Pengenalan
Bagaimanapun juga salah satu kemampuan yang paling penting
dan dibutuhkan seorang administrator jaringan adalah
penguasaan access control list (ACL). Network designer
memakai firewall untuk melindungi jaringan dari pemakaian
yang tidak berwenang.
Zakky Muhammad
trafik dasar memakai ACL. Adminsitrator menggunakan ACL
untuk memberhentikan trafik atau hanya mengizinkan trafik
yang ditentukan pada jaringan mereka.
Sebuah ACL adalah sebuah daftar berurutan pernyataan izin
atau tolak yang berlaku untuk alamat-alamat atau protokol-
protokol upper-layer (layer atas). ACL menyediakan sebuah
cara yang ampuh untuk mengatur trafik masuk dan keluar pada
sebuah jaringan. ACL dapat dikonfigurasi untuk semua
protokol jaringan yang di-rute-kan.
Zakky Muhammad
Tujuan dari ACL
Zakky Muhammad
jaringan, ACL yang memblokir trafik video dapat
dikonfigurasi dan diterapkan. Hal ini akan mengurangi
beban jaringan dan meningkatkan kinerja jaringan.
2. Menyediakan kontrol arus trafik (flow control). ACL
dapat membatasi pengiriman pembaruan routing. Jika
pembaruan tidak dibutuhkan karena kondisi jaringan,
bandwith diawetkan.
3. Menyediakan sebuah tingkatan dasar keamanan untuk
akses jaringan. ACL dapat mengizinkan sebuah host
untuk mengakses sebuah bagian pada jaringan dan
mencegah host lain dari pengaksesan area yang sama.
Sebagai contoh, akses ke jaringan HRD dapat dibatasi
untuk user yang diberikan hak.
4. Memfilter trafik berdasarkan pada tipe trafik. Sebagai
contoh, sebuah ACL dapat mengizinkan trafik email,
tetapi memblokir semua trafik Telnet.
5. Menyaring host untuk mengizinkan atau menolak akses
layanan jaringan. ACL dapat mengizinkan atau menolak
sebuah user untuk mengakses jenis file, seperti FTP
atau HTTP.
Zakky Muhammad
terkonfigurasi, oleh karena itu, secara default sebuah router
tidak memfilter trafik. Trafik yang masuk ke router semata-
mata berdasarkan informasi dalam tabel routing.
Bagaimanapun juga, ketika sebuah ACL diterapkan pada
sebuah interface, router melakukan tugas tambahan yaitu
mengevaluasi semua paket jaringan seperti router melewati
interface untuk menentukan jika paket dapat direruskan.
Zakky Muhammad
ACL mengizinkan para administrator untuk mengontrol lalu
lintas baik ke dalam maupun keluar pada sebuah jaringan.
Kontrol ini dapat menjadi sederhana seperti mengizinkan atau
menolak lalu lintas jaringan berdasarkan alamat jaringan atau
dapat juga menjadi kompleks seperti mengontrol lalu lintas
jaringan berdasarkan port TCP yang di-request. Lebih mudah
untuk dipahaami bagaimana sebuah ACL mem-filter trafik
dengan menjelaskan dialog yang terjadi selama sebuah
percakapan TCP (TCP Conversation), seperti ketika me-request
halaman web.
Zakky Muhammad
Ketika sebuah klien me-request data dari sebuah web server, IP
mengelola komunikasi diantara PC(source) dan
Server(destination). TCP mengelola komunikasi diantara web
browser (application) dan software server jaringan.
Zakky Muhammad
data dari segmen ketika dia sampai. Proses TCP sangat banyak
seperti sebuah percakapan dimana dua node dalam sebuah
jaringan setuju untuk mengirimkan data diantara satu sama
lain.
Zakky Muhammad
ACK menyatakan bahwa transfer telah disinkronisasi. Segmen-
segmen data TCP berisi protokol level yang lebih tinggi yang
dibutuhkan untuk mengarahkan data aplikasi ke aplikasi yang
benar.
Zakky Muhammad
Packet Filtering
Jadi bagaimana ACL menggunakan informasi yang dilewatkan
selama percakapan TCP / IP untuk menyaring lalu lintas?
Zakky Muhammad
packet) mereka berdasarkan kriteria tertentu, seperti alamat IP
sumber, alamat IP tujuan, dan protokol dibawa dalam paket.
Zakky Muhammad
model OSI, atau pada lapisan internet TCP / IP.
Zakky Muhammad
Untuk mengevaluasi lalu lintas jaringan, ACL meng-ekstrak
informasi berikut dari paket header Layer 3 :
• Alamat IP sumber.
• Alamat IP tujuan.
• Jenis pesan ICMP.
ACL juga dapat meng-ekstrak informasi lapisan atas dari
header Layer 4, termasuk :
• Port sumber TCP/UDP.
• Port tujuan TCP/UDP.
Zakky Muhammad
Untuk memahami konsep bagaimana sebuah router
menggunakan paket filtering, bayangkan bahwa seorang
penjaga telah ditempatkan pada pintu yang terkunci. Instruksi
penjaga adalah hanya untuk mengizinkan orang yang namanya
muncul di daftar untuk melewati pintu. Penjaga menyaring
orang berdasarkan kriteria kepemilikan nama pada daftar
resmi. ACL bekerja dengan cara yang sama, membuat
keputusan berdasarkan kriteria yang ditetapkan.
Zakky Muhammad
Sebagai contoh, ACL dapat dikonfigurasi secara logis,
“Mengizinkan akses web ke user dari network A tetapi
menolak semua service lainnya ke user network A. Menolak
akses HTTP kepada user network B, tetapi mengizinkan user-
user network B untuk mempunyai semua akses lainnya”. Lihat
pada gambar untuk memeriksa jalur keputusan packet filter
digunakan untuk menyelesaikan tugas ini.
Operasi ACL
Zakky Muhammad
ACL mendefinisikan seperangkat aturan yang memberikan
kontrol tambahan untuk paket-paket yang masuk ke inbound
interface, paket-paket yang relay memalui router, dan paket-
paket yang keluar melalui outbound interface pada router. ACL
tidak akan bertindak apapun pada paket yang berasal dari
router itu sendiri.
Zakky Muhammad
paket tersebut dibuang. Jika paket diizinkan oleh tes,
lalu paket diproses untuk routing. Inbound ACLs paling
baik digunakan untuk menyaring paket-paket ketika
jaringan melekat pada inbound interface adalah satu-
satunya sumber paket yang dibutuhkan untuk diperiksa.
• Outbound ACLs – Paket yang masuk diarahkan ke
outbound interface, kemudian diproses melalui
outbound ACL. Outbound ACL paling baik digunakan
ketika filter yang sama akan diterapkan untuk paket
yang datang dari beberapa inbound interface sebelum
keluar melalui outbound interface yang sama.
Pernyataan terakhir dari ACL selalu mutlak menolak.
Pernyataan ini dimasukkan secara otomatis di akhir pada
masing-masing ACL meskipun tidak ada secara fisik.
Penolakan secara implisit memblokir semua lalu lintas. Karena
pada penolakan secara implisit ini, ACL yang tidak mempunyai
sedikitnya satu pernyataan izin akan memblokir semua lalu
lintas.
Zakky Muhammad
• Standard ACLs – dapat dipakai untuk mengizinkan
atau menolak lalu lintas hanya dari alamat IPV4
sumber. Tujuan pada paket dan port yang terlibat tidak
dievaluasi. Contoh pada gambar 1 mengizinkan semua
lalu lintas dari network 192.168.30.0/24. Karena tersirat
“deny any” di akhir, semua lalu lintas lain diblokir oleh
ACL ini. ACLs Standard dibuat pada global
configuration mode.
Zakky Muhammad
• Extended ACLs – menyaring paket IPV4 berdasarkan
beberapa atribut :
◦ Tipe protokol
◦ Alamat IPV4 sumber
◦ Alamat IPV4 tujuan
◦ Port TCP atau UDP sumber
◦ Port TCP atau UDP tujuan
◦ Informasi jenis protokol opsional untuk kontrol
yang lebih bagus.
Pada gambar 2, ACL 102 mengizinkan lalu lintas berasal dari
alamat manapun pada network 192.168.30.0/24 ke network
IPV4 manapun jika port pada host tujuan adalah 80(HTTP).
Extended ACLs dibuat pada global configuration mode.
Zakky Muhammad
Penomoran dan Penamaan ACLs
Zakky Muhammad
sebuah nomor tidak menyediakan informasi tentang tujuan
pada ACL. Untuk alasan ini, memulai dengan Cisco IOS Rilis
11.2, nama dapat dipakai untuk mengidentifikasi sebuah ACL.
Zakky Muhammad