Access Control List atau ACL , kelompok statement yang di dibuat untuk menentukan paket data di tolak atau diterima pada saat inbound dan atau outbound. Sederhananya ACL melakukan filtering, ACL digunakan sebagai dasar dari security.
ACL di ibaratkan sekumpulan daftar nama orang yang dipegang oleh security suatu gedung. Interface adalah pintu masuk dan keluar dari sebuah gedung, dan packet data adalah orang yang keluar masuk. Security atau Satpam itu bisa kita perintahkan untuk menjaga pintu. Satpam itu bisa kita perintahkan untuk menjaga pintu masuk, inbound atau pintu keluar, outbond. Sebuah pinti hanya boleh di jaga maksimum seorang penjaga pintu masuk dan seorang penjaga pintu keluar. Boleh juga dibiarkan tanpa penjag sama sekali, dengan resiko orang bebas keluar masuk.
Daftar yang dipegang oleh satpam tadi berupa daftar orang dan daftar treatment satpam tehadap orang tersebut apakah diperkenankan atau tidak untuk masuk atau keluar. Daftar itu berupa kumpulan atau listing.
Satpam akan mencocokan antara packet dengan daftar tersebut berurut apakah sesuai./match? Jika sesuai maka satpam akan melakukan sesuai dengan perintah di daftar tersebut, permit atau deny. Jika tidak sesuai, ia akan mencocokan dengan baris selanjutnya, terus demikian hingga baris daftar terakhir. Jika selesai secara default data tadi akan di tolak alias tidak diteruskan oleh satpam tadi kecuali kita specify untuk menerima setiap data, permit any any. Itulah pentingnya agar kita tambahkan di daftar tadi pada bagian yang paling terkahir untuk mengijinkan semua packet.
Setiap daftar yang dipegang oleh satpam itu memiliki nomer. Nomor itu digunakan untuk mengelompokkan apakah ACL itu dalam satu kelompok. Saat inipun ada jenis ACL yang pengelompokannya tidak berdasar nomor tapi menggunakan nama. Berikut langkah-langkah penyusunan ACL;
Langkah pertama membuat diagram flow agar kita mudah menyusun ACL dari yang paling spesifik hingga ACL yang umum.
Langkah kedua mebuat ACL adalah mendefiniskan ACL terlebih dahulu seperti berikut:
Router(config)#access-list xx yy
Dimana xx adalah access-list-number dan y adalah threatment terhadap paket permit/deny.
Langkah selanjutnya adalah apply ACL yang sudah dibuat pada interface yang perlu di jaga, seperti berikut
Router(config-if)access-group xx zz
Dimana xx adalah access-list-number, sedangkan yy adalah in atau out yang artinya inbound atau outbond.
Standart ACL
Standart ACL hanya memberiksa IP dari source (data layer 3). Untuk mendefine Standart ACL sangat sederhana
Router(config)#access-list [num] permit|deny SIP wm
Num = 1…99 , 1300 …1999
SIP = Source IP addresss
Wm = wildcardmask
Contoh
Router(config)access-list 89 permit 10.10.10.1 0.0.0.255
Untuk wildcard mask yang dibandingkan adalah value bit per bit dari misk tersebut
WM = 0000 0000. 0000 0000. 0000 0000.1111 111
Artinya octet 1, dan 3 akan dicocokkan alias masuk criteria match atau tidak, sedangkan oktet terkahir tidak akan dipedulikan sama sekali. Pada kausu IP di atas, ACL akan match jika packet sorce tersebut antara 10.10.10.1 hingga 10.10.10.255
Note; Any dan Host keyword
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
Bisa kita singkat dengan
Router(config)#access-list 1 permit any
Router(config)#access-list 2 permit 172.30.15.29 0.0.0.0
Bisa kita singkat dengan
Router(config)#access-list 2 permit host 172.30.15.29
Extended ACL
ACL ini memilki flesiblitas lebih dari standart ACL. Ia bisa digunkan untuk mengecek IP source dan IP destination (data layer 3). Selaint itu ia juga bisa digunakan untuk memfilter berdasar port source dan port, tujuan juga protocol yang digunakan (layer 4 dan 5).
Router(config)#access-list [num] permit|deny [prot] SIP wm [opr operand] DIP wm [opr operand]
Num = 100…199, 2000…2699
Prot = ip, tcp, udp, icmp
Wm = wildcard mask
Oprand = 80,21, 23, 25, 53, 110, ftp, ssh, telnet, www.
SIP = Source IP address
DIP = Destination IP address
Opr = eq, neq, lt, gt, range.
Router(config)#access-list 100 permit tcp 10.10.10.1 0.0.0.0 202.158.7.0 0.0.0.0.255 eq www
Named ACL
Baik standart maupun extended, kedua ACL tersebut dikelompokan berdasarkan nomor dari ACL. Untuk mengedit Acl yang sudah terpasang akan sedikit sulit, selain nomor yang di gunkan terbatas. Jika kita menghapus satu barus dari sekelompok ACL maka akan berdampak terhapusnya satu kelompok ACL.
Dengan named ACL kedua masalah tersebut dapat diatasi.
Router(config)#ip access-list standard [ACL NAME]
Router(config-std-nacl)# [num] permit|deny SIP wm
Router(config)#ip access-list extended [ACL NAME]
Router(config-ext-nacl)#permit|deny [prot] SIP wm [opr operand] DIP wm [opr operand]
Num = 100…199, 2000…2699
Prot = ip, tcp, udp, icmp
Wm = wildcard mask
Oprand = 80,21, 23, 25, 53, 110, ftp, ssh, telnet, www.
SIP = Source IP address
DIP = Destination IP address
Opr = eq, neq, lt, gt, range.
That’s brief of ACL…
Tidak ada komentar:
Posting Komentar