Access-list

Ada dua buah tipe access list:

1. Standard access-list
hanya mampu men-deny/permit source ip address saja. Tujuan dari paket dan port tidak diperhitungkan.

Contoh:
Izinkan semua trafik dari jaringan 192.168.30.0/24. 

access-list 10 permit 192.168.30.0 0.0.0.255

Karena adanya implied "deny any" di akhir access-list, maka semua trafik yang lain di blok oleh karena access-list ini.

Standar access-list dibuat di global configuration mode.

2. Extended

ACL extended menyaring paket IP berdasarkan beberapa atribut, contohnya tipe protokol (IP, ICMP, UDP, TCP atau nomor protokol), alamat IP source, alamat IP penerima/tujuan, port TCP source, port UDP source, port tujuan TCP, port tujuan UDP.

1. bisa men-deny/permit source ip address dan alamat destinasi IP
2. filtering paket pada level port

ACL-2

Kendali ACL dapat sesederhana permitting alamat network atau alamat jaringan, atau kontrol berdasarkan port TCP yang digunakan.

Untuk mengerti bagaimana ACL bekerja dengan TCP, mari kita melihat pada pembicaraan (dialogue) yang muncul sepanjang konversasi TCP ketika kamu mendownload sebuah halaman web ke komputermu.

Ketika kamu mengirimkan permintaan data dari sebuah server web, IP mengatur komunikasi antara PC dan si server. TCP mengatur komunikasi antara software web browser mu dan software server network.

Ketika kamu mengirim e-mail, membaca sebuah halaman web, atau mengunduh file, TCP bertanggung jawab untuk memecah data menjadi paket-paket untuk IP sebelum paket itu dikirimkan, dan untuk menyatukan (assembling) data dari paket-paket terpisah ketika paket itu datang.

Ingat lagi bahwa TCP menyediakan sebuah layanan connection-oriented, reliable, byte stream. Istilah connection-oriented berarti bahwa 2 aplikasi menggunakan TCP harus mendirikan sebuah koneksi TCP satu dengan yang lain sebelum mereka dapat melakukan tukar menukar data.

TCP adalah protokol full-duplex, yang artinya setiap koneksi TCP mendukung sepasang stream byte, satu stream mengalir ke satu arah. TCP mencakup sebuah mekanisme pengatur aliran (flow-control) untuk setiap stream byte yang memungkinkan si penerima membatasi berapa banyak data si pengirim dapat kirimkan. TCP juga mengimplementasikan sebuah mekanisme kontrol kongesti.


Packet filtering (Penyaringan paket)

Paket filtering kadang disebut paket filtering statik, mengatur akses ke sebuah jaringan dengan cara menganalisa berdasarkan kriteria untuk paket yang masuk dan paket yang keluar dan menghentikan atau melewatkan mereka.

Sebuah ruter bertindak sebagai sebuah penyaring (filter) paket ketika ruter itu meneruskan atau menghentikan paket-paket berdasarkan aturan penyaringan (filtering rules).

Ketika sebuah ruter tiba pada ruter penyaring-paket, ruter itu mengambil informasi tertentu dari header paket (kemana alamat tujuan, dari siapa, ke port tujuan berapa) dan membuat keputusan tergantung dari rule-rule filter dengan maksud apakah paket bisa lewat atau dibuang (discarded).

Penyaringan paket bekerja pada layer network dari model OSI.

Sebagai sebuah perangkat layer 3, ruter penyaring paket menggunakan rules untuk menentukan apakah memperbolehkan atau menolak paket berdasarkan pada alamat IP sumber dan tujuan, port sumber dan port tujuan, dan protokol paket. Aturan-aturan ini didefenisikan dengan menggunakan access control list atau ACL.

Ingat kembali bahwa ACL adalah list berurut dari pernyataan permit dan deny yang beraplikasi ke alamat IP dan protokol-protokol layer atas. ACL dapat mengambil informasi berikut dari header sebuah paket, mengujinya berdasarkan aturan yang telah di tetapkan dan membuat keputusan "allow", "deny" berdasarkan:
- Alamat IP source
- Alamat Tujuan IP
- Tipe pesan ICMP

ACL juga dapat mengambil informasi layer atas dan mengujinya terhadap aturannya. Informasi layer atas termasuk:
- Port sumber TCP/UDP
- Port tujuan TCP/UDP

ACL

Salah satu keahlian penting seorang network administrator butuhkan adalah penguasaan access control lists(ACL).

Administrator menggunakan ACL untuk stop trafik atau permit hanya trafik yang ditetapkan sementara men-stop semua trafik lain.

Perancang jaringan menggunakan firewall (software atau hardware) untuk melindungi jaringannya dari akses yang tidak terotorisasi.

Firewall adalah software atau hardware yang memaksa (enforce) kebijakan keamanan jaringan.

Pikirkan sebuah lubang kunci pada sebuah pintu ke sebuah ruangan di dalam bangunan. Kunci itu hanya memungkinkan pengguna-pengguna yang terotorisasi dengan sebuah kunci atau kartu akses untuk bisa melewati pintu.

Demikian pula, sebuah firewall memfilter paket-paket yang tidak terotorisasi atau paket-paket yang berpotensi membahayakan untuk masuk kedalam jaringan.

Pada sebuah ruter Cisco, kamu dapat mengkonfigurasi sebuah firewall sederhana yang menyediakan kemampuan pemfilteran trafik menggunakan ACL-ACL.

Sebuah ACL adalah sebuah list terurut dari pernyataan permit atau pernyataan deny yang beraplikasi terhadap alamat-alamat atau protokol-protokol atas.

ACL menyediakan jalan yang dahsyat untuk mengatur trafik masuk dan trafik keluar pada jaringanmu. Kamu dapat mengkonfigurasi ACL untuk semua protokol jaringan yang bisa terutekan.

Alasan yang paling penting untuk mengkonfigurasi ACL adalah menyediakan keamanan bagi jaringanmu.

Berikut akan dijelaskan bagaimana menggunakan ACL standard dan ACL extended sebagai bagian dari solusi keamanan dan mengajarkan kamu bagaiaman cara mengkonfigurasi mereka pada sebuah ruter Cisco.
Termasuk tips, considerations, recommendations, dan guideline umum bagaimana cara menggunakan ACL.

 

Soal-soal subnetting

Karya Aaron Balchunas (http://www.routeralley.com/ra/labs/subnetting_exercises.pdf)

Rancang alamat

Didalam 2 atau lebih jaringan yang saling terhubung (interconnected) tidak boleh ada alamat network atau alamat subnetwork yang sama.

Contoh:
Pada jaringan 1 ada alamat 192.168.1.0/24 dan di jaringan 2 ada alamat 192.168.1.0/25

Server:
- set ip address-nya secara static
- biasanya pakai private ip address tapi dibantu dengan mengkonfigurasi nat di ruter perimeter.

Pengalamatan IP statik dan dinamik

Alamat IP bisa diberikan secara statik atau secara dinamik.

Pemberian alamat IP secara statik
Statik berarti alamat IP host tidak berubah-ubah sampai perusahaan bubar.

Network administrator harus secara manual mengkonfigurasi informasi network untuk masing-masing host. Pada minimumnya, ini mencakup pengkonfigurasian alamat IP, subnetmask dan default-gateway. Ilustrasinya ada di gambar dibawah.

Static assignment ini bisa memberikan peningkatan kontrol terhadap sumber daya network dengan menggunakan access-list.

Akan tetapi pemberian alamat IP secara statik bisa menghabiskan waktu jika terdapat banyak users.

Pemberian alamat IP statik sangat berguna untuk printer-printer, server, and alat jaringan seperti switch, access-point yang perlu bisa diakses oleh klien di jaringan.

Akan tetapi untuk golongan perangkat end users seperti: PC, smart phone yang merupakan jumlah perangkat terbanyak di jaringan, dianjurkan menggunakan mode pemberian alamat IP secara dinamik karena akan sangat merepotkan network administrator apabila mengkonfigurasi perangkat-perangkat ini satu persatu.

Pemberian alamat IP secara dinamik