Sunday, 9 October 2016

Extended Access-list

Pada kali ini saya akan menjelaskan mengenai Extended Access List, ya seharusnya ngepos mengenai Standard Access List terlebih dahulu, tapi gapapa lah:v

Sesuai dengan namanya Access list yaitu hak akses. Hak akses disini yaitu dapat mengizinkan ataupun membuang sebuah packet yang lewat. Dalam artian, Access list merupakan filter yang digunakan untuk memfilter packet yang akan masuk kedalam sebuah jaringan. Sebuah router yang menggunakan access list, dapat mengatur dan mengontrol packet apa saja yang dapat melewati router tersebut.  Karena pada kali ini kita menggunakan Extended access list, maka akan ada konfigurasi dimana diizinkannya sebuah protokol yang akan lewat atau tidak diizinkan. Oleh karena itu, Extended access list dapat dikatakan lebih spesifik dibanding Standart access list. Mengapa? dikarenakan pada type standart, ACL ini hanya menggunakan IP address sebagai tolak ukur diizinkannya atau dibuangnya sebuah packet. Berbeda dengan type extended, ACL ini lebih spesifik dalam penggunaannya, seperti port apa saja yang diizinkan untuk masuk, dan sebagainya. 


ACL mempunyai 2 rule, yaitu permit atau deny. Rule permit digunakan apabila kita ingin mengizinkan sebuah packet memasuki sebuah jaringan dan packet tersebut akan langsung di forward ke tujuan. Sedangkan rule deny, digunakan apabila kita ingin menolak sebuah packet yang memasuki kedalam sebuah jaringan dan packet tersebut akan langsung di drop atau dibuang.
ACL menggunakan interface untuk mengatur incoming packet dan outgoing packet. Walaupun kita mengkonfigurasi ACL pada global configuration, akan tetapi kita tetap harus menentukan incoming atau outgoing packet pada sebuah interface karena filter traffic hanya berlaku di interface. 

Oke langsung saja ke TKP.. 

Topologi

Pada topologi di atas, terdapat 3 network yaitu Network antar router, Network B, dan Network A. Namun kita akan mengatur access list untuk Network B dan Network A, jadi anggep aja router 3 ngga ada:v.

Oke sebelum kita masuk ke tahap konfigurasi, kita harus mempunyai rule atau aturan apa saja yang nantinya akan di permit atau di deny oleh router. Pada kali ini, saya akan menggunakan rule seperti berikut.

1. PC C diizinkan untuk mengakses port 80 (www) pada finance web server
2. Semua PC tidak diperbolehkan untuk mengakses port 80 Finance web server
3. Semua traffic diperbolehkan

Jika kita sudah menentukan rule, maka mudah bagi kita untuk melakukan konfigurasi dikarenakan semua rule sudah tersusun dan kita tinggal melakukan konfigurasi berdasarkan urutan rule yang sudah dibuat. Pembacaan rule pada ACL dibaca dari awal sampai akhir, sama seperti mikrotik. Jadi apabila kita menambahkan rule semua traffic diperbolehkan terlebih dahulu, maka bukannya ACL tidak bekerja, tetapi ACL hanya mengikuti rule yang disusun terlebih dahulu. 

Konfigurasi

Router 2
Pada konfigurasi, kita tinggal mengikuti rule yang sudah kita buat sebelumnya. Pertamakali izinkan PC C untuk mengakses port 80 Finance web. 

1. Access-list 100 permit tcp host 192.168.3.3 host 172.22.242.3 eq www
Dalam penulisan tersebut karena kita menggunakan Extended ACL, maka yang harus dituliskan terlebih dahulu yaitu Access-list 100. 100 merupakan definisi untuk menggunakan Extended ACL. Apabila kita menggunakan Standart ACL, maka number yang tersedia adalah 1-99 dan jika menggunakan Extended, maka number yang tersedia adalah 100-199. 

Lalu ada permit tcp yaitu perintah agar kita mengizinkan protocol tcp yang akan lewat pada router tersebut. Packet tcp akan di forward ke tujuan. 

Lalu ada host 192.168.3.3 host 172.22.242.3. host pertama pada access list merupakan source packet/ darimana packet itu berasal. Karena kita akan mengizinkan PC C, maka kita tuliskan host 192.168.3.3. Setelah itu ada host lagi yaitu untuk mendefinisikan tujuan. Dikarenakan Finance web server mempunyai ip address 172.22.242.3, maka kita menuliskan host 172.22.242.3 untuk menforward packet ke 172.22.242.3.

Lalu ada eq www. Eq www dituliskan untuk mendefinisikan port apa yang akan diberi hak akses. Selain dapat menuliskan  port number, anda juga dapat menuliskan layanannya. Sebagai contoh port 80 meupakan port untuk layanan web, jadi kita dapat menuliskan www sebagai pengganti port number. 

2. Access-list 100 deny tcp any host 172.22.242.33 eq www
Pada konfigurasi kedua, kita masih berada pada access list yang sama. Karena perlu diketahui, bahwa 1 interface hanya dapat menggunakan 1 access-list dan tidak mungkin kita membuat access list kembali untuk 1 interface.Lalu ada deny tcp yaitu perintah untuk men-deny atau menolak packet yang menggunakan protocol tcp. 

Lalu ada any host 172.22.242.33 eq www yaitu any untuk mendefinisikan semua source. Jadi walaupun ada banyak network yang terhubung, apabila sudah didefinisikan any untuk semua source, maka semua network akan terkena filter tersebut. Dan karena kita hanya mengizinkan PC C yang diperbolehkan mengakses port 80, maka kita deny semua traffic untuk port 80 yang berasal dari sumber mana saja. 

3. Access-list 100 permit ip any any
Pada konfigurasi ketiga, kita perbolehkan semua traffic yang ada pada topologi tersebut. 

Oke jika pembuatan access-list sudah dibuat, maka langkah selanjutnya adalah enable access-list dengan mendaftarkannya ke sebuah interface yang akan dijadikan jalur.

Dikarenakan jalur menuju Network A pada Network B yaitu melewati fa0/0 pada router 1, maka kita konfigurasi fa0/0 untuk menggunakan access-list 100. Perintah in digunakan untuk mendefinisikan bahwa fa0/0 akan menjadi gate in bagi network B.


Verifikasi 
Oke konfigurasi sudah selesai, sekarang mari kita lakukan verifikasi apakah sudah berhasil penerapannya atau belum berhasil. 

PC A

 PC B

 PC C

PC D

Pada verifikasi yang telah dilakukan, terlihat bahwa hanya PC C yang dapat mengakses port 80 finance web. 

show access-list 

 Pada perintah show access-list, akan terlihat Access-list apa yang kita gunakan. Lalu ada rule yang sudah kita buat sebelumnya. Terlihat ada tulisan ( .... match (es)) hal ini digunakan untuk memantau packet yang melewati router tersebut. Pada rule deny, telah ada 24 yang berusaha untuk mengirimkan packet ke router, namun ditolak karena tidak diperbolehkan. Lalu pada rule permit, telah ada 5 percobaan mengirimkan packet ke router, dan telah di forward. Kemudian pada rule permit any, telah ada 1 percobaan yang berusaha mengirimkan packet selain port 80.

Oke sampai sini saja, tunggu postingan selanjutnya yaaa.. Terimakasihh
Mohon maaf apa bila ada kekurangan, Wassalamualaikum.

Share this