access control list - aclbongga.dosen.ittelkom-pwt.ac.id/wp-content/uploads/sites/...ip address...
TRANSCRIPT
-
Access Control List - ACL
Bongga Arifwidodo, SST, MT.
mailto:[email protected]
-
Outline :
• Konsep ACL
• Wildcard Masking
• Basic configuration
-
a. Konsep ACL
• Access List bekerja menyaring lalu-lintas data suatunetwork dengan mengontrol apakah paket-pakettersebut dilewatkan atau dihentikan pada alatpenghubung (Interface) router.
• Router menguji semua paket data untuk menentukanapakah paket tersebut diijinkan untuk lewat atau tidakberdasarkan kriteria yang ditentukan di dalam Access List.
-
ACL (1)
• Kriteria yang digunakan Access List dapat berupa alamat asalpaket data tersebut, alamattujuan, jenis lapisan protokol atauinformasi lain yang berkaitan.
• Access-list sebagai dasar “firewall-router” ini diterapkan diantaranetwork internal dan network eksternal seperti internet ataudiantara dua network sepertipada gambar.
Fungsi Traffic Filters untuk Mencegah Trafic
-
ACL (2)
Access List (ACL) biasa digunakan untuk filtering.
Ada 2 macam access list yaitu standard danextented.
-
b. Wildcard Mask
• suatu urutan angka-angka yang mengefektifkan paketRouting di dalam subnets suatu jaringan.
• Fungsi dari wildcard mask: Wildcard mask panjangnya 32-bit yang dibagi menjadi empat octet.
• Wildcard mask adalah pasangan IP address. Angka 1 dan 0 pada mask digunakan untukmengidentifikasikan bit-bit IP address.
-
Wildcard Mask (1)
• Wildcard mask dan subnet mask dibedakan olehdua hal.
• Subnet mask menggunakan biner 1 dan 0 untukmengidentifikasi jaringan, subnet dan host.
• Wildcard mask menggunakan biner 1 atau 0 untukmemfilter IP address individual atau grup untukdiijinkan atau ditolak akses.
• Persamaannya hanya satu dua-duanya sama-sama32-bit.
-
Wildcard Mask (2)
• cara mendapatkan nilai wildcard mask:
missal IP = 192.168.1.0 /30
Subnet Mask =255.255.255.252
maka Wildcard=0.0.0.3
• cara menghitungnya :
Subnet Mask = 255.255.255.252
-> 11111111. 11111111. 11111111. 11111100
Kebalikanya adalah wildcard yaitu,
Wildcard = 00000000. 00000000. 00000000. 00000011
-> wildcard dari 255.255.255.252
-
c. Basic Configuration
• Standard ACL
Lakukan konfigurasi supaya PC LAN dapat ping ke server
Konfigurasi interface dan routing pada Router0.
Router(config)#int fa0/1Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no shRouter(config-if)#int fa0/0Router(config-if)#ip add 10.10.10.1 255.255.255.0Router(config-if)#no shRouter(config-if)#ip route 20.20.20.0 255.255.255.0 10.10.10.2
Konfigurasi interface dan routing pada Router1.
Router(config)#int fa0/0Router(config-if)#ip add 10.10.10.2 255.255.255.0Router(config-if)#no shRouter(config-if)#int fa0/1Router(config-if)#ip add 20.20.20.1 255.255.255.0Router(config-if)#no shRouter(config-if)#ip route 192.168.1.0 255.255.255.0 10.10.10.1
Berikan IP pada server dan coba cek web server melalui browser pada PC LAN.
-
Cek ping dari PC LAN ke web server.
PC>ping 20.20.20.2Pinging 20.20.20.2 with 32 bytes of data:Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Ping statistics for 20.20.20.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Sekarang konfigurasikan standard access list agar PC LAN tidak dapat mengakses
web server. Set access list pada router dan interface yang paling dekat dengan
destination.
Router(config)#access-list 10 deny 192.168.10.0 ?A.B.C.D Wildcard bits
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.255Router(config)#access-list 10 permit anyRouter(config)#int fa0/1Router(config-if)#ip access-group 1 out
Cek ping dan akses browser dari PC LAN ke web server.
PC>ping 20.20.20.2Pinging 20.20.20.2 with 32 bytes of data:Reply from 10.10.10.2: Destination host unreachable.Reply from 10.10.10.2: Destination host unreachable.Reply from 10.10.10.2: Destination host unreachable.Reply from 10.10.10.2: Destination host unreachable.Ping statistics for 20.20.20.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Cek access list pada Router1.
Router#show access-listsStandard IP access list 10deny 192.168.1.0 0.0.0.255 (64 match(es))permit any (5 match(es))Router#
Pada standard access list, semua service akan
diblok, baik UDP untuk akses browser atau ICMP
untuk ping.
Untuk memilih hanya service tertentu saja, gunakan
extended access list.
-
Daftar akses standar (Standard Access List) mempergunakan alamat pengiriman paket dalam
pembuatan daftar akses.
Untuk membuat daftar IP akses standar dari global configuration mode adalah :
Router(config)#access-list
Nomor daftar aksess IP standar adalah 1 sampai 99.
Permit atau deny adalah parameter untuk mengijinkan atau menolak.
IP address adalah alamat pengirim atau asal.
Wildcard mask adalah untuk menentukan jarak dari suatu subnet.
-
• Extended Access List
Extented access list mengizinkan hanya service tertentu saja yang diblok. Gambar
dibawah adalah jenis-jenis service beserta aplikasinya.