Mengamankan jaringan dengan Access Control List

Keamanan merupakan hal yang paling penting dalam sebuah Jaringan Komputer, dengan keamanan sebuah Jaringan Komputer akan sulit dibobol dan dicuri informasinya oleh orang-orang yang tidak bertanggung jawab seperti Hackers, Spy, Crackers, Peretas, dll. salah satu cara untuk mengamankan sebuah jaringan adalah dengan menggunakan Access Control List. ACL (Access Control List) merupakan sebuah daftar alamat IP Host/Network yang akan diterima (permit) atau ditolak (deny) saat melewati Interface(Network Adapter) sebuah Router.

dengan Access List, Router akan mengizinkan sebuah paket dari host/network tertentu untuk dapat keluar atau masuk melalui sebuah Interface pada Router , atau memblokir sebuah paket dari host/network ketika paket tersebut masuk atau keluar dari suatu Interface pada Router. misalnya paket yang berasal dari 192.168.1.3 tidak diizinkan masuk ke Interface Ethernet 0/0.

ACL terdapat dua macam yaitu :

Standard Access List
Extended Access List

Pertama saya akan membahas Standard Access List pada posting ini, Extended :

Standard Access List

Access List jenis ini hanya bisa menyaring sebuah paket berdasarkan alamat IP sumber pengirim pada sebuah paket (Src IP Address). Standard Access List menggunakan nomor 1-99 sebagai nomor identifikasi. untuk menerapkan Standard Access List pada Router Cisco berikut ini adalah sintaks perintahnya :

Buat sebuah access-list beserta nomornya dan tentukan paket yang berasal dari sumber tertentu yang diizinkan lewat atau yang akan diblokir/ditolak untuk lewat. ada beberapa macam yaitu :

Untuk alamat IP Network (lebih dari 1 komputer) :

Router(config)#access-list [nomor access-list] {permit|deny} [alamat IP Network] [Wildcard mask]

Hanya satu komputer :

Router(config)#access-list [nomor access-list] {permit|deny} host [alamat IP Komputer].

Untuk memblokir/menerima semua sumber :

Router(config)#access-list [nomor access-list] {permit|deny} any

Permit

Deny

"Destination Host Unreachable"

Terapkan access-list yang telah dibuat tadi pada sebuah Interface dan tentukan arahnya, apakah list tersebut berlaku untuk setiap paket yang masuk pada Interface tersebut in, atau pada setiap paket yang keluar melalui Interface tersebut Out.

Router(config)#interface [type] [slot/number]
Router(config-if)#ip access-group [nomor access-list] {in|out}

Mengatur alamat IP

Atur terlebih dahulu alamat IP pada setiap Interface pada kedua Router.

R1

Tentukan hostname.

Router>ena
Router#conf t
Router(config)#hostname R1

Atur alamat IP 10.10.10.1/30 pada interface yang mengarah pada Router "R2" :

R1(config)#int g0/0
R1(config-if)#ip add 10.10.10.1 255.255.255.252
R1(config-if)#no sh
R1(config-if)#exit

Atur alamat IP 192.168.45.1/24 pada interface yang mengarah pada Switch "Hackers":

R1(config)#int g0/1
R1(config-if)#ip add 192.168.45.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit

Lalu alamat IP 172.16.32.1/24 pada interface yang mengarah pada Switch "Spy"

R1(config)#int g0/2
R1(config-if)#ip add 172.16.32.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit

Arahkan default route untuk network lainnya pada alamat IP 10.10.10.2.

R1(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.2

Setelah alamat IP Router selesai sekarang kita lanjut pada alamat IP masing-masing PC :

R2

Tentukan hostname.

Router>ena
Router#conf t
Router(config)#hostname R2

Atur alamat IP 10.10.10.2/30 pada interface yang mengarah pada Router "R1"

R2(config)#int g0/0
R2(config-if)#ip add 10.10.10.2 255.255.255.252
R2(config-if)#no sh
R2(config-if)#exit

Atur alamat IP 20.20.20.1/24 pada interface yang mengarah pada Switch "Target1".

R2(config)#int g0/1
R2(config-if)#ip add 20.20.20.1 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit

Atur alamat IP 30.30.30.1/24 pada interface yang mengarah pada Switch "Target2"

R2(config)#int g0/2
R2(config-if)#ip add 30.30.30.1 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit

Arahkan default route untuk network lainnya pada alamat IP 10.10.10.1.

R2(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1

Setelah itu berikan alamat IP Pada masing-masing server :

Setelah itu coba cek konektifitas dari PC menuju server, pastikan keduanya dapat saling berkomunikasi.

Konfigurasi Access List

Pada topologi ini saya akan membatasi hanya beberapa network dan host tertentu yang diizinkan mengirim paket data ke Network yang berada pada Switch Taget1 dan Target2. Berikut ini daftar-daftar alamat IP host yang paketnya diizinkan dan dilarang masuk/keluar dari sebuah Interface :

Paket yang berasal dari Network 192.168.45.0/24 akan diblokir ketika masuk melalui Interface g0/0 Router R2.
Paket yang berasal dari host 172.16.32.20 dizinkan keluar melalui Interface g0/2 Router R2, tetapi akan diblokir ketika keluar melalui Interface g0/1
Paket yang berasal dari host 172.16.32.30 diiznkan keluar melalui Interface g0/1 Router R2, tetapi akan diblokir ketika keluar melalui Interface g0/2

Kita buat beberapa access list pada Router R2. Buat access-list 2 yang mengizinkan semua paket yang berasal dari sumber manapun (permit any), lalu tambahkan satu lagi untuk memblokir paket yang berasal dari network 192.168.45.0/24 :

R2(config)#access-list 2 permit any
R2(config)#access-list 2 deny 192.168.45.0 0.0.0.255

lalu terapkan access-list pada Interface yang terhubung dengan R1 tersebut agar Seluruh paket yang berasal dari sumber alamat IP manapun dapat masuk, dan agar paket yang berasal dari Network 192.168.45.0/24 "Hackers" tidak dapat masuk dan mengakses Network Target1 dan Target2.

R2(config)#int g0/0
R2(config-if)#ip access-group 2 in
R2(config-if)#exit

Buat access-list 3 yang mengizinkan paket dari host 172.16.32.20 , dan melarang paket dari host 172.16.32.30 :

R2(config)#access-list 3 permit host 172.16.32.20
R2(config)#access-list 3 deny host 172.16.32.30

Lalu terapkan pada Interface yang mengarah pada Switch "Target2" dengan arah keluar "out" agar paket yang berasal dari 172.16.32.20 diizinkan keluar dari Interface ini dan dapat mengakses Network yang berada di Switch Taget2, dan memblokir paket yang berasal dari 172.16.32.30 sehingga tidak dapat mengakses Network yang berada di Switch Target2.

R2(config)#int g0/2
R2(config-if)#ip access-group 3 out
R2(config-if)#exit

Buat access-list 4 yang mengizinkan paket dari host 172.16.32.30 dan melarang paket dari host 172.16.32.20

R2(config)#access-list 4 permit host 172.16.32.30
R2(config)#access-list 4 deny host 172.16.32.20

Lalu terapkan pada Interface yang mengarah pada Switch "Target1" dengan arah keluar (out). agar paket yang berasal dari host 172.16.32.30 diizinkan keluar dan dapat sampai ke Target 1, dan memblokir paket yang berasal dari host 172.16.32.20.

R2(config)#int g0/1
R2(config-if)#ip access-group 4 out
R2(config-if)#exit

Testing

Setelah selesai maka sekarang kita coba apakah paket yang lewat sudah difilter. Pertama coba Ping dari salah satu PC yang ada pada network 192.168.45.0/24 (Hacker), menuju ke 20.20.20.2 (Target1) dan 30.30.30.2 (Target2)

Terlihat ketika PC0 yang berada di network 192.168.45.0/24 ketika ingin menembus masuk 20.20.20.2 dan 30.30.30.2 melalui Interface g0/0 Router R2, paket tersebut diblokir dan paket tersebut dibalas oleh R2 dengan paket ICMP "Destination Host Unreachable". Jika ini sudah terjadi artinya Access-list no 2 "deny 192.168.45.0 0.0.0.255" sudah berfungsi.

Kedua, coba lakukan Ping dari PC2 ke 20.20.20.2 dan 30.30.30.2.

Jika 30.30.30.2 reply, dan 20.20.20.2 "Destination host unreachable" maka konfigurasi dinyatakan berhasil.

Dengan menggunakan Access List administrator jaringan dapat membatasi hak akses suatu Network/Komputer untuk mengakses Network/Komputer lainnya.
Sekian terima kasih, mohon maaf jika kurang jelas

Referensi : 9tut.com

NetBlog

Cari Blog Ini