Catatan Access-list

Kegunaan access-list
1. menginspeksi paket-paket jaringan berdasarkan kriteria.
Contoh: source address, destination address, protokol-protokol, dan nomor port
2. mengklasifikasikan paket untuk memungkinkan prioritas.

ACL dikonfigurasi baik diaplikasikan ke trafik inbound (trafik yang masuk ke router) atau diaplikasikan ke trafik outbound (trafik yang keluar dari ruter).

Inbound dan outbound access-list

Untuk inbound ACL, paket masuk diproses sebelum mereka di rutekan ke interface outbound
Untuk outbound ACL, paket masuk diproses setelah mereka dirutekan ke sebuah interface.

Standard dan Extended

Standard ACL
1. Dapat menyaring trafik berdasarkan alamat IP sumber
2. Menggunakan angka 1 - 99
3. Menggunakan angka 1300 - 1999
4. Bisa menggunakan nama selain angka

Extended ACL
1. Dapat menyaring trafik berdasarkan alamat IP sumber
2. Dapat menyaring trafik berdasarkan alamat IP tujuan
3. Dapat menyaring trafik berdasarkan tipe protokol
4. Menggunakan nomor 100-199
5. Bisa menggunakan nama selain angka

Peletakkan Access list
1. Letakkan extended ACL sedekat mungkin ke sumber trafik/host yang akan di deny.
2. Letakkan standard ACL sedekat mungkin ke tujuan. Karena standard ACL tidak menjelaskan tujuan dari trafik.

Bagaimana access-list dibaca oleh router?
Ketika sebuah paket diterima oleh ruter, paket itu dibandingkan dengan statement - statement ACL berdasarkan urutan entri access-list itu disusun. Ruter meneruskan untuk memproses pernyataan - pernyataan ACL hingga ruter menemukan kecocokan.

Jika tidak ada yang cocok ketika sebuah ruter mencapai akhir dari list, trafik itu di deny karena ada deny yang tersirat (implied) bagi trafik.

The full syntax
Standard access-list
Router(config)#access-list access-list-numberdenypermit remarksource [source-wildcard] [log]

Extended access-list
access-list access-list number {deny | permit | remark} protocol source [source-wildcard] [operator operand] [port port-number or name] destination [destination-wildcard] [operator operand] [port port-number or name] [established]

'Selalu source duluan

contoh extended access-list:
access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
baca: access-list 103 permit tcp dari source 192.168.10.0 255.255.255.0 ke kemana saja dengan port tujuan 80 (port http)

access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443
baca: access-list 103 permit tcp dari source 192.168.10.0 255.255.255.0 ke kemana saja dengan port 443 (port https)



Contoh-contoh access-list

Contoh-contoh task ACL

1. Permit e-mail traffic, tapi block Telnet traffic
2.

Access-list

Ada dua buah tipe access list:

1. Standard access-list
hanya mampu men-deny/permit source ip address saja. Tujuan dari paket dan port tidak diperhitungkan.

Contoh:
Izinkan semua trafik dari jaringan 192.168.30.0/24. 

access-list 10 permit 192.168.30.0 0.0.0.255

Karena adanya implied "deny any" di akhir access-list, maka semua trafik yang lain di blok oleh karena access-list ini.

Standar access-list dibuat di global configuration mode.

2. Extended

ACL extended menyaring paket IP berdasarkan beberapa atribut, contohnya tipe protokol (IP, ICMP, UDP, TCP atau nomor protokol), alamat IP source, alamat IP penerima/tujuan, port TCP source, port UDP source, port tujuan TCP, port tujuan UDP.

1. bisa men-deny/permit source ip address dan alamat destinasi IP
2. filtering paket pada level port

ACL-2

Kendali ACL dapat sesederhana permitting alamat network atau alamat jaringan, atau kontrol berdasarkan port TCP yang digunakan.

Untuk mengerti bagaimana ACL bekerja dengan TCP, mari kita melihat pada pembicaraan (dialogue) yang muncul sepanjang konversasi TCP ketika kamu mendownload sebuah halaman web ke komputermu.

Ketika kamu mengirimkan permintaan data dari sebuah server web, IP mengatur komunikasi antara PC dan si server. TCP mengatur komunikasi antara software web browser mu dan software server network.

Ketika kamu mengirim e-mail, membaca sebuah halaman web, atau mengunduh file, TCP bertanggung jawab untuk memecah data menjadi paket-paket untuk IP sebelum paket itu dikirimkan, dan untuk menyatukan (assembling) data dari paket-paket terpisah ketika paket itu datang.

Ingat lagi bahwa TCP menyediakan sebuah layanan connection-oriented, reliable, byte stream. Istilah connection-oriented berarti bahwa 2 aplikasi menggunakan TCP harus mendirikan sebuah koneksi TCP satu dengan yang lain sebelum mereka dapat melakukan tukar menukar data.

TCP adalah protokol full-duplex, yang artinya setiap koneksi TCP mendukung sepasang stream byte, satu stream mengalir ke satu arah. TCP mencakup sebuah mekanisme pengatur aliran (flow-control) untuk setiap stream byte yang memungkinkan si penerima membatasi berapa banyak data si pengirim dapat kirimkan. TCP juga mengimplementasikan sebuah mekanisme kontrol kongesti.


Packet filtering (Penyaringan paket)

Paket filtering kadang disebut paket filtering statik, mengatur akses ke sebuah jaringan dengan cara menganalisa berdasarkan kriteria untuk paket yang masuk dan paket yang keluar dan menghentikan atau melewatkan mereka.

Sebuah ruter bertindak sebagai sebuah penyaring (filter) paket ketika ruter itu meneruskan atau menghentikan paket-paket berdasarkan aturan penyaringan (filtering rules).

Ketika sebuah ruter tiba pada ruter penyaring-paket, ruter itu mengambil informasi tertentu dari header paket (kemana alamat tujuan, dari siapa, ke port tujuan berapa) dan membuat keputusan tergantung dari rule-rule filter dengan maksud apakah paket bisa lewat atau dibuang (discarded).

Penyaringan paket bekerja pada layer network dari model OSI.

Sebagai sebuah perangkat layer 3, ruter penyaring paket menggunakan rules untuk menentukan apakah memperbolehkan atau menolak paket berdasarkan pada alamat IP sumber dan tujuan, port sumber dan port tujuan, dan protokol paket. Aturan-aturan ini didefenisikan dengan menggunakan access control list atau ACL.

Ingat kembali bahwa ACL adalah list berurut dari pernyataan permit dan deny yang beraplikasi ke alamat IP dan protokol-protokol layer atas. ACL dapat mengambil informasi berikut dari header sebuah paket, mengujinya berdasarkan aturan yang telah di tetapkan dan membuat keputusan "allow", "deny" berdasarkan:
- Alamat IP source
- Alamat Tujuan IP
- Tipe pesan ICMP

ACL juga dapat mengambil informasi layer atas dan mengujinya terhadap aturannya. Informasi layer atas termasuk:
- Port sumber TCP/UDP
- Port tujuan TCP/UDP

ACL

Salah satu keahlian penting seorang network administrator butuhkan adalah penguasaan access control lists(ACL).

Administrator menggunakan ACL untuk stop trafik atau permit hanya trafik yang ditetapkan sementara men-stop semua trafik lain.

Perancang jaringan menggunakan firewall (software atau hardware) untuk melindungi jaringannya dari akses yang tidak terotorisasi.

Firewall adalah software atau hardware yang memaksa (enforce) kebijakan keamanan jaringan.

Pikirkan sebuah lubang kunci pada sebuah pintu ke sebuah ruangan di dalam bangunan. Kunci itu hanya memungkinkan pengguna-pengguna yang terotorisasi dengan sebuah kunci atau kartu akses untuk bisa melewati pintu.

Demikian pula, sebuah firewall memfilter paket-paket yang tidak terotorisasi atau paket-paket yang berpotensi membahayakan untuk masuk kedalam jaringan.

Pada sebuah ruter Cisco, kamu dapat mengkonfigurasi sebuah firewall sederhana yang menyediakan kemampuan pemfilteran trafik menggunakan ACL-ACL.

Sebuah ACL adalah sebuah list terurut dari pernyataan permit atau pernyataan deny yang beraplikasi terhadap alamat-alamat atau protokol-protokol atas.

ACL menyediakan jalan yang dahsyat untuk mengatur trafik masuk dan trafik keluar pada jaringanmu. Kamu dapat mengkonfigurasi ACL untuk semua protokol jaringan yang bisa terutekan.

Alasan yang paling penting untuk mengkonfigurasi ACL adalah menyediakan keamanan bagi jaringanmu.

Berikut akan dijelaskan bagaimana menggunakan ACL standard dan ACL extended sebagai bagian dari solusi keamanan dan mengajarkan kamu bagaiaman cara mengkonfigurasi mereka pada sebuah ruter Cisco.
Termasuk tips, considerations, recommendations, dan guideline umum bagaimana cara menggunakan ACL.

 

Soal-soal subnetting

Karya Aaron Balchunas (http://www.routeralley.com/ra/labs/subnetting_exercises.pdf)

Rancang alamat

Didalam 2 atau lebih jaringan yang saling terhubung (interconnected) tidak boleh ada alamat network atau alamat subnetwork yang sama.

Contoh:
Pada jaringan 1 ada alamat 192.168.1.0/24 dan di jaringan 2 ada alamat 192.168.1.0/25