CCSI ini memang penuh dengan tantangan. Penilaian presentasi dilakukan dengan dua bahasa. Pertama dengan bahasa masing-masing negara, selanjutnya dalam bahasa Inggris. Sedangkan penilaian konfigurasi lab didasarkan pada hasil konfigurasi yang benar pada setiap langkahnya serta jumlah konfigurasi yang telah diselesaikan peserta. Bagi saya, konfigurasi sebuah lab adalah tantangan yang besar. Karena dari sebelas langkah konfigurasi yang disediakan saya harus menyelesaikannya dalam waktu kurang dari 8 jam. Karena ketatnya penilaian dan waktu, sampai-sampai saya tidak dapat meluangkan waktu untuk makan siang :(

Untuk kelulusan lab harus diatas 80%. Jadi kesalahan yang diperbolehkan adalah 20% saja. Sedangkan penilaian uji presentasi didasarkan pada jawaban yang benar atas pertanyaan penguji dan peserta yang hadir di tempat ujian. Alhamdulillah, satu minggu setelah ujian diadakan saya mendapatkan pengumuman bahwa saya telah lulus CCSI dengan nomor #32068.















Photo: Bersama sang Proctor, Mr. Eric Tolentino
Posted by Arnastya I S at 12:40 AM 0 comments
Labels: ,
Reactions: 

Tuesday, June 2, 2009

Saat ScreenOS Menerima Paket...

Paket akan dikirimkan ke beberapa arahan berikut ini:

1. Paket akan mendapatkan perlakuan pemeriksaan. Sistem akan memastikan apakah memiliki IP headers dan Layer 4 headers yang valid.

2. Sistem akan melihat apakah paket tersebut sudah ada pada sebuah sesi atau masih benar-benar baru? Apabila memang termasuk pada sesi sebelumnya, maka paket secara langsung dapat diteruskan. Hal ini disebabkan informasi tujuan sudah ada & tercatat di dalam tabel forwarding. Peralatan ini memanfaatkan tabel ini untuk memutuskan kemana arah paket akan dikirimkan. Apabila traffic tersebut dianggap baru, maka peralatan tersebut akan membuat tambahan keputusan untuk menjalankan proses penerusan paket tersebut.

3. Sistem akan melihat apakah alamat tujuan paket bisa terjangkau atau tidak. Apabila tidak terjangkau/tidak terdaftar, maka alat ini akan membuang paket ini alias tidak akan diteruskan. Namun sebaliknya apabila alamat tujuan terdaftar, maka paket akan diteruskan dan dilanjutkan pada langkah selanjutnya.

4. Apakah traffic tersebut akan melakukan penyeberangan zona? Peralatan jaringan ini akan melakukan asosiasi antara informasi zona yang menjadi tujuan paket dengan zona yang dimiliki oleh interface yang bakal menerima paket itu sendiri. Apabila zona tersebut sama, maka paket akan diteruskan dan sesi akan dibuat. Apabila zona yang dibandingkan tersebut berbeda, maka alat tersebut harus melakukan penentuan arah yang berikutnya.

5. Paket yang rencananya akan diteruskan tersebut akan disaring berdasarkan policy. Peralatan keamanan jaringan ini akan melihat dan membandingkan informasi traffic pada paket tersebut dengan policy yang pernah ditentukan sebelumnya. Apabila cocok namun pernyataannya adalah larangan, maka paket akan dibuang. Sedangkan bila cocok dan pernyataan dalam sebuah policy adalah permit, maka paket akan diteruskan dan dicatatkan pada tabel sesi.

6. Menjalankan ARP untuk mencari tahu alamat MAC dari perangkat tujuannya.

Langkah-langkah diatas tersebut dengan asumsi bahwa hal ini berlaku secara default pada sebuah peralatan ScreenOS. Meski demikian masih ada beberapa konfigurasi pilihan yg lainnya seperti "intrazone blokcking", intrazone policies", Deep Inspection (DI) atau antivirus scanning.



Posted by Arnastya I S at 9:10 PM 0 comments
Labels: , , , , ,
Reactions: 

Saturday, May 2, 2009

Attack Prevention


Salah satu fasilitas pada sebuah perangkat keamanan jaringan adalah sistem antisipasi serangan atau Attack Prevention System. Sistem ini melakukan pengamanan akan munculnya Denial of Service (DoS), Viruses, Embedded Attack, dan beberapa hal yang bisa dilakukan seperti Malicious URL protection, URL filtering, Web filtering, Spam filtering, antivirus checking dan intrusion detection prevention (IDP).

Posted by Arnastya I S at 1:32 AM 0 comments
Labels: , , , , , , ,
Reactions: 
Subscribe to: Posts (Atom)