AccessAccess-List
Oleh : Akhmad Mukhammad
Objektif Menjelaskan
bagaimana cara kerja Access Control List (ACL)
Mengkonfigurasi ACL standard.
Mengkonfigurasi ACL extended.
ACL ACL digunakan untuk : 1. Mengontrol jalannya trafik data dalam network 2. Mem-filter paket-paket yang melewati router ACL : 1. Sekumpulan list-list yang berisi kondisi-kondisi untuk diterapkan pada trafik yang melewati interface router. 2. List ini menginstruksikan router paket mana saja yang akan di accept atau deny. 3. Accept atau deny dapat berdasarkan kondisi-kondisi tertentu, contoh: Address source dan atau destination Protokol yang digunakan Nomor port yang di akses
Beberapa alasan menggunakan ACL : 1. Membatasi trafik tertentu sehingga meningkatkan performa network 2. Menyediakan kontrol trafik 3. Menentukan tipe trafik yang boleh lewat dan yang di blok pada interface router 4. Misal : mengijinkan trafik e-mail dan mem-blok trafik telnet 5. Tanpa ACL, semua paket bisa melewati router bebas hambatan.
ACL Tipe Paket datang
Paket keluar
Standard Cek IP address source nya saja, cek siapa pengirim paket tersebut Permit atau deny jenis protokol apapun, trafik jenis apapun akan di permit atau deny. Nomor range : 1 – 99, 1300 - 1999
Extended Cek IP address source (pengirim) dan destination (penerima) Permit atau deny jenis protokol spesifik. Hanya trafik tertentu yang di permit atau deny. Nomor range : 100 – 199, 2000 - 2699
Named Bisa termasuk ACL standard atau Extended. Identifier menggunakan nama, bukan angka.
ACL Wildcard Mask 1. 32 bit yang di tuliskan dalam bentuk dotted-decimal. 2. Merupakan inverse dari netmask.
Bit 0 harus match dengan bit pada address-nya. Bit 1 ignore, terserah mau sama atau tidak. 192.168.10.1
Wildcard Mask 0.0.0.0 0.0.0.255 0.0.255.255 0.0.0.127
Match Match 192.168.10.1 Match 192.168.10.x dengan nilai x terserah (0-255) Match 192.168.x.y dengan nilai x dan y terserah (0-255) 1. Match 192.168.10.x, nilai x = 0 -128 2. Sama dengan IP 192.168.10.1 dengan netmask 255.255.255.128
ACL Host & Any
host
Any
1. Wildcard mask : 0.0.0.0 2. Cek semua bit address, semua harus match. 3. Contoh : Address : 172.16.1.1 Wildcard mask : 0.0.0.0 Semua bit harus match dengan 172.16.1.1 Result = 172.16.1.1 4. Dapat disingkat dengan keyword “host”. permit host 172.16.1.1 1. Wildcard mask : 255.255.255.255 2. Cek semua bit address, terserah match atau tidak (ignore) 3. Contoh : Address : 172.16.1.1 Wildcard mask 0.0.0.0 Semua bit tidak harus match dengan 172.16.1.1 Result = terserah. 4. Dapat disingkat dengan keyword “any” permit any
ACL Panduan Konfigurasi
1. Nomor ACL menunjukkan protokol (suite) apa yang akan di filter. TCP/IP atau IPX, dst 2. 1 ACL 1 jenis protokol 1 Interface 1 arah (in/out) 3. Urutan statement ACL menunjukkan urutan testing kecocokan (matching). Statement paling atas akan dibaca terlebih dahulu. 4. Statement paling spesifik harus ditaruh pada urutan paling atas. 5. Pada akhir list selalu ada implisit deny, jadi untuk setiap ACL minimal harus ada 1 statement permit. 6. ACL harus dibuat sebelum di apply ke interface. 7. ACL memfilter trafik yang melalui router, bukan trafik yang dihasilkan oleh router.
ACL Config Standard Paket datang (inbound)
Paket keluar (outbound)
Router(config)# access-list nomor-access-list {permit | deny | remark} source [mask] 1. 2. 3. 4.
Standard ACL untuk IP menggunakan nomor-access-list 1 sampai 99 Wildcard mas default = 0.0.0.0 (host) Remarks untuk memberi deskripsi ACL Source mengindikasikan IP address source (pengirim).
Router(config)# no access-list nomor-access-list Menghapus ACL Router(config-if)# ip access-group nomor-access-list {in |out} 1. Aktifkan ACL pada interface 2. Tentukan arah filtering, inbound (in) atau outbound (out) 3. Standard ACL sebaiknya di apply pada interface paling dekat dengan network tujuan. Router(config-if)# no ip access-group nomor-access-list Menon-aktifkan ACL dari sebuah interface
ACL Config Standard
Blok akses network B menuju network server.
R1(config)#access-list 1 permit 172.16.10.0 0.0.0.255 Dengan membuat ACL yang memberikan permit pada network A saja, maka network B akan otomatis di blok karena ada statement “implicit deny all” di setiap ACL, yang berarti deny semua trafik selain trafik yang telah di permit di atas. R1(config)#interface f1/0 R1(config-if)#ip access-group 1 out Interface fastethernet 1/0 merupakan interface terdekat dengan network tujuan (network server). Arahnya adalah out karena arah trafik akses adalah menuju network server.
ACL Config Standard ACL
Blok akses hanya user PC1 menuju network server.
R1(config)#access-list 5 deny host 192.168.10.150 R1(config)#access-list 5 permit any 1. Statement pertama menunjukkan user PC1 akan di deny 2. Statement kedua mengindikasikan trafik selain dari statement diatas akan di permit 3. Tanpa statement kedua, semua trafik akan di deny, karena ada “implicit deny all” di setiap akhir ACL. R1(config)#interface f1/0 R1(config-if)#ip access-group 1 out Interface fastethernet 1/0 merupakan interface terdekat dengan network tujuan (network server). Arahnya adalah out karena arah trafik akses adalah menuju network server.
ACL Config Extended Extended ACL 1. Lebih sering digunakan karena menyediakan kontrol trafik yang lebih advance 2. Filtering berdasarkan address pengirim (source) dan penerima (destination) dan juga mengecek protokol dan nomor port jika diperlukan. 3. Kontrol jenis trafik yang di filter bisa lebih spesifik dengan tambahan pengecekan nomor port trafik TCP maupun UDP. 4. Operasi logik bisa ditentukan seperti : 1. Tidak sama dengan (not equal) neq 2. Sama dengan (equal) eq 3. Lebih besar dari (greater than) gt 4. Lebih kecil dari (less than) lt 5. Menggunakan nomor-access-list : 1. 100 – 199 2. 2000 – 2699
ACL Config Extended Router(config)# access-list nomor-access-list {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log] nomor-access-list adalah identifier ACL bernilai 100 – 199, 2000 – 2699 Protocol
OSPF EIGRP ICMP IP TCP UDP Dan lain-lain
Operator eq, neq, lt, gt. Port nomor port Router(config-if)# ip access-group nomor-access-list {in |out} 1. Aktifkan ACL pada interface 2. Tentukan arah filtering, inbound (in) atau outbound (out) 3. Standard ACL sebaiknya di apply pada interface paling dekat dengan network pengirim.
ACL Config Extended
PC “User” tidak boleh mengakses servis web (http port 80) pada mesin “WEB”
R1(config)#access-list 101 deny tcp host 192.168.10.150 host 10.10.10.3 eq www R1(config)#access-list 101 permit ip any any www disini merupakan nama lain dari port 80 di cisco R1(config)#int f0/1 R1(config-if)#ip access-group 101 in Interface fastethernet 1/0 merupakan interface terdekat dengan network tujuan (network server). Arahnya adalah out karena arah trafik akses adalah menuju network server.
ACL Named ACL Named ACL mulai ada pada Cisco IOS release 11.2, dapat digunakan untuk konfigurasi ACL standard maupun extended dengan menggunakan nama, bukan nomor. Karakteristik : ACL di identifikasi dengan sebuah nama Jadi lebih mewakili daripada menggunakan angka. Tidak boleh diawali dengan angka dan karakter-karakter aneh lain. Tidak boleh ada spasi Tidak boleh menggunakan karakter ? Nama case sensitive, ACL akses berbedan dengan ACL akSEs. Setiap statement dapat dihapus Harus ditentukan apakah standard atau extended saat membuat. Gunakan perintah “ip access-list” untuk membuat Named ACL. Router(config)# ip access-list {standard | extended} name Nama harus unik, setelah ini user akan masuk ke konfigurasi ACL.
ACL Named ACL
PC “User” tidak boleh mengakses servis web (http port 80) pada mesin “WEB”
R1(config)#ip access-list extended block_web R1(config-ext-nacl)#deny tcp host 192.168.10.150 host 10.10.10.3 eq 80 R1(config-ext-nacl)#permit ip any any R1(config)#int f0/1 R1(config-if)#ip access-group block_web in
ACL Verifikasi
R1#show access-lists Menampilkan semua ACL dan parameter mereka pada router. R1#show access-lists block_web Menampilkan parameter ACL block_web R1#show ip access-lists Menampilkan konfigurasi IP access list pada router R1#sh ip interface f0/1 Menampilkan informasi interface, bisa dilihat apakah ada ACL yang di apply atau tidak
Terima Kasih