Senin, 14 April 2008

ACL (Access Control List)

ACL sederhananya digunakan untuk mengijinkan atau tidak paket dari host menuju ke tujuan tertentu. ACL terdiri atas aturan-aturan dan kondisi yang menentukan trafik jaringan dan menentukan proses di router apakah nantinyapaket akan dilewatkan atau tidak. Modul ini akan menerangkan standard an extended ACL, penempatan ACL dan beberapa aplikasi dari penggunaan ACL.

Setelah melalui modul ini diharapkan mahasiswa mampu:
- Menggambarkan perbedaan anatar standard an extended ACL
- Menjelaskan aturan-aturan untuk penempatan ACL
- Membuat dan mengaplikasikan ACL
- Menggambarkan fungsi dari firewall
- Menggunakan ACL untuk mem-blok akses virtual terminal

Dasar ACL
ACL adalah daftar kondisi yang digunakan untuk mengetes trafik jaringan yang mencoba melewati interface router. Daftar ini memberitahu router paket-paket mana yang akan diterima atau ditolak. Penerimaan dan penolakan berdasarkan kondisi tertentu. Untuk mem-filter trafik jaringa, ACL menentukan jika paket itu dilewatkan atau diblok pada interface router. Router ACL membuat keputusan berdasarkan alamat asal, alamat tujuan, protokol, dan nomor port.

ACL harus didefinisikan berdasarkan protokol, arah atau port. Untuk mengontrol aliran trafik pada interface, ACL harus didefinisikan setiap protokol pada interface. ACL kontrol trafik pada satu arah dalam interface. Dua ACL terpisah harus dibuat untuk mengontrol trafik inbound dan
outbound. Setiap interface boleh memiliki banyak protokol dan arah yang sudah didefinisikan. Jika router mempunyai dua interface diberi IP, AppleTalk dan IPX, maka dibutuhkan 12 ACL. Minimal harus ada satu ACL setiap interface.

Berikut ini adalah fungsi dari ACL:
- Membatasi trafik jaringan dan meningkatkan unjuk kerja jaringan.
Misalnya, ACL memblok trafik video, sehingga dapat menurunkan
beban jaringan dan meningkatkan unjuk kerja jaringan.
- Mengatur aliran trafik. ACL mampu memblok update routing. Jika
update tidak dibutuhkan karena kondisi jaringan, maka bandwidth
dapat dihemat.
- Mampu membrikan dasar keamanan untuk akses ke jaringan.
Misalnya, host A tidak diijinkan akses ke jaringan HRD dan host B
diizinkan.
- Memutuskan jenis trafik mana yang akan dilewatkan atau diblok
melalui interface router. Misalnya, trafik email dilayani, trafik telnet
diblok.
- Mengontrol daerah-daerah dimana klien dapat mengakses jaringan.
- Memilih host-hots yang diijinkan atau diblok akses ke segmen jaringan.
Misal, ACL mengijinkan atau memblok FTP atau HTTP.

Keputusan dibuat berdasarkan pernyataan/statement cocok dalam daftar akses dan kemudian menerima atau menolak sesuai apa yang didefinisikan di daftar pernyataan. Perintah dalam pernyataan ACL adalah sangat penting, kalau ditemukan pernyataan yang cocok dengan daftar akses, maka router akan melakukan perintah menerima atau menolak akses.

Cara Kerja ACL
Pada saat frame masuk ke interface, router memeriksa apakah alamat layer 2 cocok atau apakah frame broadcast. Jika alamat frame diterima, maka informasi frame ditandai dan router memeriksa ACL pada interface inbound. Jika ada ACL, paket diperiksa lagi sesuai dengan daftar akses. Jika paket cocok dengan pernyataan, paket akan diterima atau ditolak. Jika paket
diterima di interface, ia akan diperiksa sesuai dengan table routing untuk menentukan interface tujuan dan di-switch ke interface itu. Selanjutnya router memriksa apakah interface tujuan mempunyai ACL. Jika ya, paket diperiksa sesuai dengan daftar akses. Jika paket cocok dengan daftar akses, ia akan diterima atau ditolak. Tapi jika tidak ada ACL paket diterima dan paket
dienkapsulasi di layer 2 dan di-forward keluar interface device berikutnya.

Ada dua tahap untuk membuat ACL. Tahap pertama masuk ke mode global
config kemudian memberikan perintah access-list dan diikuti dengan
parameter-parameter. Tahap kedua adalah menentukan ACL ke interface
yang ditentukan.

Membuat ACL
Dalam TCP/IP, ACL diberikan ke satu atau lebih interface dan dapat memfilter trafik yang masuk atau trafik yang keluar dengan menggunakan perintah ip access-group pada mode configuration interface. Perintah access-group dikeluarkan harus jelas dalam interface masuk atau keluar. Dan untuk membatalkan perintah cukup diberikan perintah no access-list list-number.

Aturan-aturan yang digunakan untuk membuat access list:
- Harus memiliki satu access list per protokol per arah.
- Standar access list harus diaplikasikan ke tujuan terdekat.
- Extended access list harus harus diaplikasikan ke asal terdekat.
- Inbound dan outbound interface harus dilihat dari port arah masuk router.
- Pernyataan akses diproses secara sequencial dari atas ke bawah
sampai ada yang cocok. Jika tidak ada yang cocok maka paket ditolak
dan dibuang.
- Terdapat pernyataan deny any pada akhir access list. Dan tidak
kelihatan di konfigurasi.
- Access list yang dimasukkan harus difilter dengan urutan spesifik ke
umum. Host tertentu harus ditolak dulu dan grup atau umum kemudian.
- Kondisi cocok dijalankan dulu. Diijinkan atau ditolak dijalankan jika ada
pernyataan yang cocok.
- Tidak pernah bekerja dengan access list yang dalam kondisi aktif.
- Teks editor harus digunakan untuk membuat komentar.
- Baris baru selalu ditambahkan di akhir access list. Perintah no access-
list x akan menghapus semua daftar.
- Access list berupa IP akan dikirim sebagai pesan ICMP host
unreachable ke pengirim dan akan dibuang.
- Access list harus dihapus dengan hati-hati. Beberapa versi IOS akan
mengaplikasikan default deny any ke interface dan semua trafik akan
berhenti.
- Outbound filter tidak akan mempengaruhi trafik yang asli berasal dari
router local.

1 komentar:

Nieks mengatakan...

Thnx ya artikelnya...... cool bgt, (cz aku ga ngerti ACL tuh apaan...

 

blogger templates | Make Money Online