Nama : Wardah Lucianna Suhalim
Kelas : O1
Dosen : Anjik Sukmaaji, S.Kom, M.Eng
Accesslist Aplication
ACL
adalah daftar kondisi yang digunakan untuk mengetes trfaik jaringan yang
mencoba melewati interface router. Daftar ini memberitahu router paket-paket
mana yang akan diterima atau ditolak. Penerimaan dan penolakan berdasarkan
kondisi tertentu.
Untuk mem-filter trafik jaringa, ACL menentukan jika
paket itu dilewatkan atau diblok pada interface router. Router ACL membuat
keputusan berdasarkan alamat asal, alamat tujuan, protokol, dan nomor port.
ACL
harus didefinisikan berdasarkan protokol, arah atau port. Untuk mengontrol
aliran trafik pada interface, ACL harus didefinisikan setiap protokol pada
interface. ACL kontrol trafik pada satu arah dalam interface. Dua ACL terpisah
harus dibuat untuk mengontrol trafik inbound dan outbound. Setiap interface
boleh memiliki banyak protokol dan arah yang sudah didefinisikan. Jika router
mempunyai dua interface diberi IP, AppleTalk dan IPX, maka dibutuhkan 12 ACL.
Minimal harus ada satu ACL setiap interface. Berikut ini adalah fungsi dari
ACL:
1. Membatasi trafik jaringan dan meningkatkan unjuk kerja
jaringan. Misalnya, ACL memblok trafik video, sehingga dapat menurunkan beban
jaringan dan meningkatkan unjuk kerja jaringan.
2. Mengatur aliran trafik. ACL mampu memblok update
routing. Jika update tidak dibutuhkan karena kondisi jaringan, maka bandwidth
dapat dihemat.
3. Mampu membrikan dasar keamanan untuk akses ke
jaringan. Misalnya, host A tidak diijinkan akses ke jaringan HRD dan host B
diijinkan.
4. Memutuskan jenis trafik mana yang akan dilewatkan atau
diblok melalui interface router. Misalnya, trafik email dilayani, trafik telnet
diblok.
5. Mengontrol daerah-daerah dimana klien dapat mengakses
jaringan.
6. Memilih host-hots yang diijinkan atau diblok akses ke
segmen jaringan. Misal, ACL mengijinkan atau memblok FTP atau HTTP.
Cara Kerja ACL
Keputusan dibuat berdasarkan pernyataan/statement
cocok dalam daftar akses dan kemudian menerima atau menolak sesuai apa yang
didefinisikan di daftar pernyataan. Perintah dalam pernyataan ACL adalah sangat
penting, kalau ditemukan pernyataan yang cocok dengan daftar akses, maka router
akan melakukan perintah menerima atau menolak akses.
Pada saat frame masuk ke interface, router memeriksa
apakah alamat layer 2 cocok atau apakah frame broadcast. Jika alamat frame
diterima, maka informasi frame ditandai dan router memeriksa ACL pada interface
inbound. Jika ada ACL, paket diperiksa lagi sesuai dengan daftar akses. Jika
paket cocok dengan pernyataan, paket akan diterima atau ditolak. Jika paket
diterima di interface, ia akan diperiksa sesuai dengan table routing untuk
menentukan interface tujuan dan di-switch ke interface itu. Selanjutnya router
memriksa apakah interface tujuan mempunyai ACL. Jika ya, paket diperiksa sesuai
dengan daftar akses. Jika paket cocok dengan daftar akses, ia akan diterima
atau ditolak. Tapi jika tidak ada ACL paket diterima dan paket dienkapsulasi di
layer 2 dan di-forward keluar interface device berikutnya.
Membuat ACL
Ada dua tahap untuk membuat ACL. Tahap pertama masuk
ke mode global config kemudian memberikan perintah access-list dan
diikuti dengan parameter-parameter. Tahap kedua adalah menentukan ACL ke
interface yang ditentukan.
Dalam
TCP/IP, ACL diberikan ke satu atau lebih interface dan dapat memfilter trafik
yang masuk atau trafik yang keluar dengan menggunakan perintah ip
access-group pada mode configuration interface. Perintah access-group dikeluarkan
harus jelas dalam interface masuk atau keluar. Dan untuk membatalkan perintah
cukup diberikan perintah no access-list list-number.
Aturan-aturan
yang digunakan untuk membuat access list :
1. Harus memiliki satu access list per protokol per arah.
2. Standar access list harus diaplikasikan ke tujuan
terdekat.
3. Extended access list harus harus diaplikasikan ke asal
terdekat.
4. Inbound dan outbound interface harus dilihat dari port
arah masuk router.
5. Pernyataan akses diproses secara sequencial dari atas
ke bawah sampai ada yang cocok. Jika tidak ada yang cocok maka paket ditolak
dan dibuang.
6. Terdapat pernyataan deny any pada akhir access
list. Dan tidak kelihatan di konfigurasi.
7. Access list yang dimasukkan harus difilter dengan
urutan spesifik ke umum. Host tertentu harus ditolak dulu dan grup atau umum
kemudian.
8. Kondisi cocok dijalankan dulu. Diijinkan atau ditolak
dijalankan jika ada pernyataan yang cocok.
9. Tidak pernah bekerja dengan access list yang dalam
kondisi aktif.
10. Teks editor harus digunakan untuk membuat komentar.
11. Baris baru selalu ditambahkan di akhir access list.
Perintah no access-list x akan menghapus semua daftar.
12. Access list berupa IP akan dikirim sebagai pesan ICMP
host unreachable ke pengirim dan akan dibuang.
13. Access list harus dihapus dengan hati-hati. Beberapa
versi IOS akan mengaplikasikan default deny any ke interface dan semua trafik
akan berhenti.
14. Outbound filter tidak akan mempengaruhi trafik yang
asli berasal dari router local.
Fungsi dari wildcard mask
Wildcard mask panjangnya 32-bit yang dibagi menjadi
empat octet. Wildcard mask adalah pasangan IP address. Angka 1 dan 0 pada mask
digunakan untuk mengidentifikasikan bit-bit IP address. Wildcard mask mewakili
proses yang cocok dengan ACL mask-bit. Wildcard mask tidak ada hubungannya
dengan subnet mask.
Wildcard mask dan
subnet mask dibedakan oleh dua hal. Subnet mask menggunakan biner 1 dan 0 untuk
mengidentifikasi jaringan, subnet dan host. Wildcard mask menggunakan biner 1
atau 0 untuk memfilter IP address individual atau grup untuk diijinkan atau
ditolak akses. Persamaannya hanya satu dua-duanya sama-sama 32-bit.
Ada dua kata kunci di sini yaitu any
dan host. Any berarti mengganti 0.0.0.0 untuk IP address dan
255.255.255.255 untuk wildcard mask. Host berarti mengganti 0.0.0.0
untuk mask. Mask ini membutuhkan semua bit dari alamat ACL dan alamat paket
yang cocok. Opsi ini akan cocok hanya untuk satu alamat saja.
Tidak ada komentar:
Posting Komentar