Cara Kerja Sederhana Access List (ACL)
Berdasarkan beberapa referensi yang saya pelajari, setidaknya ada tiga aturan yang berlaku bagi sebuah paket, jika access list di terapkan pada router, yaitu:
1. Setiap paket akan dibandingkan dengan setiap baris aturan Access List secara urut.
2. Jika menemukan kondisi yang sesuai maka paket terebut akan mengikuti aturan yang ada dalam Access List.
3. Apabila paket tersebut tidak menemukan aturan yang sesuai maka paket tersebut tidak diperbolehkan lewat atau mengakses jaringan.
Penerapan access list itu sendiri terbagi menjadi dua macam, antara lain:
1. Standard Access List - yang akan melakukan penyeleksian paket berdasarkan alamat IP pengirim paket.
2. Extended Access List - yang akan menyeleksi sebuah paket berdasarkan alat IP pengirim dan penerima, protokol, dan jenis port paket yang dikirim.
Nah, ketika ACL dikonfigurasi pada sebuah router, maka ACL harus memiliki sebuah nomor identifikasi unik yang diberikan kepadanya. Nomor ini menandakan jenis access list yang dibuat dan harus berada pada range tertentu dari nomor yang valid untuk jenis daftar tersebut.
Konfigurasi Standar Acess List
Berdasarkan tabel diatas, maka standar access list akan melakukan seleksi terhadap paket menggunakan alamat IP pengirim dengan range nomor pengenal yang dapat digunakan adalah nomor 1 sampai 99.
Ingat saja rumusnya kawan:
Router(config)# access-list [nomor pengenal] {permit/deny} [alamat pengirim] [wildcard-mask]
Misal: Router_Pusat(config)#access-list 10 permit 172.25.0.0 0.0.255.255
Pada contoh tersebut [Router1] mengijinkan semua host atau paket yang berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka 0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25. Apabila angka wildcard yang digunakan 0.0.0.255 maka network ID yang di cek adalah 3 (tiga) bagian terdepan, misalnya 172.25.82.
Ada beberapa tahap yang harus kita lakukan untuk mengkonfigurasi Standard Access List, yaitu:
1. Memberikan identitas (nama, alamat IP, subnet mask, dan gateway untuk komputer yang terhubung) ke router pusat.
2. Mengkonfigurasi routing antara 2 (dua) jaringan yang akan dikenakan Access List. Nah routing dilakukan agar kedua jaringan tersebut terhubung terlebih dahulu sebelum ada Packet Filtering.
3. Membuat Access List dan menerapkannya pada interface router.
Ada beberapa tahap yang harus kita lakukan untuk mengkonfigurasi Standard Access List, yaitu:
1. Memberikan identitas (nama, alamat IP, subnet mask, dan gateway untuk komputer yang terhubung) ke router pusat.
2. Mengkonfigurasi routing antara 2 (dua) jaringan yang akan dikenakan Access List. Nah routing dilakukan agar kedua jaringan tersebut terhubung terlebih dahulu sebelum ada Packet Filtering.
3. Membuat Access List dan menerapkannya pada interface router.
Sebagai contoh kita akan simulasikan pada kasus dibawah ini, lets learning by doing kawan..
Ada dua buah jaringan lokal yang terhubung pada router dengan spesifikasi:
>> Router A,
IP Inside Global : 200.100.10.1/30 (S0/0/0 DCE)
IP Inside Local : 192.168.100.1/24 (F0/0)
>> Router B,
IP Inside Global : 200.100.10.2/30 (S0/0/0 DCE)
IP Inside Local : 172.16.1.1/16 (F0/0)
Semua konfigurasi routing protokol dapat digunakan, kecuali RIP karena dalam simulasi ini kita menggunakan teknik subnetting pada ip publicnya, masih ingat kan alasannya kawan?
Nah pada simulasi kali ini kita akan mengijinkan semua host dari jaringan inside local Router B, 172.16.0.0/16 dapat mengakses jaringan inside local Router A, 192.168.100.0/24. Maka perintahnya adalah:
Router>en
Router#conf t
Router(config)#host Router_A
Router_A#int f0/0
Router_A(config-if)#ip add 192.168.100.1 255.255.255.0
Router_A(config-if)#int s0/0/0
Router_A(config-if)#ip add 200.100.10.1 255.255.255.252
Router_A(config-if)#exit
Router_A(config)#router eigrp 100
Router_A(config-router)#net 192.168.100.0
Router_A(config-router)#net 200.100.10.0
Router_A(config-router)#exit
//Selanjutnya kita dapat menerapkannya khusus pada interface f0/0 pada router A
Router_A(config)#int f0/0
Router_A(config-if)#ip access-group 10 out
Router_A(config-if)#exit
//Opsi[out] pada bagian akhir perintah tersebut dimaksudkan untuk melewatkan paket keluar dari Router A tersebut.
//Untuk melihat konfigurasi access list
Router#show access-lists
Standard IP access list 10
permit 172.16.0.0 0.0.255.255 (2 match(es))
Nah, berikutnya adalah kita akan memberikan akses hanya pada satu host dari inside local pada Router B (PC B3) dengan alamat IP 172.16.0.3/16 agar dapat mengakses ke jaringan 192.168.100.0/16. Maka perintahnya adalah sebagai berikut:
//Konfigurasi Access List Pada Router A
Router_A(config)#access-list 20 permit 172.16.0.3 0.0.0.0
Router_A(config)#exit
//Selanjutnya kita dapat menerapkannya khusus pada interface f0/0 pada router A
Router_A(config)#int f0/0
Router_A(config-if)#ip access-group 20 out
Router_A(config-if)#exit
//Opsi[out] pada bagian akhir perintah tersebut dimaksudkan untuk melewatkan paket keluar dari Router A tersebut.
//Untuk melihat konfigurasi access list
Router#show access-lists
Standard IP access list 10
permit 172.16.0.0 0.0.255.255 (5 match(es))
Standard IP access list 20
permit host 172.16.0.3 (4 match(es))
Konfigurasi Extended Access List
Untuk mengkonfigurasi Extended Access List sebenarnya tidak terlalu beda jauh dengan cara mengkonfigurasi Standard Access List. Perintah yang digunakan ada penambahan informasi tentang paket yang diijinkan atau ditolak.
Router(config)#access-list [acl number] {permit|deny} {protocol . .} ?
[/source]
[wild-card source net/host add] [destination net/host add] [wildcard dest net/host add] ?
// gunakan ‘?’ untuk melihat opsi selanjutnya
Contohnya:
Router_A(config)#access-list 100 permit tcp 172.16.0.0 0.0.255.255 192.168.100.3 0.0.0.0 eq telnet
Pada contoh perintah diatas, kita mengijinkan (permit) paket telnet dari semua host yang ada di jaringan 172.16.0.0 ke host 192.168.100.3. Angka [100] setelah perintah [access-list] merupakan pengenal bagi Extended Access List. Cara menerapkan Access List tersebut ke interface router juga tidak berbeda dengan penerapan Standard Access List. Cara menerapkan Access List tersebut ke interface router juga tidak berbeda dengan penerapan Standard Access List.
Router_A(config)#int f0/0
Router_A(config)#ip access-group 100 {out|in}
Kesimpulan
Berdasarkan simulasi standar dan extended ACL tersebut, setidaknya kita bisa menarik kesimpulan sederhana kawan. Pada standard ACL hanya menggunakan alamat source IP address dalam paket IP sebagai kondisi yang di test, sehingga ACL tidak dapat membedakan tipe dari traffic IP seperti WWW, UDP, dan telnet. Sedangkan pada Extended ACL, selain bisa mengevaluasi source address dan destination address extended ACL juga dapat mengevaluasi header layer 3 dan 4 pada paket IP. Nah, berikut adalah tugas besar dari ACL, baik jenis standar maupun extended, diantaranya:
Membatasi lalulintas jaringan dan menambah performa jaringan. Sebagai contoh, ACL yang membatasi lalulintas video dapat dengan baik mengurangi beban jaringan dan menambah performa jaringan.
Menyediakan kontrol aliran lalulintas. ACL dapat membatasi pengiriman update routing. Jika update tidak diperlukan disebabkan kondisi-kondisi jaringan, akanmenghemat bandwidth.
Menyediakan sebuah level dasar keamanan untuk akses jaringan. ACL dapat mengijinkan satu host untuk mengakses sebuah bagian dari jaringan dan mencegah host lain untuk mengakses area yang sama. Sebagai contoh, Host A diperbolehkan untuk mengakses jaringan Sumberdaya Manusia dan Host B dicegah untuk mengaksesnya.
Memutuskan jenis lalulintas yang dilewatkan atau diblok pada interface-interface router. ACL dapat mengijinkan pe-rute-an lalulintas e-mail, tapi mem-blok semua lalulintas telnet.
Mengontrol wilayah sebuah client mana yang dapat mengakses pada sebuah jaringan
Menyaring host-host untuk diperbolehkan atau ditolak mengakses ke sebuah segment jaringan. ACL dapat digunakan untuk memperbolehkan atau menolak seorang user untuk mengakses jenis-jenis file seperti FTP atau HTTP.
Terakhir sebagai penutup, jika ACL tidak dikonfigurasi pada router, semua paket-paket yang melewati router akan diperbolehkan untuk mengakses keseluruhan jaringan. Sudah tentu hal ini membahayakan jaringan internal apabila terkoneksi dengan jaringan internet.
Sumber
Penulis
Read More
Berdasarkan beberapa referensi yang saya pelajari, setidaknya ada tiga aturan yang berlaku bagi sebuah paket, jika access list di terapkan pada router, yaitu:
1. Setiap paket akan dibandingkan dengan setiap baris aturan Access List secara urut.
2. Jika menemukan kondisi yang sesuai maka paket terebut akan mengikuti aturan yang ada dalam Access List.
3. Apabila paket tersebut tidak menemukan aturan yang sesuai maka paket tersebut tidak diperbolehkan lewat atau mengakses jaringan.
Penerapan access list itu sendiri terbagi menjadi dua macam, antara lain:
1. Standard Access List - yang akan melakukan penyeleksian paket berdasarkan alamat IP pengirim paket.
2. Extended Access List - yang akan menyeleksi sebuah paket berdasarkan alat IP pengirim dan penerima, protokol, dan jenis port paket yang dikirim.
Nah, ketika ACL dikonfigurasi pada sebuah router, maka ACL harus memiliki sebuah nomor identifikasi unik yang diberikan kepadanya. Nomor ini menandakan jenis access list yang dibuat dan harus berada pada range tertentu dari nomor yang valid untuk jenis daftar tersebut.
Berdasarkan tabel diatas, maka standar access list akan melakukan seleksi terhadap paket menggunakan alamat IP pengirim dengan range nomor pengenal yang dapat digunakan adalah nomor 1 sampai 99.
Ingat saja rumusnya kawan:
Router(config)# access-list [nomor pengenal] {permit/deny} [alamat pengirim] [wildcard-mask]
Misal: Router_Pusat(config)#access-list 10 permit 172.25.0.0 0.0.255.255
Pada contoh tersebut [Router1] mengijinkan semua host atau paket yang berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka 0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25. Apabila angka wildcard yang digunakan 0.0.0.255 maka network ID yang di cek adalah 3 (tiga) bagian terdepan, misalnya 172.25.82.
Ada beberapa tahap yang harus kita lakukan untuk mengkonfigurasi Standard Access List, yaitu:
1. Memberikan identitas (nama, alamat IP, subnet mask, dan gateway untuk komputer yang terhubung) ke router pusat.
2. Mengkonfigurasi routing antara 2 (dua) jaringan yang akan dikenakan Access List. Nah routing dilakukan agar kedua jaringan tersebut terhubung terlebih dahulu sebelum ada Packet Filtering.
3. Membuat Access List dan menerapkannya pada interface router.
Ada beberapa tahap yang harus kita lakukan untuk mengkonfigurasi Standard Access List, yaitu:
1. Memberikan identitas (nama, alamat IP, subnet mask, dan gateway untuk komputer yang terhubung) ke router pusat.
2. Mengkonfigurasi routing antara 2 (dua) jaringan yang akan dikenakan Access List. Nah routing dilakukan agar kedua jaringan tersebut terhubung terlebih dahulu sebelum ada Packet Filtering.
3. Membuat Access List dan menerapkannya pada interface router.
Sebagai contoh kita akan simulasikan pada kasus dibawah ini, lets learning by doing kawan..
>> Router A,
IP Inside Global : 200.100.10.1/30 (S0/0/0 DCE)
IP Inside Local : 192.168.100.1/24 (F0/0)
>> Router B,
IP Inside Global : 200.100.10.2/30 (S0/0/0 DCE)
IP Inside Local : 172.16.1.1/16 (F0/0)
Semua konfigurasi routing protokol dapat digunakan, kecuali RIP karena dalam simulasi ini kita menggunakan teknik subnetting pada ip publicnya, masih ingat kan alasannya kawan?
Nah pada simulasi kali ini kita akan mengijinkan semua host dari jaringan inside local Router B, 172.16.0.0/16 dapat mengakses jaringan inside local Router A, 192.168.100.0/24. Maka perintahnya adalah:
Router>en
Router#conf t
Router(config)#host Router_A
Router_A#int f0/0
Router_A(config-if)#ip add 192.168.100.1 255.255.255.0
Router_A(config-if)#int s0/0/0
Router_A(config-if)#ip add 200.100.10.1 255.255.255.252
Router_A(config-if)#exit
Router_A(config)#router eigrp 100
Router_A(config-router)#net 192.168.100.0
Router_A(config-router)#net 200.100.10.0
Router_A(config-router)#exit
//Selanjutnya kita dapat menerapkannya khusus pada interface f0/0 pada router A
Router_A(config)#int f0/0
Router_A(config-if)#ip access-group 10 out
Router_A(config-if)#exit
//Opsi[out] pada bagian akhir perintah tersebut dimaksudkan untuk melewatkan paket keluar dari Router A tersebut.
//Untuk melihat konfigurasi access list
Router#show access-lists
Standard IP access list 10
permit 172.16.0.0 0.0.255.255 (2 match(es))
Nah, berikutnya adalah kita akan memberikan akses hanya pada satu host dari inside local pada Router B (PC B3) dengan alamat IP 172.16.0.3/16 agar dapat mengakses ke jaringan 192.168.100.0/16. Maka perintahnya adalah sebagai berikut:
//Konfigurasi Access List Pada Router A
Router_A(config)#access-list 20 permit 172.16.0.3 0.0.0.0
Router_A(config)#exit
//Selanjutnya kita dapat menerapkannya khusus pada interface f0/0 pada router A
Router_A(config)#int f0/0
Router_A(config-if)#ip access-group 20 out
Router_A(config-if)#exit
//Opsi[out] pada bagian akhir perintah tersebut dimaksudkan untuk melewatkan paket keluar dari Router A tersebut.
//Untuk melihat konfigurasi access list
Router#show access-lists
Standard IP access list 10
permit 172.16.0.0 0.0.255.255 (5 match(es))
Standard IP access list 20
permit host 172.16.0.3 (4 match(es))
Konfigurasi Extended Access List
Untuk mengkonfigurasi Extended Access List sebenarnya tidak terlalu beda jauh dengan cara mengkonfigurasi Standard Access List. Perintah yang digunakan ada penambahan informasi tentang paket yang diijinkan atau ditolak.
Router(config)#access-list [acl number] {permit|deny} {protocol . .} ?
[/source]
[wild-card source net/host add] [destination net/host add] [wildcard dest net/host add] ?
// gunakan ‘?’ untuk melihat opsi selanjutnya
Contohnya:
Router_A(config)#access-list 100 permit tcp 172.16.0.0 0.0.255.255 192.168.100.3 0.0.0.0 eq telnet
Pada contoh perintah diatas, kita mengijinkan (permit) paket telnet dari semua host yang ada di jaringan 172.16.0.0 ke host 192.168.100.3. Angka [100] setelah perintah [access-list] merupakan pengenal bagi Extended Access List. Cara menerapkan Access List tersebut ke interface router juga tidak berbeda dengan penerapan Standard Access List. Cara menerapkan Access List tersebut ke interface router juga tidak berbeda dengan penerapan Standard Access List.
Router_A(config)#int f0/0
Router_A(config)#ip access-group 100 {out|in}
Kesimpulan
Berdasarkan simulasi standar dan extended ACL tersebut, setidaknya kita bisa menarik kesimpulan sederhana kawan. Pada standard ACL hanya menggunakan alamat source IP address dalam paket IP sebagai kondisi yang di test, sehingga ACL tidak dapat membedakan tipe dari traffic IP seperti WWW, UDP, dan telnet. Sedangkan pada Extended ACL, selain bisa mengevaluasi source address dan destination address extended ACL juga dapat mengevaluasi header layer 3 dan 4 pada paket IP. Nah, berikut adalah tugas besar dari ACL, baik jenis standar maupun extended, diantaranya:
Membatasi lalulintas jaringan dan menambah performa jaringan. Sebagai contoh, ACL yang membatasi lalulintas video dapat dengan baik mengurangi beban jaringan dan menambah performa jaringan.
Menyediakan kontrol aliran lalulintas. ACL dapat membatasi pengiriman update routing. Jika update tidak diperlukan disebabkan kondisi-kondisi jaringan, akanmenghemat bandwidth.
Menyediakan sebuah level dasar keamanan untuk akses jaringan. ACL dapat mengijinkan satu host untuk mengakses sebuah bagian dari jaringan dan mencegah host lain untuk mengakses area yang sama. Sebagai contoh, Host A diperbolehkan untuk mengakses jaringan Sumberdaya Manusia dan Host B dicegah untuk mengaksesnya.
Memutuskan jenis lalulintas yang dilewatkan atau diblok pada interface-interface router. ACL dapat mengijinkan pe-rute-an lalulintas e-mail, tapi mem-blok semua lalulintas telnet.
Mengontrol wilayah sebuah client mana yang dapat mengakses pada sebuah jaringan
Menyaring host-host untuk diperbolehkan atau ditolak mengakses ke sebuah segment jaringan. ACL dapat digunakan untuk memperbolehkan atau menolak seorang user untuk mengakses jenis-jenis file seperti FTP atau HTTP.
Terakhir sebagai penutup, jika ACL tidak dikonfigurasi pada router, semua paket-paket yang melewati router akan diperbolehkan untuk mengakses keseluruhan jaringan. Sudah tentu hal ini membahayakan jaringan internal apabila terkoneksi dengan jaringan internet.
Sumber
Penulis
