Dalam sebuah perangkat tentu tidak lepas dari arsitektur yang membentuk rangkaian secara fisik sehingga menghasilkan sebuah perangkat yang utuh yang dapat anda gunakan. Tidak terkecuali dengan firewal juga memiliki arsitektur dan jenis jenisnya yang dapat anda gunakan sesuai dengan kebutuhannya.
- Jenis jenis Arsitektur Firewall.
Arsitektur adalah rangkaian secara fisik yang digambarkan dalam bentuk desain yang mewakili kerja dan fungsi dari sebuah benda.
- Arsitektur Firewall dengan Dial UP
- Arsitektur Firewall Singke Router
- Arsitektur Firewall dengan Proxy Server
- Arsitektur Firewall Kompleks
- Jenis-jenis Firewall
- Packet Filter Firewall
- Circuit level gateway
- Application level gateway
- Network Address Translation (NAT) firewall
- Virtual firewall
- Statefull Firewall
PRAKTEK
Contoh Penggunaan Firewall Jenis Packet Filter Firewall menggunakan Operating System Cisco dengan menggunakan Metode Access Control List (ACL)
- ACL merupakan salah satu teknik selektivitas permintaan sambungan dalam komunikasi data untuk mengijinkan atau sebaliknya, sejumlah paket data dari suatu host-computer menuju ke tujuan tertentu.
Sebelum masuk ke langkah-langkah konfigurasi, kita akan membahas sedikit tentang Extended Access List.
Sesuai dengan namanya, Extended ACL, tentunya kemampuan dari access list ini lebih dari access list standard. Extended access list mencocokan paket dengan melihat asal trafik dan tujuannya. Tidak seperti pada standard access list, dimana hanya melihat dari asal trafik.
Selain itu, access list extended juga mampu melakukan filterisasi trafik berdasarkan protokolnya, misalnya hanya trafik protokol icmp saja yang ingin di-drop. Atau misalnya mengijinkan trafik http untuk beberapa host saja.
Sebagai gambaran, berikut adalah perintah konfiguras access list extended :
access-list [nomor] [action] [protocol] [source] [destination] [extended_parameter]
Saya jelaskan sedikit maksud dari parameter-parameter di atas agar rekan rekan tidak bingung.
Parameter
[nomor]
pada numbered ACL mendefinisikan tipe access list terebut. Extended acces list menggunakan penomoran 100-199.Parameter
[action]
yakni tindakan dari access list apabila ditemukan kecocokan antara kondisi paket dengan rule acl. Terdapat tiga action yakni deny, permit, dan remark.Parameter
[protocol] mis tcp, udp dll
Parameter
[source]
merupakan definisi asal paket. Apakah paket yang ingin difilter adalah paket yang berasal dari sebuah host atau suatu network. Berikutnya, parameter
[destination]
, yakni definisi tujuan paket. Inilah salah satu perbedaan dengan standard ACL, dimana kita harus mendefinisikan tujuan paketnya. Untuk opsi-opsi yang ada di dalam parameter tersebut kurang lebih sama dengan opsi-opsi pada parameter [source]
.Kemudian ada parameter yang saya tuliskan sebagai
[extended_parameter]
. Parameter ini bergantung dari protokol yang kita pilih. Misalnya jika kita akan memfilter protokol tcp, maka pada parameter ini kita dapat menentukan nomor port atau layanan yang ingin di filter, misal http (www/80), ftp (21), atau dns (53).Baiklah, selanjutnya kita akan masuk ke langkah-langkah konfigurasi access list.
Skenario
Sebuah topologi terdiri dari 3 client dan 1 server dihubungkan oleh dua buah router. Client menggunakan network 192.168.1.0 dan subnetmask 255.255.255., sedangkan server menggunakan IP 8.8.8.8/24 dan jalur internet menggunakan network 12.12.12.0/30
Sebuah aturan baru diterapkan, yakni Layanan HTTP pada Server WWW hanya boleh diakses oleh PC2 dan PC3. Sementara Layanan FTP pada Server FTP hanya boleh diakses oleh PC1 dan PC3. Trafik yang lainnya diijinkan dan seluruh client juga tetap bisa melakukan ping ke server.
Untuk topologinya adalah sebagai berikut :
- PC0 tidak bisa mengakses layanan HTTP pada Server WWW
- PC1 tidak bisa mengakses layanan FTP pada Server FTP
- Selain trafik yang difilter di atas, trafik yang lain tetap diijinkan
Konfigurasi ACL
Ada 2 metode yang bisa digunakan, pertama yakni drop some, accept all. Yang kedua adalah accept some, drop all. Pada skenario ini kita akan menggunakan drop some, accept all. Maksudnya adalah kita hanya akan memblokir trafik-trafik yang tidak diijinkan, selanjutnya mengijinkan semua trafik.
Pertama kita buat rule untuk memblokir akses dari PC1 ke Server WWW (HTTP) :
access-list 100 deny tcp host 192.168.1.2 host 8.8.8.8 eq www
Pada bagian protocol menggunakan tcp,
karena tcp merupakan protokol yang membawa paket http request dari client menuju server.eq
merupakan perintah untuk mencocokan paket dengan nomor port atau layanan yang didefinisikan pada rule access list. Pada rule ini kita mendefinisikan layanan www yang akan diblok. Apabila ingin menggunakan nomor port, maka www bisa diganti dengan 80.Kemudian kita buat rule kedua yakni memblokir akses PC2 ke Server FTP :
access-list 100 deny tcp host 192.168.1.3 host 8.8.8.8 eq ftp
Parameter ftp bisa diganti dengan nomor port ftp yakni 21.
Terakhir adalah mengijinkan trafik yang lainnya (termasuk trafik ping dan trafik dari PC3 ke kedua server) :
access-list 100 permit ip any any
Keterangan :
Protokol yang digunakan adalah IP karena protokol ini sudah mencakup protokol-protokol yang lain seperti tcp, udp, dan icmp (termasuk trafik tcp dari PC3).
Kalian juga dapat menggunakan nomor access list selain 100. ACL extended dapat menggunakan nomor dari 100 sampai dengan 199.
Setelah membuat rule ACL, kita bisa melihat list-nya dengan perintah
do show access-list
10 deny tcp host 192.168.1.1 host 8.8.8.8 eq www
20 deny tcp host 192.168.1.2 host 8.8.8.8 eq ftp
30 permit ip any any
Langkah selanjutnya adalah meletakkan ACL pada interface router. Mengacu pada konsep extended ACL bahwa access list ditempatkan pada interface router yang paling dekat dengan source packet, maka ACL akan diletakkan di interface Gigabit0/1.
interface f0/1
ip access-group 100 in
parameter yang digunakan adalah in, karena trafik yang terjadi pada interface tersebut adalah trafik inbound (dari PC masuk ke interface router).
Berikut adalah step by step konfigurasi ACL untuk skenario ini :
ISP(config)# access-list 100 deny tcp host 192.168.1.2 host 8.8.8.8 eq www
ISP(config)# access-list 100 deny tcp host 192.168.1.3 host 8.8.8.8 eq ftp
ISP(config)# access-list 100 permit ip any any
ISP(config)#int f0/1
ISP(config-if)#ip access-group 100 in
yang terakhir adalah membuat Static Route
Static Route berfungsi agar bisa saling koneksi antar dua atau lebih jaringan yang berbeda networknya.
rumus Static Route : Router(config)#ip route (network tujuan) (netmask) (gateway)
ISP(config)# ip route 8.8.8.0 255.255.255.0 12.12.12.2
INTERNET(config)# ip route 192.168.1.0 255.255.255.0 12.12.12.1
Video Tutorial setting acl di Cisco Packet Tracer 👇
TUGAS PRAKTEK
Kerjakanlah settingan acl di cisco packet tracer seperti video di atas dengan ketentuan sebagai berikut :
Network ID 192.168.1.0 di ganti menjadi 192.168.X.0
Network ID 12.12.12.0 di ganti menjadi 12.12.X.0
X = adalah nomor absen anda.
selanjutnya simpan hasil konfigurasi anda dengan ketentuan : namasiswa_noabsen
SILAHKAN UPLOAD PEKERJAAN ANDA DISINI
0 komentar:
Posting Komentar
terimakasih atas atensi anda