Basic access control lists exercise

An essential part of network security is being able to control what kind of traffic is being permitted to reach your network, and where that traffic is coming from.

Tugas: You are configuring a standard ACL. The ACL is designed to block traffic from the 192.168.11.0/24 network located in a student lab from accessing any local network on R3.

Solution:
Step 1: Create the ACL on router R3
- In global configuration mode, create a standard named ACL called STND-1

R3(config)# ip access-list standard STND-1

- While in standard configuration mode, add a statement that denies any packets with a source address of 192.168.11.0/24 and prints a message to the console for each matched packet.
R3(config-std-nacl)# deny 192.168.11.0 0.0.0.255 log

- Permit all other traffic
R3(config-std-nacl)# permit any

Step 2: Apply the ACL
Apply the ACL STND-1 as a filter on packets entering R3 through Serial interface 0/0/1
R3(config)# interface serial 0/0/1
R3(config-if)# ip access-group STND-1 in
R3(config-if)# end
R3# copy run start

Step 3: Test the ACL
Before testing the ACL, make sure that the console of R3 is visible. This will allow you to see the access list log message when packet is denied.

Test the ACL by pinging from PC2 to PC3. Since the ACL is designed to block traffic with source address from the 192.168.11.0/24 network, PC2 (192.168.11.10) should not be able to ping PC3

You can also use an extended ping from fa0/1 interface on R1 to the Fa0/1 interface on R3.
R1# ping ip
Target IP address: 192.168.30.1
Repeat count[5]:
Datagram size[100]:
Timeout in seconds[2]:
Extended commands[n]: y
Source address or interface: 192.168.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP echoes to 192.168.30.1. timeout is 2 seconds:
Packet sent with source address of 192.168.11.1
U.U.U
Success rate is 0 percent (0/5)

You should see the following message on the R3 console:
*Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0 0.0.0.0 -> 192.168.11.1, 1 packet

Di privileged EXEC mode on R3, issue the show access-list command.You see the output similiar to the following. Each line of an ACL has an associated counter showing how many packets have matched the rule.

Standard IP access list STND-1
10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches)
20 permit any (25 matches)

The purpose of this ACL was to block hosts from the 192.168.11.0/24 network. Any other hosts such as those on the 192.168.10.0/24 network should be allowed access to the networks on R3. Conduct another test from PC1 to PC3 to ensure that this traffic is not blocked.

You can also use an extended ping from the Fa0/0 interface on R1 to the Fa0/1 interface on R3.

R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.10.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms


Tugas 2: Configuring an Extended ACL
Kalau ingin lebih halus, kamu harus menggunakan extended ACL. Extended ACL dapat menyaring trafik berdasarkan lebih dari hanya alamat source. Extended ACL bisa memfilter protocol, alamat source, alamt destination IP, dan source port number dan destination port number.

Satu tambahan policy lagi untuk jaringan ini, semua perangkat dari LAN 192.168.10.0/24 hanya dibolehkan untuk mencapai jaringan internal; komputer-komputer di jaringan ini tidak diperbolehkan untuk mengakses internet. Oleh karena itu, komputer-komputer ini harus diblok untuk mencapai alamat IP 209.165.200.225. Karena persyaratan ini butuh memaksakan source dan destination, maka sebuah ACL extended dibutuhkan.

Pada tugas ini, kamu mengkonfigurasi sebuah extended ACL pada R1 yang memblok trafik yang berasal dari perangkat manapun di jaringan 192.168.10.0/24 untuk mengakses 209.165.200.255 (ISP tersimulasi). ACL ini akan diaplikasikan outbound pada inteface serial 0/0/0 R1.

Sebuah best-practice untuk mengaplikasikan extended ACL adalah meletakkan mereka sedekat mungkin ke sumber.

Sebelum dimulai, pastikan bahwa kamu bisa ping ke 209.165.200.225 dari PC1.

Langkah 1: mengkonfigurasi sebuah ACL extended bernama
Di mode global configuration, buat sebuah ACL extended bernama EXTEND-1

R1(config)#ip access-list extended EXTEND-1

Perhatikan perubahan prompt untuk menunjukkan bahwa kamu sekarang berada di mode extended ACL. Dari prompt ini, tambahkan statement-statement penting untuk meblok trafik dari network 192.168.10.0/24 ke host 209.165.200.255. Gunakan kata host ketika mendefinisikan tujuan.

R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225

Ingat kembali implisit "deny all" memblok semua trafik jika tidak ada statement permit tambahan. Tambahkan pernyataan permit untuk memastikan bahwa trafik yang lain tidak terblok

R1(config-ext-nacl)#permit ip any any

Langkah 2: mengaplikasikan ACL
ACL standard, best practice nya adalah meletakkan ACL dekat dengan destination. Extended ACL biasanya diletakkan dekat dengan sumber (source). The EXTEND-1 ACL akan diletakkan pada interface serial, dan akan menyaring trafik outbound.

R1(config)#interface serial 0/0/0
R1(config-if)#ip access-group EXTEND-1 out log
R1(config-if)#end
R1#copy run start

Langkah 3: menguji ACL
Dari PC1, coba ping interface loopback R2. Ping ini seharusnya fail, karena semua trafik dari network 192.168.10.0/24 difilter ketika tujuan adalah 209.165.200.255. Jika tujuan alamat lain, ping akan berhasil.

Catatan: Trafik yang digenerate oleh R1 tidak bisa difilter dengan menggunakan ACL ini.

Untuk lebih lanjutnya, kamu bisa memastikan ini dengan mengeluarkan perintah show ip access-list pada R1 setelah mengeping.

R1#show ip access-list
Extended IP access list EXTEND-1
10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)
20 permit ip any any

Tugas 3: Mengendalikan akses ke line-line VTY dengan sebuah standard ACL
Sebuah ACL bisa diaplikasikan ke line-line vty, memungkinkan kamu untuk membatasi akses remote administration ke host-host tertentu atau network-network tertentu.

Pada contoh berikut ini, kamu akan mengkonfigurasikan sebuah standard ACL untuk mengizinkan host-host dari 2 network untuk bisa mengakses line-line VTY router. Host-host yang lain di-deny.

Langkah 1: Konfigurasi ACL

R2(config)#ip access-list standard TASK-5
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255

Langkah 2: Mengaplikasikan ACL pada line vty 0 4

R2(config)#line vty 0 4
R2(config-line)#access-class TASK-5 in
R2(config-line)#end
R2#copy run start

Langkah 3: Menguji ACL
Telnet ke R2 dari R1. Percobaan koneksi akan gagal, karena IP address R1 termasuk yang ter-deny.
Telnet ke R2 dari R3. Percobaan koneksi akan berhasil;, karena alamat IP R3 tidak termasuk yang ter-deny.

Tugas 4: Troubleshooting ACL
Ketika sebuah ACL tidak secara benar dikonfigurasi atau diaplikasikan ke interface yang salah atau dalam arah yang salah, trafik jaringan akan bisa terganggu.

Step 1: Menghilangkan ACL STND-1 dari S0/0/1 router R3
Pada tugas awal, kamu telah membuat dan mengaplikasikan sebuah ACL standar bernama pada R3. Dengan menggunakan perintah show running-config untuk melihat ACL dan penempatannya. Kamu harusnya melihat bahwa sebuah ACL bernama STND-1 telah dikonfigurasi dan diaplikasikan inbound pada Serial 0/0/1. Ingat kembali bahwa ACL ini dirancang untuk memblok semua trafik jaringan dengan alamat source dari 192.168.11.0/24 dalam mengakses LAN pada R3.

Untuk menghilangkan ACL, pergi ke mode konfigurasi interface untuk Serial0/0/1 pada R3. Gunakan perintah no ip access-group STND-1 in untuk menghilangkan ACL dari interface.

R3(config)#interface serial 0/0/1
R3(config-if)#no ip access-group STND-1 in

Gunakan perintah show running-config untuk mengkonfirmasikan bahwa ACL telah dihilangkan dari interface Serial0/0/1.

Step 2: Mengaplikasikan ACL STND-1 pada S0/0/1 outbound

Basic Router configuration syntax

Router(config)# hostname host
Router(config)# enable secret password
Router(config)# line console 0
Router(config-line)# password password
Router(config-line)# login
Router(config)# line vty 0 4
Router(config-line)# password password
Router(config-line)# login
Router(config)# banner motd # message #

Configuring interface
Router(config)# interface type number
Router(config-if)# ip address address mask
Router(config-if)# description description
Router(config-if)# no shutdown

Saving changes on a router
Router# copy running-config startup-config

Examining the output of show commands:
Router# show running-config
Router# show ip route
Router# show ip interface brief
Router# show interfaces

Secara garis besar:
1. Beri nama router
2. Beri kata kunci untuk enable
3. Beri kata kunci untuk line console (koneksi menggunakan kabel konsol ke ruter)
4. Beri kata kunci untuk koneksi telnet ke ruter
5. Beri banner untuk memberi peringatan kepada unauthorized user
6. Simpan konfigurasi

Exercise Subnetting

1. 

Given the Class C network of 204.15.5.0/24, subnet the network in order to create the network in Figure 3 with the host requirements shown.

Jawab:

Tanpa VLSM
Jumlah host terbesar = 28 hosts = 5 bit (karena 2^5 = 32)
Jumlah subnet = 5 = 3 bit (karena 2^3 = 8)
5 bit + 3 bit = 8 bit ---> cocok

Subnet Mask yang akan dipakai (natural mask diperluas 3 bit) = 255.255.255.(128+64+32)
= 255.255.255.224 atau /27

netA: 204.15.5.0 /27
netB: 204.15.5.32/27
netC: 204.15.5.64/27
netD: 204.15.5.96/27
netE: 204.15.5.128/27


Dengan VLSM

netB: 204.15.5.0 255.255.255.224
netE: 204.15.5.32 255.255.255.224
netA: 204.15.5.64 255.255.255.240
netD: 204.15.5.80 255.255.255.240
netC: 204.15.5.96 255.255.255.252

http://www.4shared.com/file/ZMSq5Zm3ba/subnetting_excercise1.html

Konfigurasi EIGRP

Konfigurasi model pertama

Jack(config)# router eigrp 1
Jack(config-router)# no auto-summary
Jack(config-router)# network 192.168.12.0
Jack(config-router)# network 1.1.1.0 0.0.0.255
Jack(config-router)# exit

John(config)# router eigrp 1
John(config-router)# no auto-summary
John(config-router)# network 192.168.12.0
John(config-router)# network 2.2.2.0 0.0.0.255
John(config-router)# exit


Konfigurasi model kedua

Jack(config)# router eigrp 1
Jack(config-router)# no auto-summary
Jack(config-router)# network 0.0.0.0
Jack(config-router)# exit

John(config)# router eigrp 1
John(config-router)# no auto-summary
John(config-router)# network 0.0.0.0
John(config-router)# exit

Konfigurasi model pertama + passive interface model 1

Jack(config)# router eigrp 1
Jack(config-router)# no auto-summary
Jack(config-router)# network 192.168.12.0
Jack(config-router)# network 1.1.1.0 0.0.0.255
Jack(config-router)# passive-interface lo1
Jack(config-router)# exit

John(config)# router eigrp 1
John(config-router)# no auto-summary
John(config-router)# network 192.168.12.0
John(config-router)# network 2.2.2.0 0.0.0.255
John(config-router)# passive-interface lo1
John(config-router)# exit


Konfigurasi model pertama + passive interface model 2

Jack(config)# router eigrp 1
Jack(config-router)# no auto-summary
Jack(config-router)# network 192.168.12.0
Jack(config-router)# network 1.1.1.0 0.0.0.255
Jack(config-router)# passive-interface default
Jack(config-router)# no passive-interface fa0/0
Jack(config-router)# exit

John(config)# router eigrp 1
John(config-router)# no auto-summary
John(config-router)# network 192.168.12.0
John(config-router)# network 2.2.2.0 0.0.0.255
John(config-router)# passive-interface default
John(config-router)# no passive-interface fa0/0
John(config-router)# exit

Catatan Access-list

Kegunaan access-list
1. menginspeksi paket-paket jaringan berdasarkan kriteria.
Contoh: source address, destination address, protokol-protokol, dan nomor port
2. mengklasifikasikan paket untuk memungkinkan prioritas.

ACL dikonfigurasi baik diaplikasikan ke trafik inbound (trafik yang masuk ke router) atau diaplikasikan ke trafik outbound (trafik yang keluar dari ruter).

Inbound dan outbound access-list

Untuk inbound ACL, paket masuk diproses sebelum mereka di rutekan ke interface outbound
Untuk outbound ACL, paket masuk diproses setelah mereka dirutekan ke sebuah interface.

Standard dan Extended

Standard ACL
1. Dapat menyaring trafik berdasarkan alamat IP sumber
2. Menggunakan angka 1 - 99
3. Menggunakan angka 1300 - 1999
4. Bisa menggunakan nama selain angka

Extended ACL
1. Dapat menyaring trafik berdasarkan alamat IP sumber
2. Dapat menyaring trafik berdasarkan alamat IP tujuan
3. Dapat menyaring trafik berdasarkan tipe protokol
4. Menggunakan nomor 100-199
5. Bisa menggunakan nama selain angka

Peletakkan Access list
1. Letakkan extended ACL sedekat mungkin ke sumber trafik/host yang akan di deny.
2. Letakkan standard ACL sedekat mungkin ke tujuan. Karena standard ACL tidak menjelaskan tujuan dari trafik.

Bagaimana access-list dibaca oleh router?
Ketika sebuah paket diterima oleh ruter, paket itu dibandingkan dengan statement - statement ACL berdasarkan urutan entri access-list itu disusun. Ruter meneruskan untuk memproses pernyataan - pernyataan ACL hingga ruter menemukan kecocokan.

Jika tidak ada yang cocok ketika sebuah ruter mencapai akhir dari list, trafik itu di deny karena ada deny yang tersirat (implied) bagi trafik.

The full syntax
Standard access-list
Router(config)#access-list access-list-numberdenypermit remarksource [source-wildcard] [log]

Extended access-list
access-list access-list number {deny | permit | remark} protocol source [source-wildcard] [operator operand] [port port-number or name] destination [destination-wildcard] [operator operand] [port port-number or name] [established]

'Selalu source duluan

contoh extended access-list:
access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
baca: access-list 103 permit tcp dari source 192.168.10.0 255.255.255.0 ke kemana saja dengan port tujuan 80 (port http)

access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443
baca: access-list 103 permit tcp dari source 192.168.10.0 255.255.255.0 ke kemana saja dengan port 443 (port https)



Contoh-contoh access-list

Contoh-contoh task ACL

1. Permit e-mail traffic, tapi block Telnet traffic
2.

Access-list

Ada dua buah tipe access list:

1. Standard access-list
hanya mampu men-deny/permit source ip address saja. Tujuan dari paket dan port tidak diperhitungkan.

Contoh:
Izinkan semua trafik dari jaringan 192.168.30.0/24. 

access-list 10 permit 192.168.30.0 0.0.0.255

Karena adanya implied "deny any" di akhir access-list, maka semua trafik yang lain di blok oleh karena access-list ini.

Standar access-list dibuat di global configuration mode.

2. Extended

ACL extended menyaring paket IP berdasarkan beberapa atribut, contohnya tipe protokol (IP, ICMP, UDP, TCP atau nomor protokol), alamat IP source, alamat IP penerima/tujuan, port TCP source, port UDP source, port tujuan TCP, port tujuan UDP.

1. bisa men-deny/permit source ip address dan alamat destinasi IP
2. filtering paket pada level port