ASA Introduction
Untuk mengkonfigurasi ASA versi 8.4 keatas, ada beberapa point yang harus dikonfigurasi agar ASA bisa berfungsi sebagaimana mestinya. Sebelumnya di bagian ini akan dijelaskan sedikit tentang pengenalan ASA.
Security Appliance Access Modes
- Monitor Mode
Tampilannya monitor> Untuk mengupdate image atau password recovery. Mengakses mode ini dengan Break atau Esc tepat setelah power up. - Unprivileged Mode
Menampilkan >, yang akan tampil saat pertama kali mengakses perangkat ASA. - Privileged Mode
Menampilkan prompt #, memungkinkan untuk mengakses konfigurasi saat ini namun tidak bisa mengubahnya. Untuk mengubah konfigurasi - Configuration Mode
Menampilkan prompt (conf)t. Memungkinkan untuk mengubah konfigurasi system. Gunakan exit untuk keluar dari mode ini. Dari mode ini kita bisa menampilkan perintah show tanpa harus mengetikkan perintah do terlebih dulu.
File Management
Ada 2 konfigurasi yang terdapat di ASA:
- Running-configuration (disimpan di RAM)
Untuk melihat running config: show running-config
- Startup-configuration (disimpan di Flash)
Untuk melihat startup config: show startup-config
Untuk menyimpan running config menjadi startup config, perintahnya
- Copy run start
- Write mem
ASA Image Software Management
ASA image adalah OS dari perangkat ASA.
Untuk mengcopy image ke ASA, berikut langkahnya:
- Setup TFTP Server
- Copy image file dari TFTP ke Flashnya ASA
1asa_pnotes# copy tftp flash - Buat image baru sebagai boot system file
123asa_pnotes#config termasa_pnotes(config)# boot system flash:/asa911-k8.binasa_pnotes(config)# write memory
Setelah restart, image yang baru akan dipakai di perangkat
Password Recovery Procedure
Jika password lock out dan lupa passwordnya, ikuti prosedur berikut:
- Hubungkan ASA dengan kabel konsol dan hard restart perangkat
- Tekan terus menerus tombol ESC di keyboard sampai ASA masuk ke ROMMON mode. Jika berhasil yang muncul sebagai berikut:
1rommon #1> - Ubah “configuration register” yaitu register khusus yang mengatur bagaimana perangkat boot up
1rommon #1>confreg
Muncul pertanyaan untuk mengubah nilai config register, jawab no
1234Current Configuration Register: 0x00000011Configuration Summary:boot TFTP image, boot default image from Flash on netboot failureDo you wish to change this configuration? y/n [n]: n - Ubah confreg ke 0x41 artinya ASA akan mengabaikan startup config saat booting. Lalu reboot ASA
12rommon #2>confreg 0x41rommon #3>boot - ASA sekarang mengabaikan startup config dan tidak menanyakan password saat boot
123asa_pnotes>enablePassword:asa_pnotes# - Copy startup configuration ke running configuration.
12asa_pnotes# copy startup-config running-configDestination filename [running-config]? - Buat password baru (enable password) dan reset configuration register ke nilai defaultnya (0x01)
1234asa_pnotes#conf termasa_pnotes(config)#enable password strongpassasa_pnotes(config)# config-register 0x01asa_pnotes(config)# wr mem - Reload ASA. Seharusnya sudah bisa login ke ASA dengan password baru.
1asa_pnotes(config)# reload
Security Level
Security level bernilai 0-100, dimana semakin besar nilainya berarti semakin aman (trusted) zona tersebut. Contoh implementasi security level di ASA:
- Security Level 0: security level terendah, dan biasanya dipakai di outside interface dari ASA.
- Security Level 1-99 : biasanya dipakai di perimeter zone, misalnya DMZ, management zone, database server zone, dll)
- Security Level 100: level tertinggi dan secara default, interface inside memiliki level security ini.
Aturan untuk Aliran Trafik antara Security Level
- Trafik dari security level lebih tinggi ke security level lebih rendah
Semua trafik diperbolehkan lewat kecuali ada ACL yang membloknya. - Trafik dari security level lebih rendah ke security level lebih tinggi
Drop semua trafik kecuali diperbolehkan oleh ACL. - Trafik antar interface dengan security level yang sama
Secara default tidak diperbolehkan, kecuali mengkonfigurasi perintah same-security-traffic permit inter-interface (diperkenalkan di ASA versi 7.2 keatas)