Mengamankan jaringan dengan Extended Access List

Setelah Standard Access List sekarang saya akan membahas Extended Access List, Extended Access List tidak jauh berbeda dengan Standard Access List yaitu sebuah list/daftar hak akses suatu paket yang berasal dari suatu alamat IP Host/Network yang diizinkan (permit), atau ditolak (deny) untuk diteruskan sampai pada tujuannya . bedanya Extended Access List dapat memfilter sebuah paket tidak hanya berdasarkan alamat IP Host/Network sumber (Src Address) paket tersebut, tetapi juga melihat alamat IP Host/Network tujuan paket tersebut bahkan hingga protokol paket tersebut, sehingga jika menggunakan Extended Access List paket-paket yang akan difilter lebih spesifik dan detail. Extended Access List menggunakan nomor identifikasi 100 - 199. Berikut ini sintaks untuk melakukan konfigurasi Extended Access List pada Router Cisco :

Buat sebuah Access-List dan tentukan beberapa informasi paket yang akan diizinkan atau diblokir seperti alamat IP sumber dan tujuan, dan protokol yang digunakan paket tersebut : 
Router(config)#access-list [no access-list] {permit|deny} [protokol] host [alamat IP host sumber]  host [alamat IP Host tujuan] eq [nomor port/jenis layanan]
  1. Permit untuk mengizinkan paket tersebut, sedangkan Deny untuk memblokir paket tersebut.
  2. Protokol merupakan jenis protokol paket, yang paling sering adalah TCP, UDP, ICMP, IP
  3. Jenis Layanan merupakan jenis layanan yang dimita paket tersebut, dapat berupa Web Server www, FTP Server ftp, atau anda dapat memasukan nomor port sendiri sesuai jenis layanan.
    4. *Ini hanya sebagian kecil sintaks yang saya perlihatkan, untuk extended sebenarnya sintaksnya sangat banyak dan saya tidak memperlihatkan semuanya
Lalu terapkan access-list tersebut pada sebuah Interface beserta arah paketnya (in/out). 
Router(config)#interface [type] [slot/number]
Router(config-if)#ip access-group [no access-list] {in|out}
  • In artinya daftar access-list tersebut diberlakukan pada setiap paket yang masuk pada Interface tersebut.
  • Out artinya daftar access-list tersebut diberlakukan pada setiap paket yang keluar pada Interface tersebut.
Saya berikan contoh topologi dan konfigurasi Extended Access List menggunakan aplikasi simulator Jaringan Cisco Packet Tracer :
Topologi

Berikut ini adalah tujuan dari topologi diatas :



  • saya ingin membatasi hak akses Host 192.168.1.10 agar tidak dapat mengakses layanan Web Server pada Server 36.36.36.2
  • saya ingin membatasi hak akses Host 192.168.1.20 agar tidak dapat mengakses layanan FTP pada Server 36.36.36.3
  • Antar Host/PC dan Server masih dapat saling berkomunikasi dengan ICMP

    • Mengatur alamat IP

    Pertama kita masukan alamat IP pada tiap Interface Router dan masing-masing PC/Host dan Server.

    • Router Tengah (ExACL)

      • Atur hostname : 
      Router>en
Router#conf t
Router(config)#hostname ExACL
      Berikan alamat IP 192.168.1.1/24 pada Interface yang terhubung pada SW1 
      ExACL(config)#int g0/1
ExACL(config-if)#ip add 192.168.1.1 255.255.255.0
ExACL(config-if)#no sh
ExACL(config-if)#exit
      Berikan alamat IP 36.36.36.1/24 pada Interface yang terhubung pada SW2 
      ExACL(config)#int g0/0
ExACL(config-if)#ip add 36.36.36.1 255.255.255.0
ExACL(config-if)#no sh
ExACL(config-if)#exit
      Setelah Router selesai sekarang kita lanjut pada PC dan Server.

    • PC
      Alamat IP setiap PC

    • Server
      Alamat IP setiap Server

    Setelah semua perangkat sudah memiliki alamat IP coba lakukan tes konektifitas menggunakan PING dari PC menuju Server, dan coba akses Web Server dan FTP Server dari masing-masing PC : 
    
PC0 > Web Server
    
Packet Tracer PC Command Line 1.0
PC>ping 36.36.36.2

Pinging 36.36.36.2 with 32 bytes of data:

Request timed out.
Reply from 36.36.36.2: bytes=32 time=0ms TTL=127
Reply from 36.36.36.2: bytes=32 time=0ms TTL=127
Reply from 36.36.36.2: bytes=32 time=0ms TTL=127

Ping statistics for 36.36.36.2:
    Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

PC>

    Lalu akses http://36.36.36.2 dari Web Browser PC0 : 


    
PC1 > FTP Server
    
Packet Tracer PC Command Line 1.0
PC>ping 36.36.36.3

Pinging 36.36.36.3 with 32 bytes of data:

Request timed out.
Reply from 36.36.36.3: bytes=32 time=12ms TTL=127
Reply from 36.36.36.3: bytes=32 time=0ms TTL=127
Reply from 36.36.36.3: bytes=32 time=1ms TTL=127

Ping statistics for 36.36.36.3:
    Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 12ms, Average = 4ms

PC>

    Coba akses FTP 36.36.36.3 lewat command prompt PC1 :


    Pastikan semuanya berhasil, jika berhasil maka konfigurasi alamat IP selesai. Setelah konfigurasi alamat IP selesai, selanjutnya konfigurasi Extended Access List :

    Konfigurasi Extended Access List

    Saya membuat nomor access-list 100 lalu buat daftar hak akses PC0 (192.168.1.10) untuk tidak dapat mengakses layanan Web Server pada Server 36.36.36.2 
    ExACL(config)#acc 100 deny tcp host 192.168.1.10 host 36.36.36.2 eq www
    Lalu untuk PC1 (192.168.1.20) saya batasi agar tidak dapat mengakses layanan FTP pada Server 36.36.36.3 
    ExACL(config)#acc 100 deny tcp host 192.168.1.20 host 36.36.36.3 eq ftp
    Agar antar PC dan Server masih dapat saling melakukan PING, maka paket berbentuk IP masih dibolehkan dari sumber mana saja dan tujuan mana saja : 
    ExACL(config)#acc 100 permit ip any any
    Lalu masuk pada Konfigurasi Interface yang terhubung pada Server, pada topologi ini adalah Interface g0/0, dan terapkan access-list tadi untuk setiap paket yang keluar melalui Interface tersebut : 
    ExACL(config)#int g0/0
ExACL(config-if)#ip access-group 100 out
ExACL(config-if)#exit
    Setelah itu coba lakukan PING dari masing-masing PC menuju Server : 
    
PC0 > Web Server
    
PC>ping 36.36.36.2

Pinging 36.36.36.2 with 32 bytes of data:

Reply from 36.36.36.2: bytes=32 time=0ms TTL=127
Reply from 36.36.36.2: bytes=32 time=0ms TTL=127
Reply from 36.36.36.2: bytes=32 time=14ms TTL=127
Reply from 36.36.36.2: bytes=32 time=0ms TTL=127

Ping statistics for 36.36.36.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 14ms, Average = 3ms

PC>
    Lalu coba akses http://36.36.36.2 lewat Web Server PC0 :



    Jika ada tulisan Request Time Out, artinya paket TCP yang dikirim PC0 tidak sampai pada tujuan/tidak dibalas oleh tujuan. ini tandanya konfigurasi yang pertama berhasil. 
    
PC1 > FTP Server
    
PC>ping 36.36.36.3

Pinging 36.36.36.3 with 32 bytes of data:

Reply from 36.36.36.3: bytes=32 time=0ms TTL=127
Reply from 36.36.36.3: bytes=32 time=0ms TTL=127
Reply from 36.36.36.3: bytes=32 time=0ms TTL=127
Reply from 36.36.36.3: bytes=32 time=1ms TTL=127

Ping statistics for 36.36.36.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 1ms, Average = 0ms

PC>
    Lalu coba akses layanan FTP 36.36.36.3 dari command prompt PC1 :



    Jika gagal (request timed out) artinya paket TCP yang dikirim PC1 tidak sampai pada tujuan. ini tandanya konfigurasi yang kedua berhasil.

    pada topologi ini walaupun antar PC dan Server dapat saling melakukan PING atau mengirim paket ICMP, akan tetapi ketika mengakses Web Server dan FTP tidak dapat terhubung karena ketika itu PC akan mengirim paket TCP dan ketika paket TCP tersebut sampai di Router paket tersebut diblokir. coba lihat informasi Access-List pada Router dengan mengetikan sh access-list :

    ExACL#sh access-lists 
Extended IP access list 100
    10 deny tcp host 192.168.1.10 host 36.36.36.2 eq www (12 match(es))
    20 deny tcp host 192.168.1.20 host 36.36.36.3 eq ftp (12 match(es))
    30 permit ip any any (12 match(es))
    Tulisan [angka] match(es) merupakan jumlah paket yang terkena filter oleh list tersebut.

    Sekian Terima Kasih, mohon maaf jika kata-katanya tidak jelas

    Komentar

    Posting Komentar