Access-List. Oleh : Akhmad Mukhammad

Transkripsi

1 Access-List Oleh : Akhmad Mukhammad

2 Objektif Menjelaskan bagaimana cara kerja Access Control List (ACL) Mengkonfigurasi ACL standard. Mengkonfigurasi ACL extended.

3 ACL ACL digunakan untuk : 1. Mengontrol jalannya trafik data dalam network 2. Mem-filter paket-paket yang melewati router ACL : 1. Sekumpulan list-list yang berisi kondisi-kondisi untuk diterapkan pada trafik yang melewati interface router. 2. List ini menginstruksikan router paket mana saja yang akan di accept atau deny. 3. Accept atau deny dapat berdasarkan kondisi-kondisi tertentu, contoh: Address source dan atau destination Protokol yang digunakan Nomor port yang di akses Beberapa alasan menggunakan ACL : 1. Membatasi trafik tertentu sehingga meningkatkan performa network 2. Menyediakan kontrol trafik 3. Menentukan tipe trafik yang boleh lewat dan yang di blok pada interface router 4. Misal : mengijinkan trafik dan mem-blok trafik telnet 5. Tanpa ACL, semua paket bisa melewati router bebas hambatan.

4 ACL Tipe Paket datang Paket keluar Standard Cek IP address source nya saja, cek siapa pengirim paket tersebut Permit atau deny jenis protokol apapun, trafik jenis apapun akan di permit atau deny. Nomor range : 1 99, Extended Cek IP address source (pengirim) dan destination (penerima) Permit atau deny jenis protokol spesifik. Hanya trafik tertentu yang di permit atau deny. Nomor range : , Named Bisa termasuk ACL standard atau Extended. Identifier menggunakan nama, bukan angka.

5 ACL Wildcard Mask bit yang di tuliskan dalam bentuk dotted-decimal. 2. Merupakan inverse dari netmask. Bit 0 harus match dengan bit pada address-nya. Bit 1 ignore, terserah mau sama atau tidak Wildcard Mask Match Match Match x dengan nilai x terserah (0-255) Match x.y dengan nilai x dan y terserah (0-255) Match x, nilai x = Sama dengan IP dengan netmask

6 ACL Host & Any host Any 1. Wildcard mask : Cek semua bit address, semua harus match. 3. Contoh : Address : Wildcard mask : Semua bit harus match dengan Result = Dapat disingkat dengan keyword host. permit host Wildcard mask : Cek semua bit address, terserah match atau tidak (ignore) 3. Contoh : Address : Wildcard mask Semua bit tidak harus match dengan Result = terserah. 4. Dapat disingkat dengan keyword any permit any

7 ACL Panduan Konfigurasi 1. Nomor ACL menunjukkan protokol (suite) apa yang akan di filter. TCP/IP atau IPX, dst 2. 1 ACL 1 jenis protokol 1 Interface 1 arah (in/out) 3. Urutan statement ACL menunjukkan urutan testing kecocokan (matching). Statement paling atas akan dibaca terlebih dahulu. 4. Statement paling spesifik harus ditaruh pada urutan paling atas. 5. Pada akhir list selalu ada implisit deny, jadi untuk setiap ACL minimal harus ada 1 statement permit. 6. ACL harus dibuat sebelum di apply ke interface. 7. ACL memfilter trafik yang melalui router, bukan trafik yang dihasilkan oleh router.

8 ACL Config Standard Paket datang (inbound) Paket keluar (outbound) Router(config)# access-list nomor-access-list {permit deny remark} source [mask] 1. Standard ACL untuk IP menggunakan nomor-access-list 1 sampai Wildcard mas default = (host) 3. Remarks untuk memberi deskripsi ACL 4. Source mengindikasikan IP address source (pengirim). Router(config)# no access-list nomor-access-list Menghapus ACL Router(config-if)# ip access-group nomor-access-list {in out} 1. Aktifkan ACL pada interface 2. Tentukan arah filtering, inbound (in) atau outbound (out) 3. Standard ACL sebaiknya di apply pada interface paling dekat dengan network tujuan. Router(config-if)# no ip access-group nomor-access-list Menon-aktifkan ACL dari sebuah interface

9 ACL Config Standard Blok akses network B menuju network server. R1(config)#access-list 1 permit Dengan membuat ACL yang memberikan permit pada network A saja, maka network B akan otomatis di blok karena ada statement implicit deny all di setiap ACL, yang berarti deny semua trafik selain trafik yang telah di permit di atas. R1(config)#interface f1/0 R1(config-if)#ip access-group 1 out Interface fastethernet 1/0 merupakan interface terdekat dengan network tujuan (network server). Arahnya adalah out karena arah trafik akses adalah menuju network server.

10 ACL Config Standard ACL Blok akses hanya user PC1 menuju network server. R1(config)#access-list 5 deny host R1(config)#access-list 5 permit any 1. Statement pertama menunjukkan user PC1 akan di deny 2. Statement kedua mengindikasikan trafik selain dari statement diatas akan di permit 3. Tanpa statement kedua, semua trafik akan di deny, karena ada implicit deny all di setiap akhir ACL. R1(config)#interface f1/0 R1(config-if)#ip access-group 1 out Interface fastethernet 1/0 merupakan interface terdekat dengan network tujuan (network server). Arahnya adalah out karena arah trafik akses adalah menuju network server.

11 ACL Config Extended Extended ACL 1. Lebih sering digunakan karena menyediakan kontrol trafik yang lebih advance 2. Filtering berdasarkan address pengirim (source) dan penerima (destination) dan juga mengecek protokol dan nomor port jika diperlukan. 3. Kontrol jenis trafik yang di filter bisa lebih spesifik dengan tambahan pengecekan nomor port trafik TCP maupun UDP. 4. Operasi logik bisa ditentukan seperti : 1. Tidak sama dengan (not equal) neq 2. Sama dengan (equal) eq 3. Lebih besar dari (greater than) gt 4. Lebih kecil dari (less than) lt 5. Menggunakan nomor-access-list :

12 ACL Config Extended Router(config)# access-list nomor-access-list {permit deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log] nomor-access-list adalah identifier ACL bernilai , Protocol OSPF EIGRP ICMP IP TCP UDP Dan lain-lain Operator eq, neq, lt, gt. Port nomor port Router(config-if)# ip access-group nomor-access-list {in out} 1. Aktifkan ACL pada interface 2. Tentukan arah filtering, inbound (in) atau outbound (out) 3. Standard ACL sebaiknya di apply pada interface paling dekat dengan network pengirim.

13 ACL Config Extended PC User tidak boleh mengakses servis web (http port 80) pada mesin WEB R1(config)#access-list 101 deny tcp host host eq www R1(config)#access-list 101 permit ip any any www disini merupakan nama lain dari port 80 di cisco R1(config)#int f0/1 R1(config-if)#ip access-group 101 in Interface fastethernet 1/0 merupakan interface terdekat dengan network tujuan (network server). Arahnya adalah out karena arah trafik akses adalah menuju network server.

14 ACL Named ACL Named ACL mulai ada pada Cisco IOS release 11.2, dapat digunakan untuk konfigurasi ACL standard maupun extended dengan menggunakan nama, bukan nomor. Karakteristik : ACL di identifikasi dengan sebuah nama Jadi lebih mewakili daripada menggunakan angka. Tidak boleh diawali dengan angka dan karakter-karakter aneh lain. Tidak boleh ada spasi Tidak boleh menggunakan karakter? Nama case sensitive, ACL akses berbedan dengan ACL akses. Setiap statement dapat dihapus Harus ditentukan apakah standard atau extended saat membuat. Gunakan perintah ip access-list untuk membuat Named ACL. Router(config)# ip access-list {standard extended} name Nama harus unik, setelah ini user akan masuk ke konfigurasi ACL.

15 ACL Named ACL PC User tidak boleh mengakses servis web (http port 80) pada mesin WEB R1(config)#ip access-list extended block_web R1(config-ext-nacl)#deny tcp host host eq 80 R1(config-ext-nacl)#permit ip any any R1(config)#int f0/1 R1(config-if)#ip access-group block_web in

16 ACL Verifikasi R1#show access-lists Menampilkan semua ACL dan parameter mereka pada router. R1#show access-lists block_web Menampilkan parameter ACL block_web R1#show ip access-lists Menampilkan konfigurasi IP access list pada router R1#sh ip interface f0/1 Menampilkan informasi interface, bisa dilihat apakah ada ACL yang di apply atau tidak

17 Terima Kasih