ACL

(Access Control List)

Pengenalan
Bagaimanapun juga salah satu kemampuan yang paling penting
dan dibutuhkan seorang administrator jaringan adalah
penguasaan access control list (ACL). Network designer
memakai firewall untuk melindungi jaringan dari pemakaian
yang tidak berwenang.

Firewall adalah solusi hadware atau software yang

menegakkan kebijakan keamanan jaringan. Anggap saja sebuah
kunci pada sebuah pintu yang ada dalam sebuah ruangan yang
berada dalam sebuah bangunan. Kunci tersebut hanya
mengizinkan pemakai yang berwenang dengan sebuah kunci
atau kartu akses untuk melewati sebuah pintu. Miripnya,
sebuah firewall memfilter paket-paket yang tidak berwenang
atau berpotensi berbahaya untuk memasuki jaringan.

Dalam sebuah router cisco, kita dapat mengkonfigarasi sebuah

firewall sederhana yang menyediakan kemampuan filtering

Zakky Muhammad
trafik dasar memakai ACL. Adminsitrator menggunakan ACL
untuk memberhentikan trafik atau hanya mengizinkan trafik
yang ditentukan pada jaringan mereka.
Sebuah ACL adalah sebuah daftar berurutan pernyataan izin
atau tolak yang berlaku untuk alamat-alamat atau protokol-
protokol upper-layer (layer atas). ACL menyediakan sebuah
cara yang ampuh untuk mengatur trafik masuk dan keluar pada
sebuah jaringan. ACL dapat dikonfigurasi untuk semua
protokol jaringan yang di-rute-kan.

Alasan paling penting untuk mengkonfigurasi ACL adalah

untuk menyediakan keamanan pada sebuah jaringan. Pada
bagian ini akan menjelaskan bagaimana memakai ACL
standard dan extended pada sebuah router Cisco sebagai
sebuah solusi keamanan.

Zakky Muhammad
Tujuan dari ACL

Sebuah ACL adalah sebuah seri pada perintah IOS yang

mengatur apakah sebuah router meneruskan atau membuang
paket-paket berdasarkan informasi yang ditemukan dalam
sebuah header paket. ACL adalah diantara fitur yang paling
umum digunakan pada software Cisco IOS.

Ketika dikonfigurasi, ACL melakukan tugas-tugas berikut :

1. Membatasi trafik jaringan untuk meningkatkan
performa jaringan. Sebagai contoh, jika kebijakan
perusahaan tidak mengizinkan trafik video pada

Zakky Muhammad
 jaringan, ACL yang memblokir trafik video dapat
dikonfigurasi dan diterapkan. Hal ini akan mengurangi
beban jaringan dan meningkatkan kinerja jaringan.
2. Menyediakan kontrol arus trafik (flow control). ACL
dapat membatasi pengiriman pembaruan routing. Jika
pembaruan tidak dibutuhkan karena kondisi jaringan,
bandwith diawetkan.
3. Menyediakan sebuah tingkatan dasar keamanan untuk
akses jaringan. ACL dapat mengizinkan sebuah host
untuk mengakses sebuah bagian pada jaringan dan
mencegah host lain dari pengaksesan area yang sama.
Sebagai contoh, akses ke jaringan HRD dapat dibatasi
untuk user yang diberikan hak.
4. Memfilter trafik berdasarkan pada tipe trafik. Sebagai
contoh, sebuah ACL dapat mengizinkan trafik email,
tetapi memblokir semua trafik Telnet.
5. Menyaring host untuk mengizinkan atau menolak akses
layanan jaringan. ACL dapat mengizinkan atau menolak
sebuah user untuk mengakses jenis file, seperti FTP
atau HTTP.

Secara default, sebuah router tidak mempunyai ACL yang

Zakky Muhammad
terkonfigurasi, oleh karena itu, secara default sebuah router
tidak memfilter trafik. Trafik yang masuk ke router semata-
mata berdasarkan informasi dalam tabel routing.
Bagaimanapun juga, ketika sebuah ACL diterapkan pada
sebuah interface, router melakukan tugas tambahan yaitu
mengevaluasi semua paket jaringan seperti router melewati
interface untuk menentukan jika paket dapat direruskan.

Sebagai tambahan selain mengizinkan atau menolak trafik,

ACL dapat dipakai untuk menyeleksi tipe lalu lintas untuk
dianalisa, diteruskan, atau diproses dengan cara lain. Sebagai
contoh, ACL dapat dipakai untuk mengklasifikasikan lalu lintas
untuk menghidupkan pemrosesan prioritas. Kemampuan ini
mirip seperti memiliki tiket VIP pada sebuah konser atau event
olahraga. Tiket VIP memberikan tamu yang dipilih untuk
mempunyai hak istimewa dan tidak ditawarkan pada pemegang
tiket masuk umum, seperti masuknya prioritas atau
memungkinkannya untuk masuk dalam sebuah area terbatas.

Gambar diatas menunjukkan sebuah contoh topologi yang

menerapkan ACL.

Zakky Muhammad
ACL mengizinkan para administrator untuk mengontrol lalu
lintas baik ke dalam maupun keluar pada sebuah jaringan.
Kontrol ini dapat menjadi sederhana seperti mengizinkan atau
menolak lalu lintas jaringan berdasarkan alamat jaringan atau
dapat juga menjadi kompleks seperti mengontrol lalu lintas
jaringan berdasarkan port TCP yang di-request. Lebih mudah
untuk dipahaami bagaimana sebuah ACL mem-filter trafik
dengan menjelaskan dialog yang terjadi selama sebuah
percakapan TCP (TCP Conversation), seperti ketika me-request
halaman web.

Zakky Muhammad
Ketika sebuah klien me-request data dari sebuah web server, IP
mengelola komunikasi diantara PC(source) dan
Server(destination). TCP mengelola komunikasi diantara web
browser (application) dan software server jaringan.

Ketika anda mengirim sebuah email, lihat pada sebuah

halaman web, atau download sebuah file, TCP bertanggung
jawab untuk memecah data ke dalam segmen-segmen untuk IP
sebelum mereka dikirim. TCP juga mengelola penggabungan

Zakky Muhammad
data dari segmen ketika dia sampai. Proses TCP sangat banyak
seperti sebuah percakapan dimana dua node dalam sebuah
jaringan setuju untuk mengirimkan data diantara satu sama
lain.

TCP menyediakan sebuah layanan bersifat connection-oriented,

handal, dan byte stream. Connection-oriented berarti harus
membangun sebuah koneksi TCP sebelum menukarkan data.
TCP adalah protokol full-duplex, yang berarti bahwa koneksi
TCP mendukung sepasang byte stream, masing-masing stream
mengalir satu arah. TCP mempunyai mekanisme flow-control
untuk masing-masing byte stream yang mengizinkan penerima
untuk membatasi seberapa banyak pengirim dapat
mengirimkan. TCP juga mengimplementasikan sebuah
mekanisme congestion-control.

Pada gambar diatas mengilustrasikan bagaimana sebuah

percakapan TCP/IP berlangsung. Segmenp-segmen TCP
ditandai dengan flags yang menunjukkan tujuan mereka :
sebuah SYN memulai (mensinkronisasi) session; sebuah ACK
adalah sebuah pengakuan bahwa segmen yang diharapkan telah
diterima, dan sebuah FIN menyelesaikan session. Sebuah SYN/

Zakky Muhammad
ACK menyatakan bahwa transfer telah disinkronisasi. Segmen-
segmen data TCP berisi protokol level yang lebih tinggi yang
dibutuhkan untuk mengarahkan data aplikasi ke aplikasi yang
benar.

Segment data TCP juga mengidentifikasi port yang sesuai

dengan layanan yang diminta. Sebagai contoh, HTTP adalah
port 80, SMTP adalah port 25 dan FTP adalah port 20 dan 21.

Zakky Muhammad
Packet Filtering
Jadi bagaimana ACL menggunakan informasi yang dilewatkan
selama percakapan TCP / IP untuk menyaring lalu lintas?

Packet filtering, kadang-kadang disebut static packet filtering,

mengontrol akses ke jaringan dengan menganalisis paket
masuk dan keluar dan melewatkan atau menjatuhkan(drop

Zakky Muhammad
packet) mereka berdasarkan kriteria tertentu, seperti alamat IP
sumber, alamat IP tujuan, dan protokol dibawa dalam paket.

Sebuah router bertindak sebagai filter paket saat router

meneruskan atau menolak paket sesuai dengan aturan
penyaringan. Ketika sebuah paket tiba di router packet-
filtering, router mengekstrak informasi tertentu dari header
paket. Dengan menggunakan informasi ini, router membuat
keputusan berdasarkan aturan filter yang dikonfigurasi, apakah
paket dapat melewati atau dibuang. Seperti terlihat pada
gambar, packet filtering dapat bekerja di berbagai lapisan

Zakky Muhammad
model OSI, atau pada lapisan internet TCP / IP.

Sebuah router packet-filtering menggunakan aturan untuk

menentukan apakah akan mengizinkan atau menolak lalu
lintas. Sebuah router juga dapat melakukan packet filtering
pada Layer 4, lapisan transport. Router dapat menyaring paket
berdasarkan port sumber dan port tujuan dari TCP atau UDP
segmen. Aturan-aturan ini didefinisikan menggunakan ACL.

ACL adalah daftar berurutan izin atau tolak suatu pernyataan,

yang dikenal sebagai access control entries (ACEs). ACEs juga
sering disebut pernyataan ACL. ACES dapat dibuat untuk
menyaring lalu lintas berdasarkan kriteria tertentu seperti:
alamat sumber, alamat tujuan, protokol, dan nomor port. Ketika
lalu lintas jaringan melewati sebuah interface yang
terkonfigurasi dengan ACL, router membandingkan informasi
dalam paket terhadap masing-masing ACE, secara berurutan,
untuk menentukan apakah paket tersebut cocok dengan salah
satu pernyataan. Jika kecocokan ditemukan, paket akan
diproses sesuai dengan ACE. Dengan cara ini, ACL dapat
dikonfigurasi untuk mengontrol akses ke jaringan atau subnet.

Zakky Muhammad
Untuk mengevaluasi lalu lintas jaringan, ACL meng-ekstrak
informasi berikut dari paket header Layer 3 :
• Alamat IP sumber.
• Alamat IP tujuan.
• Jenis pesan ICMP.
ACL juga dapat meng-ekstrak informasi lapisan atas dari
header Layer 4, termasuk :
• Port sumber TCP/UDP.
• Port tujuan TCP/UDP.

Contoh Paket Filtering

Zakky Muhammad
Untuk memahami konsep bagaimana sebuah router
menggunakan paket filtering, bayangkan bahwa seorang
penjaga telah ditempatkan pada pintu yang terkunci. Instruksi
penjaga adalah hanya untuk mengizinkan orang yang namanya
muncul di daftar untuk melewati pintu. Penjaga menyaring
orang berdasarkan kriteria kepemilikan nama pada daftar
resmi. ACL bekerja dengan cara yang sama, membuat
keputusan berdasarkan kriteria yang ditetapkan.

Zakky Muhammad
Sebagai contoh, ACL dapat dikonfigurasi secara logis,
“Mengizinkan akses web ke user dari network A tetapi
menolak semua service lainnya ke user network A. Menolak
akses HTTP kepada user network B, tetapi mengizinkan user-
user network B untuk mempunyai semua akses lainnya”. Lihat
pada gambar untuk memeriksa jalur keputusan packet filter
digunakan untuk menyelesaikan tugas ini.

Untuk skenario ini, paket filter melihat pada masing-masing

paket sebagai berikut :
• Jika paket adalah sebuah TCP SYN dari Network A
memakai Port 80, paket tersebut diizinkan untuk lewat.
Semua akses selain itu ditolak untuk user pada Network
tersebut.
• Jika paket adalah TCP SYN dari Network B memakai
Port 80, maka paket tersebut diblokir. Namun, akses
selain itu diizinkan.
Ini hanya sebuah contoh sederhana. Beberapa aturan dapat
dikonfigurasi lebih lanjut untuk menginzikan atau menolak
service-service kepada user tertentu.

Operasi ACL

Zakky Muhammad
ACL mendefinisikan seperangkat aturan yang memberikan
kontrol tambahan untuk paket-paket yang masuk ke inbound
interface, paket-paket yang relay memalui router, dan paket-
paket yang keluar melalui outbound interface pada router. ACL
tidak akan bertindak apapun pada paket yang berasal dari
router itu sendiri.

ACL dikonfigurasi untuk berlaku pada inbound trafik atau

berlaku pada outbound trafik seperti yang ditunjukkan pada
gambar.
• Inbound ACLs – Paket yang masuk diproses sebelum
diarahkan ke outbound interface. Inbound ACL efisien
karena menghemat overhead pada pencarian rute jika

Zakky Muhammad
 paket tersebut dibuang. Jika paket diizinkan oleh tes,
lalu paket diproses untuk routing. Inbound ACLs paling
baik digunakan untuk menyaring paket-paket ketika
jaringan melekat pada inbound interface adalah satu-
satunya sumber paket yang dibutuhkan untuk diperiksa.
• Outbound ACLs – Paket yang masuk diarahkan ke
outbound interface, kemudian diproses melalui
outbound ACL. Outbound ACL paling baik digunakan
ketika filter yang sama akan diterapkan untuk paket
yang datang dari beberapa inbound interface sebelum
keluar melalui outbound interface yang sama.
Pernyataan terakhir dari ACL selalu mutlak menolak.
Pernyataan ini dimasukkan secara otomatis di akhir pada
masing-masing ACL meskipun tidak ada secara fisik.
Penolakan secara implisit memblokir semua lalu lintas. Karena
pada penolakan secara implisit ini, ACL yang tidak mempunyai
sedikitnya satu pernyataan izin akan memblokir semua lalu
lintas.

Jenis ACLs IPV4

Dua jenis ACLs IPV4 ada dua yaitu standard dan extended.

Zakky Muhammad
• Standard ACLs – dapat dipakai untuk mengizinkan
atau menolak lalu lintas hanya dari alamat IPV4
sumber. Tujuan pada paket dan port yang terlibat tidak
dievaluasi. Contoh pada gambar 1 mengizinkan semua
lalu lintas dari network 192.168.30.0/24. Karena tersirat
“deny any” di akhir, semua lalu lintas lain diblokir oleh
ACL ini. ACLs Standard dibuat pada global
configuration mode.

Zakky Muhammad
 • Extended ACLs – menyaring paket IPV4 berdasarkan
beberapa atribut :
◦ Tipe protokol
◦ Alamat IPV4 sumber
◦ Alamat IPV4 tujuan
◦ Port TCP atau UDP sumber
◦ Port TCP atau UDP tujuan
◦ Informasi jenis protokol opsional untuk kontrol
yang lebih bagus.
Pada gambar 2, ACL 102 mengizinkan lalu lintas berasal dari
alamat manapun pada network 192.168.30.0/24 ke network
IPV4 manapun jika port pada host tujuan adalah 80(HTTP).
Extended ACLs dibuat pada global configuration mode.

Zakky Muhammad
Penomoran dan Penamaan ACLs

ACLs Standard dan Extended dapat dibuat baik memakai

nomor atau nama untuk mengidentifikasi ACL dan daftar
pernyataannya.

Memakai ACL bernomor adalah sebuah cara efektif untuk

penentuan tipe ACL pada jaringan yang lebih kecil dengan
trafik yang didefinisikan lebih homogen. Bagaimanapun juga,

Zakky Muhammad
sebuah nomor tidak menyediakan informasi tentang tujuan
pada ACL. Untuk alasan ini, memulai dengan Cisco IOS Rilis
11.2, nama dapat dipakai untuk mengidentifikasi sebuah ACL.

Gambar diatas meringkas aturan untuk menetapkan ACL

menggunakan nomor dan ACL menggunakan nama.

Mengenai ACLs yang menggunakan nomor, nomor 200 s/d

1299 dilewati karena nomor-nomor tersebut dipakai oleh
protokol lain, banyak diantaranya adalah warisan atau sudah
usang. Contoh nomor protokol ACL warisan adalah 600 s/d
699 dipakai oleh AppleTalk dan nomor 800 s/d 899 dipakai
oleh IPX.

Zakky Muhammad