Kemaren kita udah bahas materi tentang firewall filter di mikrotik,, udah baca belum?? kalo belum baca dulu nih disini Firewall FIlter di Mikrotik,,,,
Nah kalo di cisco gimana?? kalo di cisco ada yang namanya Access List,, secara umum fungsinya hampir sama dengan firewall filter di mikrotik,, namun fitur fitur yang disediakan masih lengkap firewall di mikrotik,, kenapa demikian?? karena cisco router hanya ditujukan untuk keperluan routing saja, berbeda dengan router mikrotik yang memiliki fitur yang sangat banyak,, jika kita ingin menerapkan security di cisco, kita harus membeli device cisco yang dihususkan untuk keperluan security, yaitu Cisco ASA...
Oke,, cukup itu saja perkenalannya... untuk lebih mempermudah dalam memahami konsep access list,, kita akan langsung menggunakan contoh kasus, seperti yang kita lakukan pada pembahasan firewall filter di mikrotik...
O ya,, sebelum mengarah ke contoh kasus, kita kenalan dulu dengan jenis jenis access list,, di cisco ada yang namanya standard access list dan extended access list.. apa bedanya dari kedua access list itu??
Intinya standard access list hanya dapat kita gunakan untuk membuat kebijakan terhadap paket berdasarkan source ip saja.. sedangkan extended access list dapat kita gunakan untuk membuat kebijakan berdasar source ip, destination ip, protocol, dll.. Pada pembahasan ini kita hanya akan fokus pada standard access list saja....
Skenario 1
 |
| Gambar 1 Skenario standard acl 1 |
Tujuan kita pada skenario ini adalah, PC 1 dan PC 2 tidak bisa mengakses ke server,, namun pada skenario ini kita masih belum menitik beratkan pada efisiensi, namun kita akan menekankan pada pemahaman konsep access list... (Teman teman bisa download lab nya disini)
Sebelum melakukan konfigurasi standard access list,, kita harus konfigurasi ip address di router, client, dan server.. jangan lupa konfigurasi gateway di client dan juga server!!
 |
| Gambar 2 Konfigurasi ip address di router |
 |
| Gambar 3 Konfig ip address di PC 1 |
 |
| Gambar 4 Konfig ip address di server |
Sebelum lanjut ke konfig standard access list,, kita pastikan PC 1 dan PC 2 bisa ping ke server...
 |
| Gambar 5 Ping dari PC 1 ke server |
 |
| Gambar 6 Konfig standdard acl di router |
Kita membuat dua rule pada access list 1.. rule pertama adalah untuk menolak ip 192.168.1.2,, dan rule kedua adalah untuk mengizinkan semua paket dari manapun,, tentunya selain 192.168.1.2... Kenapa kita perlu menambahkan rule untuk mengizinkan semua?? karena default policy pada access list adalah drop, jadi jika kita tidak menambahkan rule untuk mengizinkan semua,, maka semua paket akan ditolak oleh router..
Selanjutnya kita masuk ke interface fa0/1 (interface yang mengarah ke server) kemudian kita menanamkan access list nomor 1 dengan direction out.. apa artinya ini?? artinya nanti saat ada paket yang keluar dari interface fa0/1,, maka paket tersebut akan diperiksa oleh access list nomor 1..
 |
| Gambar 7 Pengujian ping dari PC 1 |
Masih menggunakan skenario 1, kita akan membuat sebuah access list baru dengan nomor 2 untuk PC 2..
 |
| Gambar 8 Konfigurasi standard access list di router |
Jika sebelumnya kita menanamkan access list 1 pada interface fa0/1 dengan direction out, sekarang kita menanamkan access list 2 pada interface fa0/0 dengan direction in... apa sih bedanya??
Sebenarnya perbedaannya sederhana,,, jika kita menanamkan access list 2 pada interface fa0/0 dengan direction in, artinya setiap paket yang masuk melalui fa0/0 akan diperiksa oleh access list 2...
Oke,, langsung aja kita lihat perbedaan pada hasil pengujiannya aja...
 |
| Gambar 9 Pengujian ping dari PC 2 |
Skenario 2
 |
| Gambar 10 Skenario 2 |
Pada skenario ini, tujuan kita adalah hanya mengizinkan PC 1 saja yang bisa melakukan komunikasi dengan server,, sedangkan PC2-PC5 hanya akan bisa melakukan komunikasi dengan router saja...
Oke langsung aja kita konfig access list nya,,,
Oke langsung aja kita konfig access list nya,,,
 |
| Gambar 11 Konfig access list skenario 2 |
Perhatikan gambar diatas, terlihat bahwa sebelum membuat access list untuk skenario ini, terlebih dahulu kita menghapus access list yang telah kita buat sebelumnya.. hal ini karena access list yang kita buat sebelumnya akan mengganggu skenario kedua ini...
Perhatikan kita membuat standard access list dengan nomor 3,, pada access list tersebut, kita membuat sebuah rule untuk mengizinkan PC 1..,, perhatikan bahwa kita tidak perlu membuat rule untuk menolak PC2-PC5,, hal ini dikarenakan default policy dari access list adalah deny...
Selanjutnya kita menanamkan access list 3 pada interface fa0/1 router dengan direction out.. Perhatikan pengujian ping yang dilakukan dari beberapa client berikut
Selanjutnya kita menanamkan access list 3 pada interface fa0/1 router dengan direction out.. Perhatikan pengujian ping yang dilakukan dari beberapa client berikut
 |
| Gambar 12 Ping dari PC 1 |
 |
| Gambar 13 Ping dari PC 2 |
Perhatikan bahwa PC 1 bisa melakukan ping ke router dan server.. namun PC 2 hanya bisa ping ke router saja... ini artinya kita sudah selesai dan berhasil membuat access list untuk skenario 2
Skenario 3
|
| Gambar 14 Skenario 3 |
Kita akan menggunakan topologi yang sama dengan skenario 2,, hanya saja pada skenario ini tujuan kita adalah menolak akses dari PC 1 ke server,, dan mengizinkan akses dari PC2-PC5 ke server...
Oke langsung aja kita konfig access list untu skenario 3 ini..
Perhatikan gambar diatas, pertama tama kita menghapus access list 3, kemudian membuat access list baru dengan nomor 4.. kita menambahkan 2 rule pada access list nomor 4 ini.. rule pertama adalah untuk menolak 192.168.1.2,, dan rule kedua adalah untuk mengizinkan network 192.168.1.0 dengan wildcard mask 0.0.0.255....
Apa itu wildcard mask?? sebenarny angka ini menggambarkan netmask dari suatu network.. angka wildcardmask didapat dari 255.255.255.255 dikurangi subnetmask... Pada skenario 3, kita menginginkan agar PC2-PC5 bisa ping ke server,, tentu lebih mudah jika kita langsung saja membuat rule untuk ip network 192.168.1.0/24...
Nah ip network 192.168.1.0/24 subnetmasknya adalah 255.255.255.0.. sehingga wildcard mask nya adalah 255.255.255.255 - 255.255.255.0 = 0.0.0.255...
Oke langsung aja kita konfig access list untu skenario 3 ini..
 |
| Gambar 15 Konfig access list skenario 3 |
Apa itu wildcard mask?? sebenarny angka ini menggambarkan netmask dari suatu network.. angka wildcardmask didapat dari 255.255.255.255 dikurangi subnetmask... Pada skenario 3, kita menginginkan agar PC2-PC5 bisa ping ke server,, tentu lebih mudah jika kita langsung saja membuat rule untuk ip network 192.168.1.0/24...
Nah ip network 192.168.1.0/24 subnetmasknya adalah 255.255.255.0.. sehingga wildcard mask nya adalah 255.255.255.255 - 255.255.255.0 = 0.0.0.255...
Oke,, sekarang kita lakukan pengujian dari beberapa client,, pastikan semua PC bisa ping ke server kecuali PC1
 |
| Gambar 16 Ping dari PC 1 |
 |
| Gambar 17 Ping dari PC 2 |
Perhatikan bahwa PC 1 tidak bisa ping ke server,, namun PC 2 bisa ping ke server....
Oke,, Kita sudah selesai belajar tentang standard access list di cisco,, namun saran saya teman teman harus terus belajar dan berlatih dengan access list ini,,, karena di dunia kerja,, penerapan access list tidak akan sesederhana contoh skenario diatas....
Oke,, Kita sudah selesai belajar tentang standard access list di cisco,, namun saran saya teman teman harus terus belajar dan berlatih dengan access list ini,,, karena di dunia kerja,, penerapan access list tidak akan sesederhana contoh skenario diatas....
Tidak ada komentar:
Posting Komentar
Komentar