Keamanan Jaringan CISCO dengan Studi Kasus PART V

   , , , , ,  No comments
KONFIGURASI DAN UJICOBA KEBIJAKAN KEAMANAN

4.1 Konfigurasi ACL pada router GW agar jaringan internal dapat mengakses layanan internet

1.  Membuat ACL agar mengijinkan seluruh host pada subnet KEUANGAN hanya dapat mengakses layanan HTTP & HTTPS serta Email pada server gmail dengan alamat IP 202.203.204.4.


GW(config)#access-list 199 permit tcp 172.16.0.128 0.0.0.127 202.203.204.4 0.0.0.0 eq 25
GW(config)#access-list 199 permit tcp 172.16.0.128 0.0.0.127 202.203.204.4 0.0.0.0 eq 110
GW(config)#access-list 199 permit tcp 172.16.0.128 0.0.0.127 202.203.204.4 0.0.0.0 eq 80
GW(config)#access-list 199 permit tcp 172.16.0.128 0.0.0.127 202.203.204.4 0.0.0.0 eq 443
GW(config)#access-list 199 permit udp 172.16.0.128 0.0.0.127 202.203.204.1 0.0.0.0 eq 53

2.    Membuat ACL agar mengijinkan seluruh host di subnet KARYAWAN dapat mengakses layanan apapun di Internet


GW(config)#access-list 199 permit ip 172.16.0.0 0.0.0.127 0.0.0.0 255.255.255.255


3.   Membuat ACL agar mengijinkan seluruh host pada subnet SALES hanya dapat mengakses layanan Email pada server gmail dengan alamat IP 202.203.204.4.


GW(config)#access-list 199 permit tcp 172.16.1.0 0.0.0.63 202.203.204.4 0.0.0.0 eq 25
GW(config)#access-list 199 permit tcp 172.16.1.0 0.0.0.63 202.203.204.4 0.0.0.0 eq 110

4.  Membuat ACL agar mengijinkan hanya PC NetMon (Network Monitoring) yang terdapat pada subnet Server Farm dapat mengakses keseluruhan layanan Internet.

GW(config)#access-list 199 permit ip 172.16.1.65 0.0.0.0 0.0.0.0 255.255.255.255

5. Membuat NAT Overload

GW(config)#ip nat inside source list 199 interface gi0/1 overload

Berpindah ke mode privilege

GW(config)# end

6.  Memverifikasi ACL

7.  Memverifikasi pengaktifan NAT pada interface

8. Memverifikasi pengiriman email melalui Email Client yang terdapat pada PC AHMAD ke muhammad@gmail.com. Subject atau topik pesan email bebas.

Terlihat email berhasil dikirim ke muhammad@gmail.com. Sedangkan pada PC MUHAMMAD dilakukan pengunduhan email dari POP3 Server, seperti terlihat pada gambar berikut:

9.  Memverifikasi dengan mengakses layanan HTTP, HTTPS dari PC AHMAD dan PC MUHAMMAD pada Subnet KEUANGAN. Hasil verifikasi terlihat seperti pada gambar berikut:



10.  Memverifikasi pengiriman email melalui Email Client yang terdapat pada PC INDRA pada subnet SALES ke randi@gmail.com. Subject atau topik pesan email bebas.

Terlihat email berhasil dikirim ke randi@gmail.com. Sedangkan PC RANDI dilakukan pengunduhan email dari POP3 Server, seperti terlihat pada gambar berikut:

11.   Memverifikasi melalui browser Laptop1 yang berada pada Subnet KARYAWAN dengan mengakses layanan HTTP/HTTPS dari server yang terdapat di subnet Internet seperti http://stmikbumigora.ac.id, http://facebook.com, dan http://gmail.com serta memverifikasi akses ke layanan FTP pada server Internet melalui command prompt. Hasilnya terlihat seperti berikut:




12. Memverifikasi melalui browser PC NetMon (Network Monitoring) yang berada pada Subnet Server FARM dengan mengakses layanan HTTP/HTTPS dari server yang terdapat di subnet Internet seperti http://stmikbumigora.ac.id, http://facebook.com, dan http://gmail.com serta memverifikasi akses ke layanan FTP pada server Internet melalui command prompt. Hasilnya terlihat seperti berikut

13. Memverifikasi hasil translasi NAT pada Router GW

4.2 Konfigurasi Static NAT pada Router ASA agar mengijinkan Server Public DMZ dari PT. MA dengan alamat IP Private 172.16.1.145 ditranslasi ke alamat IP Publik 203.1.1.3 sehingga dapat diakses dari Internet.

1. Membuat object network

ciscoasa(config)#object network WEBSERVER

2.    Mengatur object host untuk server publik pada DMZ dengan alamat IP Private 172.16.1.145

ciscoasa(config-network-object)#host 172.16.1.145

3. Mengatur atribut static nat agar IP Private 172.16.1.145 ditranslasi menjadi 203.1.1.3

ciscoasa(config-network-object)#nat (DMZ,outside) static 203.1.1.3

4.  Berpindah ke satu mode sebelumnya ciscoasa(config-network-object)#exit

5.  Berpindah ke global configuration ciscoasa#conf t

6.  Membuat ACL untuk mengijinkan akses ke port 80 dan 443 dari Internet ke DMZ

ciscoasa(config)#access-list outtudmz extended permit tcp any host 172.16.1.144 eq 80

ciscoasa(config)#access-list outtodmz extended permit tcp any host 172.16.1.144 eq 443

7.  Menerapkan ACL pada interface outside untuk trafik yang masuk (in)

ciscoasa(config)#access-group outodmz in interface outside

8. Berpindah ke privilege exec mode ciscoasa(config)#end

9. Menampilkan informasi ACL ciscoasa#show access-list

10.     Verifikasi Koneksi Dari Internet Client Ke Server Public Di DMZ Dengan Menggunakan Browser Lakukan Verifikasi Koneksi Ke Http://Mineralabadi.Com Dan Https://Mineralabadi.Com , Pastikan Berhasil Terakses.
Terlihat layanan HTTP & HTTPS pada Server Public DMZ dapat diakses baik menggunakan alamat IP maupun nama domain mineralabadi.com

Keamanan Jaringan CISCO dengan Studi Kasus PART I 

Keamanan Jaringan CISCO dengan Studi Kasus PART II

Keamanan Jaringan CISCO dengan Studi Kasus PART III

Keamanan Jaringan CISCO dengan Studi Kasus PART IV

Keamanan Jaringan CISCO dengan Studi Kasus PART VI











0 komentar:

Post a Comment

Informasi:
Form komentar ini menggunakan moderasi, setiap komentar yang masuk akan melalui proses pemeriksaan sebelum ditampilkan dalam kolom komentar.

Memasang link dan konten yang mengandung pornografi di komentar tidak akan di tampilkan. Hanya komentar yang membangun dan sesuai topik artikel saja yang akan kami tampilkan.

Mohon maaf atas ketidaknyamanannya.